Windows Server 2008 rendszergazdáknak 9789639863071, 9639863076 [PDF]

Zitiervorschau

Kis Balázs Szalay Márton

Windows Server 2008 rendszergazdáknak

Kis Balázs Szalay Márton

Windows Server 2008 rendszergazdáknak

200 8

Kis Balázs, Szalay Márton: Windows Server 2008 rendszergazdáknak

A Microsoft, Active Directory, PowerShell, Windows, .NET, Windows Server 2003, Windows Server 2008, Windows XP, Windows Vista, Microsoft Exc­

hange Server, Visual Studio, Visual Basic.NET, Visual C#.NET, SQL Server nevek a Microsoft Corporation (Redmond, USA) bejegyzett védjegyei. Min­ den egyéb, a könyvben előforduló márka- és terméknév a megfelelő jogtulaj­ donos védjegye.

©Kis Balázs, 2008. ©Szalay Márton, 2008. A szerzők felhasználták a Kis Balázs - Lovassy Zsolt: Windows Server 2003 rendszergazdáknak c. könyv 15. fejezetének egyes részeit. Felelős szerkesztő: Kis Balázs

ISBN 978-963-9863-07-1

Felelős kiadó: a SZAK Kiadó Kft. ügyvezetője Olvasószerkesztő: Trepák Mónik� Borítóterv: Flórián Gábor (Typoézis Kft.) Terjedelem 34 (BS) ív. Készült az OOK Press Nyomdában (Veszprém) Felelős vezető: Szathmáry Attila

A könyv szövegének helyességét és az elválasztásokat a MorphoLogic He­ lyesek 2007 programjával ellenőriztük Minden jog fenntartva. Jelen könyvet, illetve annak részeit a kiadó engedé­ lye nélkül tilos reprodukálni, adatrögzítő rendszerben tárolni, bármilyen formában vagy eszközzel elektronikus úton vagy más módon közölni. SZAK Kiadó Kft. • Az 1795-ben alapitott Magyar Könyvkiadók és Könyvterjesztők Egyesülésének a tagja • 2060 Bicske, Diófa u. 3. • Tel.: 36-22-350-209 • Fax: 36-22-565-311 •

www .szak.hu

• e-mail:

[email protected] • Kiadóvezető: Kis Ádám, e-mail: [email protected] • Főszerkesztő: Kis Balázs MCSE, MCT, e-mail: [email protected]

Tartalom

Előszó ....................... .............. .......................................... 15 .

.

1. feladat: Kisiroda internet-hozzáféréssel .................................. 17 A hálózatról és a kiszolgálókról ...................................................................................... 18

A hálózat haszna: közös dokumentumok, nyomtatók, internet ............................... 18 A felhasználói fiókok és a jelszavak ...................................... ...................................... 20 .

A hálózat felügyelete ......................................................................................................... 21

Hitelesítés és engedélyezés: a hozzáférés szabályozása .................................. .... .... 21 .

.

A címtárszolgáltatás: a felhasználők és erőforrások központi felügyelete .............. 22 A rendszergazda ............................................................................................................. 23 A hálózat

..............................................................................................................................

25

Helyi hálózat, nagy távolságú hálózat, internet ................................... ............. .. .... 25 .

.

.

A hálózat sávszélessége és megbízhatósága ....................................................... ....... 26 .

A protokollok és a hálózatban levő gépek megcímzése ...................................... ..... 28 .

A vezeték nélküli hálózat ................................................ . ............................................ 29 .

.

Hozzáférés az internethez: az útválasztó ..... . . .. .......... ......... .. .............. ..... .. .. .... 30 .

.

.

.

.

.

.

..

.

.

.

Az internet-hozzáférés biztonsági megfontolásai ....... ............................................... 31 .

A hibák megelőzése és elhárítása .................................................................................... 32

Az adatok mindig veszélyben vannak ................................................................ ........ 32 .

A hálózat és a kiszolgáló karbantartása ........................................................... .. ........ 32 .

.

A biztonsági mentés és az adatok épségének védelme .... . ....... . . . ......................... 33 .

1.1. Tervezés: Kisiroda internet-hozzáféréssel . . . . .

. . . . .

.

.

.... . . .

.

.

. . .

.

.....

. . . .

.

. .

. . . . 35 .

.

A Windows Server 2008-ról .............................................................................................. 35 A hálózati infrastruktúra .................................................................................................. 38

A számítógépek megcímzése: a TCP/IP és az IP-címek ....................................... .... 38 .

A dinamikus IP-címzés működése ............. ............... . .................. ............................ 43 .

.

.

.

A DHCP-szolgáltatás elemei ............................ . .... ..................................................... 47 .

.

.

A magánhálózat összekapcsolása az internettel: az útválasztás ............................... 51 Az Actíve Directory címtárszolgáltatás

..........................................................................

56

A címtár haszna ................................................................. ........................... ................. 56 .

.

A címtár névtere ............. ........... .... .... ................................................................. . .... . 58 .

.

.

.

.

.

.

Az Active Directory ........................... ...... :.................................................................... 60 .

.

Tartalom Az Active Directory névtere: a tartományhierarchia A eimtárral kapcsolatos első benyomások A címtárszolgáltatás megtervezése A tartományrendszer létrehozása

..

.........

............

.

........

.

..

..

.

.

..

........

...

..

....................

.

..

60 70

..

.

75

...............................

...................................................................

..........................

.

.............

.

88 90

.................

96

.........................................................................

99

110

...................................................................................................... 113 ................................................................................................

A hozzáférés szabályozásának általános elvei A hozzáférési engedélyek Mappák megosztása

.............

.................................

.

....

.

..

.

....

. . ........ ... . .. .

...

.

.

.

....

........

.

....

.

......

.

. .. . ..

.

..

........

....

.

..

...

............................... ..........

Tükrözött merevlemezek a kiszolgálóban

.

..

.....................................

.

......

..

.........

.

............

...........................................

119 121

.

...................................................

.

......

119

. . 125

....

........................................................................................

adatvesztés megelőzése és elhárítása

A biztonsági mentés

.................

.

........................................................

Nyomtatók megosztása

.

............................................................................................

Az erőforrások tulajdonjoga

az

..

. .. . ..

.......................................................................................................

A megosztott erőforrások

Biztonság:

.....

...............................................................................

Felhasználók és felhasználócsoportok A csoportházirend

.

. .. .... . . ...

A hálózat előkészítése a címtárszolgáltatáshoz

Szervezeti egységek

.................................................

...........

............................................................................... 85

Az Active Directory köztes üzemi szintjei Objektumok a címtáradatbázisban

.

.....................

.

.....................

126 129 132 132 134

A rendszer figyelése és közbeavatkozás: az eseménynapló és a teljesítményfigyelés ................................................................ 134 1.2. Kivitelezés: Kisiroda internet-hozzáféréssel .................................. 137 A Windows Server 2008 telepítése A hardver beállítása

................................................................................

.......................................................................

A telepítés folyamata

...

.

..............................

.

................................................................................................

A tükrözött merevlemez beállítása

...............

.

.............................................................

A hálózati címkiosztás és az internet-hozzáférés beállítása

....................................

Tartományvezérlő kialakítása: a címtárszolgáltatás telepítése

Az Active Directory telepítése A eimtár felügyeleti konzolja

.

.....

..........................

.................................................................

.

..............................

.........

.

.

.............

Szervezeti egységek és felhasználói fiókok létrehozása

.

.........

.. .

.

.....

.....................

..........................................

A fiókok beállításai, a bejelentkezés helyének és idejének korlátozása A csoportházirend beállítása

...........

.................

..........................................................................................

Új csoportházirend-objektum létrehozása

.........

.

. .

....

...

.. .

....

.

..

.

....

.

......

.........

. .. . . ..

.

..

..

Meglevő csoportházirend-objektum hozzárendelése szervezeti egységhez . . ..

Csoportházirend-ol:Jjektum törlése

Több csoportházirend-objektum együttes hatása

.

.

............

.

.............

.

....

.

....

.............................

A csoportházirend érvényre jutásának és együttes hatásának módosítása A csoportházirend-objektumok szerkesztése A csoportházirend-objektumok részei

.

....

....

..........

............................................................

.......................................................................

...........................................................................

A tartományok biztonsági beállításai

6

.

.............................

138 141 142 146 147 148 150 153 158 158

. 160

...................................................................

.....

137

....

.

.........

Csoportházirend-objektum részeinek letiltása

A felhasználói mappák áthelyezése

...

137

.........................................................................

160 161 162 165 168 168 170 173

Tartalom

. ..

A számítógépek biztonsági beállításai A GPMC haladó használata

.. ...

.

..

.............. ... . .... . ... . . ....... .........

..

...... . .......

..

A felhasználók számítógépeinek beléptetése a tartományba . . .

. ... . ..........................

A fájlmegosztás beállítása

. ...

........................................................... .

Mappa megosztásának megszüntetése

..

.. ...

....... . ........ . .. . . ..

.

..

............. ................ ................... . ..................

A kapcsolat nélküli fájlkezelés beállítása Hozzáférés-szabályozás

.. ..

..

..

.. .

.

.. ... . . .................... ...

.

....... ..............

•

Hálózat rendszerrnappa

...

................... . . ........................

.. .. ... .

.

.

.. . .. . .. . . ... .......................... .... .....................

. .

A hálózatbeli számítógépek listáiról

..

.

.

. .

.

....

.

....... .. .......... . ..... ....... .... .. ....... ...... . . . .... ..

.

Állandó kapcsolat megosztott mappákkal

. .

. . . ............. .. ...........................................

.

Számítógépek megkeresése név szerint: az UNC-nevek Hálózati mappávai való kapcsolat megszüntetése Hibaüzenetek

.....

189 192 195

:...................................................................................................... 197

Hozzáférés a megosztott mappákhoz a Windowsból A Network

185 186

. 187

.... . . . .

. ......

A hozzáférési engedélyek öröklésének megakadályozása és kikényszerítése . . .........

183

...................................................... . .. . ....

. ..

................... .. . .......... . .... . ....

A hozzáférési engedélyek öröklése, az érvényes jogok kiszámítása Kvótakezelés

179

. 180

............................................................................ . .........

. .. ...

. . .

... ........ .. . ... . . .... .. ... ...

..

..

.

.

A kapcsolat nélküli hálózati fájlkezelés beállításai . .. . ..

Hozzáférés-szabályozás

.

.

.

. ...

..

......

.

. .

. ..

208 209 209

...... ...............................

210

..

. .. . . . . . . .

.

. ... . .. . . .. ....

. .

.

211

. .. . . 215

. . . . .... ........... ...... .... ...................................... ... ........... .

A nyomtatók használata a Windows Vistából

206

............

................................ .... ......... . ....... .

.

203

. 207

. . . .. . .. . .. .

.... ........................ ... ... .

Hálózati fájlok használata kapcsolat nélkül a felhasználó számítágépén

A nyomtatómegosztás beállítása

200 202

.. . ..................... . ............... .... .

.................................................................................................................

A hálózati mappák elérése a parancsfelületről

200

. .

.. . . .

. . 216

...................... ............. . ... .. ... .... ..

1.3. Fenntartás: Kisiroda internet-hozzáféréssel ...................... . . . .. . . ..... 217 Biztonsági mentés . .

. ..

..

.

..

.. ...... .. . .... . .... ......... . ....................................................................

Az események és a teljesítmény figyelése

.

. . .. . .. . .

.

. .

. . .. . . .

222

. .... . .. .......... . ........ . ........... .............................

224

.. .

A fájlhozzáférési engedélyek problémái A DNS-szolgáltatás problémái . .

..

. ..

.

.

.

....

.. . . 224

.. ............. ........... ................. . . . ........

.. . . .. . . .

. ......

.

. . ... ..... . .. ..... .......... .

..

.

.. .

220

.............

.. .

. ...

. .. 220

.

............................................ ..........

......... .................... . .

Problémamegoldás . . . . . . . .. . .. .

..

................................ ............ . ... .... . .... .

Az eseménynapló és az Event Viewer program A teljesítmény megfigyelése

.. .

217

. . ..

.

. . .

.

.. . . ........ ...... ..........................................

Nyomtatási problémák: lapméret, elakadás, papírbegyűrődés

. . ...

......... .. .

...........

225

. 226

2. feladat: Kisiroda távmunkásokkal ......................................... 227 Az informatikai rendszer alapjai .. . . . . . . . . .

Hálózat és kiszolgáló

. . .. . .. ... ... .. .........................................................

.

.

....

.

. .....

....

.......................... ............... .... . . . .... ..... ... . . . . ....

. .

...... .. .....

A fájl- és nyomtatómegosztás

..

228

.. . ..... .... . . . . . . ............................

229

. ... . .

.................. . .... .

. . ..

........... ... .. .

A külső munkatársak hozzáférése

..

.

. .....

....... . ..

.

.

.

.... . ........ .. . . . . ........ ... . ..... ............... ........ ...

230

. .. . . .. 230

................................................................... .

Alkalmazások: a közös dokumentumok és

228

............

A címtárrendszer: felhasználók, jelszavak, számítógépek nyilvántartása Az intemet-hozzáférés

228

az

intranet

... . .

...........................................

231

7

Tartalom Az alkalmazáskiszolgáló ............................................................ ...... ............... .... . . 231 .

A tűzfalak és

az

ütközőzóna (DMZ) .......... . ... ..... .. .. .. .

.

..

.

.

..

...

.

.

.

.

.

A virtuális magánhálózatok .......................................................... .. .

Távfelügyelet

..

..

. .... .... .. ............. 232

..........

....

.

.

. . .... . . .. ..... 233 .

.

..

..

.

.

....................................................................................................................

Az adatok biztonsága

......................................................................................................

Archiválás optikai lemezre

...

234 235

... .. ..... .. .. .. . . . . ................................................... 235 ..

..

.

.

...

.

.

..

.

..

Értesítés az eseményekről ......................... ....... .. .. . . .

.

..

.

..

...

. ... . .. ............................... 236 ..

.

.

..

2.1. Tervezés: Kisiroda távmunkásokkal ...... ........ .............. ............ .... 237 Az alapinfrastruktúra

......................................................................................................

237

A hálózat terve ............... ................................... ... .. .... .... .... . ... . .... ... . . . .. ...... .. 237 .

.

.

.

.

.

.

.

.

.

.

.

.

..

.

.

.

A szükséges kiszolgálók . ... .... ............................... ............................................. . . .

.

.

.

.

.

..

238

A Windows Server 2008 szerepei a tartományvezérlőn és az alkalmazáskiszolgálón . ... . .... ..... ... ......... .............................. ......... ..... ... .. 238 .

A címtárrendszer

.

..

.

.

.

.

.

..

.

.

..............................................................................................................

A hálózati infrastruktúra

................................................................................................

239 239

A tűzfal és az ütközőzóna beállítása: egy útválasztó vagy ISA Server .................. 239 A tűzfal és a DMZ beállítása két útválasztóval ........................... ... .

Virtuális magánhálózat kialakítása az RRAS-szolgáltatással

A virtuális magánhálózatok ..

..

....

...

....

. .................... 241 .

..................................

. . . ..... . . ............ ........................ . ....... .... . .

.

..

.

Az alagútprotokollok és VPN-karantén .

...

.

.

.

.

.........

.

.....

.

.

...

..

...

242 242

. . .. ....... .. .................... .. .... 243 .

.

...

.

.

.

.

.

Az IPSec protokoll ...... ..... ........... ....... ............................................. ........... . ........... 244 .

A kiszolgáló távfelügyelete

.

.

.

.

.

.

............................................................................................

245

A távoliasztal-protokoll (RDP) és a terminálkiszolgáló .. .. ..................................... 245 .

.

Valódi terminálszolgáltatás ...... ..... .............. . . .... .................................. .......... ... .

..

.

.

.

.

.

.

A távoli asztal használata távfelügyelethez .. . ... ... ... .......................................... .

Alkalmazáskiszolgáló beállítása

..

.

.

.

..

..

...................................................................................

246 247 247

Az Internet Information Services rendszer . ... . . . .. .............................................. 247 .

.

.

...

..

A SharePoint Services rendszer ................................

.

....

. ....... .................................... 248 .

.

Az adatok biztonsága és a rendszer üzembiztos működése

.....................................

Archiválás optikai lemezre ......... .. ......... .......................................... .

.

.

Automatikus értesítés az eseményekről ..... .............................. ... .

.

...

....

.

.

......

........

249

. . . ...... 249 ..

..

.

. .. ............ 249 .

.

2.2. Kivitelezés: Kisiroda távmunkásokkal .......................................... 251 Telepítés

.............................................................................................................................

A külön útválasztók beállítása

...

. .. . . . . . . .. . . .......................................... .. .

...

.

.

.

..

.

.

.

.

.

A Windows Server 2008 �elepítése a tartományvezérlőn A DMZ és a virtuális magánhálózat kialakitása

.

......

.

..

..........................................

.........................................................

251 251 254 254

A virtuális magánhálózat beállítása az RRAS-szolgáltatással ................. ... .......... 254 .

.

A kiszolgáló felkészítése a hívások fogadására .......................... .. .......................... 259 .

.

Az ISA Server rendszer alkalmazása ...................................................... .................... 264

8

Tartalom Az alkalmazáskiszolgáló beállítása

265

..............................................................................

Az Internet Information Services telepítése .............................................................. 265 A SharePoint Services telepítése és beállítása ........................................................... 266 A távfelügyelet beállítása

.

..................

.

.............

267

..............................................................

A terminálkiszolgáló telepítése és beállítása ............................................................. 267 Hozzáférés a felhasználők számítógépeiről: a távoli asztal .................................... 269 A távoliasztal-kapcsolat beállításai ............................................................................. 270 A távoli asztal kapcsolódási ponljáról ........................................................................ 273 A terminálkiszolgáló felügyelete ................................................................................ 274

2.3. Fenntartás: Kisiroda távmunkásokkal .......................................... 275 Biztonsági mentés

275

............................................................................................................

Rendszerfelügyelet

275

............................................................... ...........................................

Az automatikus értesítés beállítása ............................................................................ 275 Miről érdemes automatikus értesítést kérni? ...................... ........ ............................ 277 .

3. feladat: Webkiszolgáló külsö szolgáltatónál Alapismeretek a webró1

.

..................

. .

.

. . ........ ..... . .. .

.

.

. .

.

.

279

.

......

........................................................................

280

Webkiszolgálók és böngészők ..................................................................................... 280 A webcímek avagy az URL-ek ............. ..................................................... ................. 281 .

Aktív webkiszolgálók ASP.NET, Java és PHP ......................................................... 283 Adatbázisok a webkiszolgálók mögött ...................................................................... 285 Biztonság és titkosítás a weben

...................... ...............................................................

285

Kockázatok és támadások ............................................................................................ 285 A titkosítási probléma ............................................................ ..................................... 286 .

A nyilvános kulcsú titkosításról .................................................................................. 287 A nyilvános kulcsú titkosítási infrastruktúra (PKI) .................................................. 288 A nyilvános kulcsú infrastruktúra fogalmai és elemei ............................................ 290 A tanúsítványkezelés folyamatai ................................................................................ 292 E-mail és webkiszolgáló

.

....

............................................................................................

292

A webkiszolgálók sokszor küldenek levelet .................................................................. 292 Az SMTP-protokoll ....................................................................................................... 293 Az SMTP-szolgáltatás alkalmazásának szabályai és kockázatai ............................ 293 A webkiszolgáló elhelyezése

.........................................................................................

293

Saját hálózat: DMZ ........................................................................................................ 293 Külső hálózat az internetszolgáltatónál ..................................................................... 294 A külső webkiszolgáló kapcsolata a vállalati hálózattal .......................................... 295

3.1. Tervezés: Webkiszolgáló külső szolgáltatónál ............ ................... 297 .

A Windows Server 2008 mint webkiszolgáló

.............................................................

297

Az Internet Information Services szolgáltatás .......................................................... 297 A külső webkiszolgáló a vállalat címtárrendszerében ............................................. 302

9

Tartalom A webkiszolgáló beállítása és védelme ........................................................................ 302 Az ASP.NET-rendszer .................................................................................................. 302 PHP-alapú webhelyek a FastCGI-szolgáltatás ......................................................... 303 A levelezés támogatása: az SMTP-szolgáltatás a Windows Server 2008-ban ....... 304 A Windows-tűzfal alkalmazása .................................................................................. 304 A Bitlocker-titkosítás alkalmazása .............................................................................. 306 Titkosítás és tanúsítványok a Windows Server 2008-ban ......................................... 307

A nyilvános kulcsú infrastruktúra megtervezése ..................................................... 307 A tanúsítványokkal kapcsolatos igények meghatározása ....................................... 309 A hitelesítésszolgáltatók (CA) rendszere ................................................................... 311 A legfelső szintű hitelesítésszolgáltató ....................................................................... 311 Külső vagy belső tanúsítványkiadási hierarchia? ..................................................... 312 A tanúsítványkiadási infrastruktúra kapacitásának megtervezése ........................ 313 Az Actíve Directory és a tanúsítványkiszolgálók ..................................................... 314 A hitelesítésszolgáltatók típusai .................................................................................. 315 Hardveres kulcsgeneráló és -tároló eszközök ........................................................... 318 A hitelesítésszolgáltatók megtervezése ...................................................................... 318 A hitelesítésszolgáltatók rendszere ............................................................................ 321 Kapcsolat külső tanúsítványkezelési infrastruktúrával ........................................... 326 A megbízható tanúsítványok listájának (CTL) használata ...................................... 332 Különböző alkalmazások, különböző tanúsítványok .............................................. 333 Biztonsági szintek ......................................................................................................... 334 A tanúsítványok életciklusa ........................................................................................ 335 Minősített alárendelt tanúsítványok .......................................................................... 339 Tanúsítványok alkalmazása az IlS szolgáltatásban

.

.................

...................

.

............

344

Minimális erőforrás-igényű kiszolgáló: a Server Core .............................................. 345

A Server Core távfelügyelete ....................................................................................... 346 3.2. Kivitelezés: Webkiszolgáló külsö szolgáltatónál

.

. ... . . . .

...

.. . .

..

.. .

...

..

....

349

A Windows Server 2008 telepítése a webkiszolgálóra .............................................. 349 A webkiszolgáló-szerep beállítása ............................................................... ................ 349 A kiszolgáló összekapcsolása a vállalati rendszerrel ................................................ 355 Hitelesítésszolgáltató telepítése a vállalati rendszerben .......................................... 355 Az IPSec protokoll beállítása a belső hálózat és a webkiszolgáló közötti kapcsolathoz

............................................. .... .................................................................

356

A webkiszolgáló biztonsága: tűzfal és adattitkosítás ................................................ 360 A Windows-tűzfal beállítása ....................................................................................... 360 A BitLocker-titkosítás beállítása .................................................................................. 364 A webkiszolgáló beállítása: virtuális mappák és kiszolgálók ................................. 366 Webhely létrehozása ..................................................................................................... 366 Az ASP.NET -alkalmazások beállítása ........................................................................ 369 A webkiszolgáló felkészítése PHP-alkalmazások futtatására: a FasteGI .............. 370

10

Tartalom A webkiszolgáló felkészítése a titkosított kapcsolatokra

A levélküldés beállítása

.............

374

......................... ...........................................................

.

374

A webkiszolgáló távfelügyelete .

...

375 375

A Windows Server Core

.

......

..

.....................

.

.

............

..

.....

.

A Windows Server Core felügyelete

.

..

.

.

.

.

379

A webkiszolgáló figyelése A webkiszolgáló naplói

..

379

387 387

....

......

.

387

. . . . . . . . . . . . . .. ....... . . . . ... .

...

.

.

383

........ .....................

................................................................................. · o · · · ..........

...........

.

380

..........................................................................

3.3. Fenntartás: Webkiszolgáló külsö szolgáltatónál ............

A webkiszolgáló kapcsolatainak megjelemtése

....

..........

.

.

.

..

.........

A webkiszolgáló biztonsági mentése Kiszolgálóközi automatikus mentés

.

.

......

. ..

..........

..

.

388

........................................................

....................................

389

................................. ..........................................

390

.................................. ..... ............. .......................

390

Automatikus értesítés a webkiszolgáló elérhetetlenségéről

4. feladat: Közepes vállalat több telephellyel

..

.

.......................

.

391

..

......................................................................................................

A tűzfalak és a DMZ . . . . .

. . . . .. . .

...

.............................................................................

Webkiszolgáló beállítása a Windows Server Core rendszerben

A kiszolgálófunkciók

.

........

..................................................................................................

A Windows Server Core telepítése

.

..

.

.. .. ..

....

.

..

.

..

.

...

....

.

.

..

......

Sok kiszolgálófunkció, kevés számítógép

.

.

........

A címtárrendszer megtervezése

..

...

.

.

..............

.

..........

. .. .

........

.

.

...... .

.

.. . . . .......... . .. . . .....

.....................................................................................

A tartományvezérlők közötti replikáció

....................................................................

.............o............00 ooo••·oo•··· ..o...o.oo•o·o•o .o ....o.o .. 00 ......o....o o...o. . . ...o .o.o.o··· ....o .... o.

A Server Core beillesztése a tartományvezérlők közé

.............................................

395 395 403 407 408 409

A tűzfalak és a hálózat felépítése

.......................................................................

410

................................................................................

410

....................................

411

.................................................................................................

412

A titkosított kapcsolatok és az ISA-kiszolgáló alkalmazása Hozzáférés a hálózathoz

A vezeték nélküli kapcsolatok

.....................................................................................

412

.....................................

414

................................................................................

415

.................. o ........... o....o ................................................... ............... ......

416

Bejövő kapcsolatok hitelesítése a RADIUS-szolgáltatással Az elosztott fájlrendszer: a DFS-R A hibatűrő DFS

395

.......... .........o............o........ .........................................

A hálózati infrastruktúra megtervezése

A különálló DFS

393

.o....o..............o..................................................................................

Az írásvédett tartományvezérlő A csoportházirend

392

. 393

....

...................................................................

4.1. Tervezés: Közepes vállalat több telephellyel

A telephelyek

.

...............

.............................................................................................. ................

.

Fájlok feltöltése

372

......................................

....................................................................

Az SMTP-kiszolgáló telepítése

372

.........................................

Tanúsítvány igénylése nyilvános hitelesítésszolgáltatótól

................................................. . . ........................ ...................................

A Windows Server 2008 replikációs szolgáltatása (DFS-R)

.....................................

417 419

11

Tartalom Takarékoskodás a hardverrel: a virtualizáció .... . ...... . ... . .... ... . . . ...... ..... . ...... 420 .

.

.

.

.

.

.

.

.

..

.

..

.

.

.

Hyper-V: virtuális kiszolgálók a Windows Server 2008-ban .................................. 420

4.2. Kivitelezés: Közepes vállalat több telephellyel

A címtárrendszer beállitása . . . . . . .

Telepítés

.

.

..

.

.

..

....

.

.. ..

...........

.

..

.

423

..............................

. ..

....

...

.

.

............

......

.. . .

..

.

....

..

....

....

. 423 .

423

................................... ......................................................................................

Telephelyek létrehozása, a replikáció beállítása ....................................................... 423 A Windows Server Core rnint írásvédett tartományvezérlő telepítése ................. 425 A csoportházirend beállítása .......................... ................................................... .......... 427

A hálózati infrastruktúra beállitása

428

..............................................................................

Az útválasztók beállitása ............................................................................................. 428 Az IPSec protokoll beállitása ....................................................................................... 429

A DFSR-szolgáltatás beállítása . . . . ... . . .. . . .. .... .. .... . . .. . . .

.

Virtuális kiszolgálók telepítése . .

.

..

.

.

.

.

............

.

.

.

.

..

..

.

.

.

.

..

.....

. . . ..... .

..

.............................................

.

.

......

.

429

.........

. . . . . .. .. 433

......

..

.

..

..

.

.

A Hyper-V rendszer beállítása, virtuális kiszolgáló létrehozása ............................ 433 A Windows Server 2008 telepítése virtuális kiszolgálókra ..................................... 436

4.3. Fenntartás: Közepes vállalat több telephellyel Biztonsági mentés

.....................................

439

. . . . . .. . . . . . . ..................

.

...................................................................

. . 439 .

A tartományvezérlők és a DFSR-ben részt vevő kiszolgálók biztonsági mentése 439

Eseményfigyelés .... ... . . . . . ...... . .... . . . . .... . .. . .... . .. ... . . . .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

.

..

.

.

..

. . .. . .

......

..

.

...

..

................

440

A RADIUS működésével kapcsolatos események figyelése ................................... 440

5. feladat: Egyetemi géptermek

. . ..... ......

.

..

.

..

.....

...

..

...

..

....

.

...

. 441

....

A hallgatók hozzáférése . . . . . . . . .. . . . .. . . . . . .. .... . . .. ...... .. ...... . .. .... .... . . . .

.

.

.

.

.

.

.

.

.

.

.

.

.

.

..

.

.

...

.

.

.

.

.

.

..

.

.

.

.

.

..

...

442

Meghatározott szolgáltatások, meghatározott adatterületek .................................. 442 Sok egyforma gép telepítése: lemezképek, felügyelt telepítés ................................ 442 Bárki bármelyik gépnél helyet foglalhat .................................................................... 443 Hozzáférés az internethez

Az oktatók hozzáférése

....

.

............................................................................................

..

.......

.

....

. .. ...

.

.

....

.

.....

.....

... .

.

.. ..

....

.

..

.

444

. .. . .. . . .. .... .. .... .. . 445

....

.

.

.

.

..

.

.

.

.

.

.

.

Meghatározott szolgáltatások és adatterületek ......................................................... 445 Kommunikáció az oktatók és a hallgatók között ............................................: ......... 445

A közösen használt alkalmazások

...

.

.

....................................................

.

....

. . . .. 445

.......

..

.

..

.

Tanulmányi rendszer ................................................................................................... 445 Korlátozottan hozzáférhető alkalmazás ..................................................................... 446

Az összetett hálózatok jellernzői . .. . . . . .. . . . . .. . . .. .. .

.

.

.

.

.

.

.

.

..

.

.

.

.

...

......

.

.................

.

...................

446

Szegmensek, útválasztók ............................................................................................. 447

5.1. Tervezés: Egyetemi géptermek

A hálózat megtervezése . . . .

.

.

..........

..

......

....

. . . .

.

...

.

. . ..

. . .

. . .

....

. .

....

. . . . . . . . . . .. . .... .... .... . . .. ... . ... . .. .

.

.

..

.

.

.

..

.

...

.

.

.

.

.

.

..

.

..

.

.

.

. .

. . .

. . .

................

449 449

Az IP-címtartományok és kiosztásuk ......................................................................... 450 A kiszolgálók: tartományvezérlők és alkalmazáskiszolgálók ................................. 451

12

Tartalom Az oktatói gépek

.

.........................................

A laboratóriumok

.

........

.

................................................

.

................................................................................

A címtárrendszer és a tartományvezérlők A címtárhierarchia

.....................

.

.

......

.

...

....................................................................

. ..

................................................................

A csoportházirend megtervezése: hallgatók, oktatók, rendszergazdák A laboratóriumi gépek telepítése

....................................

......

.

.

..........

Az alkalmazásszolgáltatás megtervezése

. .

.....

.

.....................

.

..

.........

.

.

...

Felkészülés a nagy terhelésre: az NLB-szolgáltatás és az IlS

Az ISA-kiszolgáló megtervezése A tűzfalügyfél

..

..

.

.

.

.....

5.2. Kivitelezés: Egyetemi géptermek

.

.....

.

. . ........ . . . .. ... .

. .. .

.

.........................

.

... .......... ... .

.

Felhasználók tömeges létrehozása A hálózati infrastruktúra beállítása

....

.

.

.......

..............................................................................

..

..........................

.

...

.

....................

... .

.

..................................

Tüzfal beállítása: ISA-kiszolgáló, tüzfalügyfél

.

.................

.

................................

....................................

. .

...

..

.................................

......................................................................................

A WDS telepítése és rendszerképek beállítása A hálózati rendszerindítás beállítása

........

A Windows Vista központi telepítése A címtárrendszer beállítása

..................

....... ..........................................................

..............................

A központi telepítés beállítása

.

......

................

.

.

.........

.

....

....

. .

.

.. . . . . . .............................

..........................................................

A Terminal Services telepítése

.

457 457 459 460 462 463 464

467 467 467 468 468 470 470 474 474

.

.....................................

.

..........................

.

.................................

.

.....

. . .

.

...

. .

......

..................

..

..

.

......

.....................................................................................

.........

455

. 475

..........................................

A számítógépek viselkedésének szabályozása: a felügyeleti sablonok .

A terminálkiszolgáló beállítása

...

.

.............................................

Korlátozó csoportházirend kialakítása

455

467

.. . .

.....................................................................................

A Windows Server 2008 telepítése, a kiszolgálószerep beállítása .

Internet-hozzáférés

.......................

..................................

.....

453

. . 457

.........................

....

453

....... ..

................................................................................

. .

Az IP-círnkiosztás beállítása

.

............................

.....

....................................................

..................................................................

A tartományvezérló'k telepítése

.................

.....................................................................

.

452

.

.

.....

452

. 453

..............

..........................................

........................................

Az internet-hozzáférés bíztosítása

..

.............................................

A Windows terminálszolgáltatásának áttekintése és licencelése A RemoteApp

..

.

A Windows Deployment Services: a Windows Vista távtelepítése A hálózati (PXE) rendszerindítás

.......

.........................

....................................

.

.

................

.....

.

..............

476 477 477 480 480 480

A telepítés lépései ........................ .... ... . . . . . . .. . . . . . . . . .. . ... .. ................................... . ... . . .. .. . . . . 480 .

A terminálkiszolgáló felügyelete A terminálkapcsolatok beállításai

............ ...........................

.

.

..................

....

.

...... ......... .

...............................................................................

Az aktív munkarnenetek felügyelete

..............

.

...................... . . . . . ................................

A terminálkiszolgáló licencelésének beállítása

.

........

.

...

482 483 491

. 493

. . .........................................

Alkalmazások telepítése a terminálkiszolgálóra és a ReinoteApp-prograrnok közzététele

.....................................................................................................................

Az intranetkiszolgáló beállítása

....................................................................................

A hálózati terheléselosztás (NLB) beállítása

az

liS-rendszerhez

.

.........................

..

495 497 497

13

Tartalom 5.3. Fenntartás: Egyetemi géptermek A biztonsági mentés

.................................................................................

.....••••........•••..•.•••••.•••••••••.....•••.•...•••....•••..

B függelék: Irodalom

••......•..•••••....••....••••......••••..•...•.••..••••••.••

C függelék: Tárgymutató

14

501

........................................................................................................

A felhasználói panaszok kezelése

A függelék: Szótár

501

. . . . . ..... . . . . . . . . . . . . . ... . . . . . . . . . . . .. . . . . . . ..

•.•.•••.•...••••....•••.....••........•.•.....••.•..•••.

502

503 525 527

Előszó

A SZAK Kiadó első Windows-kiszolgálókról szóló - vékonyka - könyve 1997-ben, több mint tíz évvel ezelőtt jelent meg. Rendszergazdáknak szó­ ló könyveink azóta együtt fejlődtek a Windows Server rendszerekkel, de mcstanáig mindig a Microsoft-tananyagok tematikus felosztását követ­ ték: a rendszer egyes szolgáltatásait mutatták be, nem pedig azokat a fel­ adatokat, amelyek megoldására felhasználható. A Windows Server 2008-nak olyan sok - új és régi, minden lehetséges informatikai feladatot felölelő - szolgáltatása van, hogy pusztán az átte­ kintésükre nem elég egy könyv. Ezúttal tehát szakítottunk a régi szerkezet­ tel, és a Windows Server 2008 szolgáltatásainak részletes ismertetése he­ lyett bemutatunk néhány helyzetet, amelyben a rendszer jól alkalmazható. Ebben két másik könyv volt nagy segítségünkre: William Stanek Win­ dows Server 2008 - A rendszergazda zsebkönyve című munkája, amely hál'

istennek 2008-ban magyarul is megjelent kiadónknáL Ha az Olvasó egy s más részletet nem talál ebben a könyvben, megtalálja abban. A másik nagy - bár közvetett - segítség Cliff Atkinson Ne vetíts vázlatot! című könyve volt, amely segített kitalálni azt a fejezetfelosztást, amely leginkább az Olvasó hasznára lesz. Könyvünkben öt szituációt mutatunk be. Mindegyik meghatározott követelményeket támaszt az informatikai rendszerrel szemben. Az egyes szituációkhoz négy-négy fejezetet írtunk: O.

Bevezetés: ismertetjük a követelményeket és a leírásban felhasznált alapfogalmakat.

l.

Tervezés: bemutatjuk a Windows Server 2008 azon szolgáltatásait, amelyekkel a követelmények kielégíthetők.

2.

Kivitelezés: leírjuk, hogyan kell telepíteni és beállítani a Windows Ser­ ver szolgáltatásait, hogy a követelményeknek megfelelően működjenek.

Előszó

3.

Fenntartás: szólunk a rendszer üzembe állítása utáni teendőkről - a biztonsági mentésről, a rendszer figyeléséről és a problémák megol­ dásáról.

Az öt szituáció pedig, amelyekhez mindezt leírjuk, a következő: 1.

Kisiroda internet-hozzáféréssel: Tízen-tizenöten dolgoznak egy iro­ dában, a külvilággal pedig az intemet segítségével tartják a kapcsolatot.

2.

Kisiroda távmunkásokkal: Olyan irodát mutatunk be, amelynek né­ hány külső munkatársa is van, akik az intemeten keresztül "bedol­ goznak" a cégnek.

3.

Webkiszolgáló külső szolgáltatónál: A kis cégek webkiszolgálója álta­ lában nem az irodai hálózatban, hanem egy internetszolgáltató hálóza­ tában van. Azonban ezt a kiszolgálót is az irodából kell üzemeltetni.

4.

Közepes vállalat több telephellyel: Ha egy cégnek több fiókirodája van, az informatikai rendszemek mindegyikre ki kell terjednie.

5.

Egyetemi géptermek: Az egyetemi hálózat kiépítése és üzemeltetése mindig nagy feladat. Példánkban 18, egyenként 16 gépes gépterem in­ formatikai igényeit elégítjük ki.

A fejezetek számozása a példák és azon belül a munkafázisok sorrendjét követi. A webkiszolgáló kivitelezéséről szóló fejezet például a 3.2. számot kapta. A bevezető részek nem kaptak kiegészítő számot, így az egyetemi géptermek követelményeinek leírása egyszerűen az 5-ös számot viseli. Amikor a különböző rendszerek képemyőszövegeit, parancsait említ­ jük, általában angolul és magyarul is feltüntetjük őket, így: Angol

•

Ma­

gyar. Ha valahol nincs magyar szöveg, az azt jelenti, hogy az említett

programnak nincs magyar nyelvű kezelőfelülete. A képemyőábrákat azonban - a hely kímélése végett - csak angolul közöltük. A könyv végén található szótár a könyvben szereplő alapvető fogal­ makat magyarázza meg, az irodalomjegyzék pedig olyan könyveket sorol fel, amelyekre ez a könyv épül, illetve amelyek hasznosan egészítik ki az itt leírtakat

Budapest, 2008. november 17.

Kis Balázs, Szalay Márton balazs. kis®kilgray. com, martonsz@szmai l. hu

16

1

Kisiroda internet­ hozzáféréssel

Ez a könyv a Windows Server 2008 operációs rendszerről szól, amely ki­ szolgálókat működtet - és gyakorlatilag bárhol használható, a legkisebb­ től a legnagyobb hálózatig. Könyvünkben öt felhasználási helyet muta­ tunk be, leírva, hogy a Windows Server 2008 melyikben hogyan, milyen beállításokkal alkalmazható. Elsőként egy olyan irodát veszünk alapul, amelyben tízen-tizenöten dolgoznak - tulajdonképpen nem is érdekes, hogy mivel, elég azt feltéte­ lezni, hogy mindannyian "tudásmunkások"1, akik a munkájuk java részét számítógépen végzik, anélkül hogy informatikusok lennének. Beszélhe­ tünk lapkiadóról, építészirodáról vagy éppen ügyvédi vagy közjegyzői irodáróL A tudásmunkások dokumentumokkal - szövegekkel, táblázatokkal,

képekkel, bemutatókkal, tervrajzokkal stb. - dolgoznak. Egy dokumen­ tum a számítógépen egy vagy több fájl formájában jelenik meg. Ha egy irodában többen dolgoznak, feltételezhetjük, hogy azt együtt teszik - vagyis lesznek olyan dokumentumok, amelyeket többen is olvas­ nak és többen is szerkesztenek. Ilyenkor nem jó, ha a közös dokumen­ tumból mindenki gépén külön példány van: szükség van egy közös hely­ re, ahol minden közös dokumentum csak egyszer van tárolva. Emellett igen költséges lenne mindenki számítógépéhez külön nyom­ tatót csatlakoztatni - különösen akkor, ha többféle nyomtatási igény van, például kis példányszámú színes és nagy példányszámú fekete-fehér. Ebben az esetben rendszerint kétféle nyomtatóra is szükség van. Olyan technikára is szükség van tehát, amely lehetővé teszi, hogy egy vagy két nyomtatót tízen-tizenöten is használhassanak. A legtöbb kisirodáról feltételezhetjük, hogy a külső kapcsolatokat első­

sorban az intemeten keresztül tartják, illetve ugyancsak az intemeten ku1

Az amerikai .,knowledge worker"kifejezésből.

1. feladat: Kisiroda internet·hozzáféréssel

tatnak információ után - tehát a munkatársaknak közös intemetkapcso­ latra is szükségük van. Régebben volt arra példa, hogy az irodában volt egy "intemetes gép", amelyhez külön oda kellett ülni, ha valaki e-mailez­ ni vagy keresni akart. Ma azonban már bevett dolognak számít, hogy az összes munkatárs számítógépe - egy közös ponton keresztül - kapcsoló­ dik az internethez, és mindenki a saját gépéről érheti el a külvilágot.

A hálózatról és a kiszolgálókról Ha a dokumentumokat, adatokat, szolgáltatásokat közös helyen tartjuk fenn, ezek eléréséhez hálózatra van szükség. A hálózatban legalább egy kitüntetett számítógép lesz: ez a kiszolgáló. A kiszolgáló tárolja a közös dokumentumokat, futtatja a közösen elérhető programokat, biztosítja a hozzáférést a nyomtatókhoz. Emellett kiszolgálói feladat a közös intemet­ hozzáférés biztosítása is, bár ezt- különösen kis irodákban-nem a számí­ tógép formájú kiszolgáló, hanem egy céleszköz, az útválasztó biztosítja.

A hálózat haszna: közös dokumentumok, nyomtatók, internet A számítógépeket általában az

erőforrások

megosztása

és a

k o m m u n i k á c i ó céljából kapcsoljuk hálózatba. Az alábbiakban rövi­ den összefoglaljuk, mit jelent az erőforrás-megosztás. A hálózatba kapcsolt számítógépek felhasználói hozzáférhetnek a há­ lózat más számítógépein tárolt fájlokhoz, használhatják a hozzájuk kap­ csolt nyomtatókat, igénybe vehetik a rajtuk futó alkalmazások (például adatbázis-kezelők) szolgáltatásait. Azokat a számítógépeket, amelyek a hálózat más számítógépei számára elérhető erőforrásokat tartalmaznak, k i s z o l g á l ó n a k (sokszor

szervernek) nevezzük; azok a gépek, amelyek

felhasználói igénybe veszik a felajánlott erőforrásokat, az ü g y f e l e k (más néven

kliensek).

Az e r ő f o r r á s - m e g o s z t á s n a k számos haszna van: egy irodá­ ban nem kell például valamennyi számítógép mellé nyomtatót venni: en­ nél sokkal olcsóbb megoldás a számítógépek hálózatba kötése: ekkor csak egy géphez kell nyomtatót csatlakoztatni, és elegendő azt a hálózatban

18

Követelmények és alapfogalmak

- A hálózatról és a kiszolgálókról

megosztani. Ha sok felhasználónak szüksége van ugyanarra a fájlra, a há­ lózat révén elegendő egyetlen számítógépen - a f á j l k i s z o l g á l ó n tárolni, nem kell valamennyi gép mereviemezére átmásolni, és nem kell attól sem tartani, hogy a különböző módosítások eredményeképp a fájl­ nak számos változata keletkezik. Ha a sokak által igényelt erőforrás egy nagy adatbázis, akkor az adat­ bázissal együtt az adatbázis-kezelő programot is elegendő egyetlen gépen -az a d a t b á z i s - k i s z o l g á l ó n - futtatni. A felhasználék számítógé­ pei ekkor az adatbázishoz nem közvetlenül, fájlként férnek hozzá: megfe­ lelő program segítségével az adatbázis-kezelő programnak adnak a háló­ zaton át utasításokat, és ezek eredményét fogadják. Az utasítások bonyo­ lult adatbázisbeli keresésre és adatok módosítására is vonatkozhatnak Az olyan alkalmazásokat, amelyekben a nagy teljesítményt igénylő műveleteket a hálózat kitüntetett számítógépei - az

alkalmazás­

k i s z o l g á l ó k - végzik, a felhasználók számítógépein pedig csak az al­ kalmazások kezelőfelülete működik, ü g y f é 1- k i s z o l g á l ó (client/ser­

ver) architektúrájú alkalmazásoknak nevezzük. Ha például adott egy rak­ tári és áruforgalmi adatbázis, amely húszezerféle termék számos adatát tartalmazza, és ezek között rövid idő (egy-két másodperc) alatt kell bo­ nyolult gyűjtéseket elvégezni (például megkérdezzük a kenyérfélék fo­ gyását az utóbbi fél évben), elegendő, ha a hálózat egyetlen számítógépe tárolja az adatbázist (mert jelentős lemezterületet foglal el), és rendelke­ zik a keresések gyors elvégzéséhez szükséges számítási teljesítménnyel. A többi gépet csak a parancsok elküldésére, illetve az eredmények foga­ dására és megjelenítésére kell felkészíteni. Ez egy PC-hálózat kiépítésekor azt jelenti, hogy szükség lesz egyetlen nagyobb teljesítményű kiszolgáló­ ra, a többi számítógép pedig átlagos PC lehet. Ha valamennyi felhaszná­ lói számítógépen jelen kellene lennie az adatbázisnak és az adatbázis-ke­ zelő programnak-vagyis nem állna rendelkezésre hálózat-, akkor min­ denhol a kiszolgálóhoz hasonló teljesítményű hardverre volna szükség. De erőforrásként megoszthatók a számítógépek speciális hálózati kap­ csolatai is. A hálózat egy számítógépének bérelt vonalú vagy ADSL­ internetkapcsolata például szűkös erőforrás: a hálózatot üzemeltető in­ tézmény esetleg nem teheti meg, hogy minden számítógépe számára vá­ sárol internetcsatlakozást Ekkor az internet-csatlakozással rendelkező számítógép internetkapcsolata is megosztható, így ezen a számítógépen­ az á t j á r ó n - keresztül a hálózat többi számítógépe is hozzáfér az in­ ternethez.

19

1. feladat: Kisiroda internet-hozzáféréssel

A felhasználói fiókok és a jelszavak A szánútógépen tárolt erőforrások jelentős értéket képviselnek. A "tu­ dásmunkásokat" foglalkoztató irodák - nem pénzben kifejezett - vagyo­

nának jelentős részét a munkatársak számítógépein vagy a fájlkiszolgálón tárolt dokumentumok képviselik. Ezért ezek megőrzése különösen fontos. A dokumentumok megvédésének fontos eleme, hogy nem engedjük

meg illetékteleneknek a dokumentumok elolvasását vagy módosítását. Ezért, mielőtt valaki hozzáférhetne az iroda által használt valamelyik do­ kumentumhoz, igazolnia kell a jogosultságát. Ez jellemzően úgy történik, hogy meg kell adnia egy nevet és egy jelszót, amelyet a kiszolgáló ellen­ őriz, és amennyiben rendben találja, lehetövé teszi a hozzáférést. Ma már az is mindennapos, hogy az egyes számítógépek elindításához is névre vagy jelszóra van szükség. Ez különösen fontos a hordozható számítógépek esetén, mert azokat fizikailag is könnyebb ellopni. A nevet és a jelszót úgy kell megválasztani, hogy nehezítse a hozzáfé­

rést azok számára is, akik betörés céljából próbálják kitalálni a hozzáfé­ réshez szükséges adatokat. Ennek a leghatásosabban úgy vehe�ük elejét, hogy csökken�ük a jelszó kitalálásának esélyét. Két szabályt mindenkép­ pen tartsunk be: 1.

Válasszunk nehezen kitalálható jelszót! Ne válasszunk olyan értelmes szót jelszónak, amely kötődik hozzánk (saját vagy családtag neve, mindennapi szokás stb.) Ha már értelmes szót választunk, helyez­ zünk el benne véletlenszerűen számjegyeket, és véletlenszerűen al­ kalmazzunk kis- és nagybetűket! Egy példa: ha a kutyánk neve Ben­ degúz, és szeretnénk ezt használni jelszónak, ne adjuk meg pontosan, hanem torzítsuk el, például így: beN79dEgu7z. Ne használjunk rövid jelszót sem! A hat-hét karakternél rövidebb jelszavak jelszófeltörő programmal rövid idő alatt kitalálhatók, akkor is, ha nem értelmes szót adtunk meg.

2.

Bizonyos időközönként változtassuk meg a jelszót! A Windows­ rendszerek beállíthaták úgy, hogy meghatározott rendszerességgel rákényszerítse felhasználóit jelszavuk megváltoztatására.

A felhasználónevet és a jelszót a szánútógép úgy tudja ellenőrizni, hogy

nyilvántar�a a hozzáférésre jogosult felhasználókat. Ezt úgynevezett b i z ­ tonsági

a d a t b á z i s b a n teszi. A biztonsági adatbázisban minden

felhasználónak van egy fiókja. A f e l h a s z n á l ó i

20

fiók

(user account)

Követelmények és alapfogalmak

-

A hálózat felügyelete

tárolja a felhasználó nevét, jelszavát, kapcsolati adatait, és olyan informá­ ciókat is, amelyek alapján finomabban is szabályozható, hogy a felhasz­ náló mihez férhet hozzá, és mihez nem. A felhasználók például csopor­ tokba szervezhetők, és minden csoportnak más és más jogokat lehet adni.

A hálózat felügyelete Hitelesités és engedélyezés: a hozzáférés szabályozása A szárrútógépeken általában részletesen szabályozható, hogy melyik fel­ használó mely erőforrásokhoz férhet hozzá. Például nincs mindenkinek szüksége a könyvelési adatokra: a rendszer beállítható, hogy azokat csak a pénzügyi munkatársak láthassák A jól védett informatikai rendszer az éppen elégséges jogok elvét al­ kalmazza, vagyis vigyáz arra, hogy mindenki csak azokhoz az erőforrás­ okhoz férhessen hozzá, amelyekre a munkájához feltétlenül szüksége van. Ezzel elejét vehetjük annak, hogy védtelenül hagyjunk adatokat, és azokat illetéktelenek akár véletlenül, akár rosszindulatból módosítsák vagy felhasználják Az informatikai rendszer az erőforrások védelmét két szinten valósítja meg. Először azt ellenőrzi, hogy a felhasználó jogosult-e egyáltalán hoz­ záférni magához a rendszerhez. Ehhez rendelkezni kell egy olyan névvel, amely szerepel a biztonsági adatbázisban. Ekkor a rendszernek meg kell győződnie arról, hogy a felhasználó valóban az-e, akinek mondja magát. Ezt a folyamatot hitelesítésnek (authentication) nevezzük. A felhasználó­ nak három eszköze van, amellyel igazolhatja magát: 1.

"Amit tudsz": Titkos jelszó, amelyről feltételezzük, hogy csak a fel­ használó ismeri. A legtöbb rendszer általában beéri az ilyen azonosí­ tással: feltételezi, hogy a jelszót csak a bejelentkező felhasználó ismeri. Ez a legkönnyebben áttörhető védelem, mert a jelszóról könnyen tu­ domást szerezhet más is-akár úgy, hogy a felhasználó óvatlanul el­ árulja, akár úgy, hogy kommunikációs trükkökkel kicsalják belőle, akár úgy, hogy automatikus eszközzel feltörik

21

1. feladat: Kisiroda internet·hozzáféréssel

2.

" "Amid van : A felhasználó azonosíthatja magát például intelligens kártyával - de ide tartozik a bankkártya-használat is. Emellett vannak olyan internetes banki rendszerek, amelyek a jelszavas azonosítást SMS-ben is jóváhagyatják Utóbbi egy előre beállított mobiltelefon­ számon történik, amelyhez a felhasználó mobiltelefonjára is szükség van. Utóbbi tehát együtt alkalmazza az "amit tudsz" és az "amid van" módszert.

3.

" "Ami vagy : Ez a b i o m e t r i k u s a z o n o s í t á s t - az ujjlenyomat­ leolvasást vagy az íriszvizsgálatot - jelenti. Ma már szinte minden új hordozható számítógépen van ujjlenyomat-olvasó, és a rendszer beál­ lítható úgy is, hogy a jelszó megadása mellett az ujjlenyomat leolvasá­ sát is igényli. Ez a legbiztosabb hitelesítési módszer, mert olyasmi szükséges a felhasználó azonosításához, amit nem lehet tőle ellopni (nem számítva a balesetet vagy a műtétet).

A hitelesítés után az informatikai rendszer " tudja", ki a felhasználó. A második lépésben pedig azt kell megvizsgálnia, hogy az illető hozzáfér­ het-e ahhoz a konkrét erőforráshoz, amelyet igényel. Ez a művelet az engedélyezés

(authorization).

Ezért a rendszer általában minden erő­

forrás mellett feltünteti, hogy mely felhasználók érhetik el, és milyen mű­ veleteket végezhetnek rajta. Ez utóbbi adat a h o z z á f é r é s i dély

(access perrnission).

enge­

A felhasználó tehát akkor érhet el egy erőfor­

rást, ha sikeresen hitelesíti magát a rendszer számára, és rendelkezik en­ gedéllyel az igényelt erőforráshoz.

A cfmtárszolgáltatás: a felhasznáták és erőforrások központi felügyelete Amikor egy noteszgép a rendszerindításkor nevet és jelszót kér, azt a he­ lyi - tehát a gép saját merevlemezén tárolt - biztonsági adatbázis alapján ellenőrzi. Ez azt is jelenti, hogy az adatbázisban felsorolt felhasználók az adott számítógép helyi erőforrásaihoz férhetnek hozzá - és ezek közül is csak azokhoz, amelyekhez megfelelő hozzáférési engedélyeket kaptak. Az ilyen erőforrások a lemezeken levő mappák és fájlok, a nyomtatók és a kiszolgáló-alkalmazások szolgáltatásai. Az adatbázisban felsorolt fió­ kok tulajdonosai ugyanakkor a számítógéphez a hálózaton keresztül is kapcsolódhatnak, és az erőforrásokhoz a hálózaton keresztül is hozzáfé­ rési engedélyeket szerezhetnek.

22

Követelmények és alapfogalmak

-

A hálózat felügyelete

Nagyobb hálózatokban a felhasználói fiókok nyilvántartása - és így a hitelesítés - központosítva van. Ez azt jelenti, hogy a felhasználók az egyes szánútógépek helyi biztonsági adatbázisa helyett egyetlen közös, központi adatbázisban vannak felsorolva. A központi adatbázisban felso­ rolt felhasználók - elviekben - a központból felügyelt hálózat minden szánútógépén bejelentkezhetnek. Emellett hozzáférhetnek a hálózaton keresztül e számítógépek erőforrásaihoz - természetesen csak azokhoz, amelyekhez rendelkeznek a megfelelő hozzáférési engedélyekkeL Központból felügyelt hálózat létrehozására a legfejlettebb eszköz a címtárszolgáltatás

(directory service).

A c í m t á r olyan adatbázis,

amely nyilvántartja a hálózat felhasználóit, szánútógépeit és azok erőfor­ rásait - megosztott mappákat,

nyomtatókat, kiszolgáló-alkalmazások

szolgáltatásait. A címtárszolgáltatás ennek alapján központi helyen végzi a felhasználók hitelesítését, és ezt követően információt ad a felhaszná­ lóknak a rendelkezésre álló erőforrásokról, sőt, el is vezeti azokhoz őket. A hálózat felhasználóinak pem kell tudniuk, hogy az egyes hálózati erő­ források konkrétan melyik számítógépen találhatók; elegendő a címtár­ hoz fordulniuk. A címtár ráadásul strukturált adatbázis, vagyis a hálózat felhasználói és erőforrásai szervezeti egységekbe csoportosíthaták - a há­ lózatot alkalmazó intézmény felépítésének megfelelően. A Windows , kiszolgálóoldali változatai (Windows Windows Server

2008)

2000

Server, Windows Server

2003,

tartalmaznak c í m t á r k i s z o l g á l ó t , melynek

neve A c t i v e D i r e c t o r y . Az Active Directory-rendszerben az egyet­ len címtáradatbázis által felügyelt hálózat neve t a r t o m á n y

(domain).

A tartomány címtáradatbázisát kezelő számítógépet - kiszolgálót- pedig tartom ányvezérlőnek

(domain controller) nevezzük. (member).

A tartomány

többi számítógépe pedig a tartomány t a g j a

A rendszergazda A magányos felhasználók - a szabadúszó tudásmunkások - és a kisiro­ dák gyakran magukra maradnak az informatikai rendszer üzemeltetésé­ ben. Ez azt jelenti, hogy az erőforrás-megosztás kialakítását, a kiszolgáló és az intemet-hozzáférés telepítését önerőből, autodidakta módon tanul­ ják meg. ilyenkor általában elmaradnak a megfelelő biztonsági beállítá­ sok; a rendszer, a hálózat vagy túlságosan zárva, vagy- ami gyakoribb­ túlságosan nyitva van.

23

1. feladat: Kisiroda internet·hozzáféréssel

Olyan irodában, ahol többen dolgoznak együtt, és a közös erőforráso­ kat kiszolgáló segítségével veszik igénybe, mindenképpen szükség van valakire, aki •

megtervezi a hálózatot, a kiszolgálót és az adatvédelmi beállításokat,

•

telepíti a rendszert, és beállítja az erőforrások megosztását,

•

segít fenntartani a rendszert: elvégzi vagy beállítja a biztonsági mentéseket, és elhárítja a hibákat.

Az a személy, aki a fenti feladatokat végzi, a r e n d s z e r g a z d a . Kis­ irodában rendszerint nincs szükség főállású rendszergazdára; vannak olyan rendszergazdák, illetve cégek, akik (amelyek) több iroda informati­ kai rendszerét üzemeltetik, többnyire óradíj ellenében. A "rendszergazda" szónak van még egy jelentése. Említettük, hogy a számítógépek és a kiszolgálók biztonsági adatbázisában vagy a címtár­ adatbázisban fel vannak sorolva azok a felhasználók, akik hozzáférhet­ nek a rendszer erőforrásaihoz. Írtuk azt is, hogy ezek a felhasználók kü­ lönböző jogokkal rendelkeznek. A felhasználói fiókok között vannak olyanok, amelyek úgynevezett rendszergazda-jogokat kaptak. Aki ilyen felhasználói fiók nevével és jel­ szavával jelentkezik be, a rendszer minden erőforrását elérheti, és azok­ kal minden lehetséges műveletet elvégezhet. Vannak a rendszerben olyan tevékenységek, amelyekre csak rend­ szergazda-jogok birtokában van lehetőség. Ilyen például az alkalmazások telepítése, egyes rendszerszintű jogosultságok vagy beállítások módosítása. Biztonsági szempontból nagyon fontos, hogy az iroda informatikai rendszerében csak azok rendelkezzenek rendszergazda-jogokkal, akiknek erre feltétlenül szükségük van. Ha tehát az ügyvezető igazgató nem vé­ gez informatikai karbantartási feladatokat, kimondottan káros, ha rend­ szergazda-jogokat kér vagy kap. Attól ugyanis nem lesz valakinek több ellenőrzése az erőforrások fölött, ha bánnit csinálhat velük, ám kellő szakértelem híján nem ismeri a lehetőségeket és nem érti a beállításokat. Kisirodában rendszerint két személynek célszerű rendszergazda-jogokat adni: az egyik maga a rendszergazda - aki csak időnként dolgozik a rendszerrel-, a másik pedig egy belső felelős, akit a rendszergazda beta­ nít egyes alapvető karbantartási műveletek (például a biztonsági mentés) elvégzésére.

24

Követelmények és alapfogalmak

-

A hálózat

A hálózat Helyi hálózat, nagy távolságú hálózat, internet Ha egy iroda vagy egyetlen épület számítógépeit kapcsoljuk össze, h e ­ lyi hálózat

(local area network,

LAN) jön létre. Több, esetleg egymás­

tól távol levő hálózat vagy számítógép összekapcsolásakor már n a g y távol sá g ú h ál óz a tró l

(wide area network,

WAN) beszélünk. A há­

lózatban részt vevő számítógépek - szakkifejezéssel: á l l o m á s o k

(host)

- közötti távolság alapvetően meghatározza a számítógépek közötti kap­ csolat technológiáját. Külön kategóriának tekinthe�ük a mindössze néhány (legfeljebb tíz­ húsz) gépet összekapcsoló, kitüntetett kiszolgálót általában nem tartal­ mazó helyi hálózatot Ilyen hálózatot sokan már otthon is kiépítenek ha több számítógépük van, valamilyen

módon

összekapcsolják azokat.

Azonban sok kis iroda is épít hasonló hálózatot Az ilyen hálózatokat kisirodai hálózatnak

(small office network)

nevezik.

A helyi hálózatok fizikai felépítése általában egynemű, a legegysze­ rűbb esetekben a hálózatnak egyetlen gerincvonala van, és minden állo­ más ahhoz csatlakozik. Az egyneműség különben azt jelenti, hogy az ál­ lomások összekötésére a hálózatban mindenhol ugyanolyan szabványú átviteli közeg - többnyire kábelezés vagy rádiócsatorna - szolgál. A nagy távolságú hálózatok ezzel szemben rendkívül vegyesek: ezek a legkülönbözőbb felépítésű és szabványú hálózatokat kötik össze egyet­ len, nagyobb hálózattá. A nagy távolságú hálózatok legegyszerűbb esete, amikor adott egy helyi hálózat, amelynek egyik számítógépéhez telefon­ vonalon csatlakozik egy távol levő felhasználó számítógépe, s ily módon hozzáfér a helyi hálózat erőforrásaihoz. A legbonyolultabb nagy távolsá­ gú hálózat az internet, amely több millió állomást tartalmaz: ha az inter­ neten egy állomás üzenetet küld egy másiknak, az üzenet számos, rend­ kívül különböző hálózatszakaszon halad át: helyi hálózatokon, a nyilvá­ nos telefonhálózaton, bérelt vonalakon, mikrohullámú csatornákon stb. Ennek a könyvnek nem tárgya a hálózatok fizikai felépítése. Minden, itt leírt művelethez feltételezzük, hogy a hálózat - fizikai mivoltában - ki van építve. Azt viszont tudnia kell az Olvasának, hogy nem csak a kiter­ jedés, hanem a minőség és a használat jellege szempon�ából is lényeges különbség van a helyi és a nagy távolságú hálózatok között: az előbbiek-

25

1. feladat: Kisiroda internet-hozzáféréssel

ben- ma még- az erőforrás-megosztás dominál, addig az utóbbiakban különösen az intemeten- a kommunikáció: az erőforrásokhoz való hoz­ záférés az intemet fölött egyoldalú, általában webdokumentumok letölté­ sét -olvasását -jelenti. A technikai kivitelezés különbségeiből is követ­ kezik, hogy a helyi hálózaton belül két állomás között lényegesen gyor­ sabb és megbízhatóbb adatátvitel lehetséges, mint a nagy távolságú háló­ zatokban. Az utóbbi korlátait a hálózatban megjelenő nyilvános szaka­ szok, illetve a távolsági vonalak kiépítésének magas költségei okozzák. A távolsági vonalak minőségének javulásával és költségeik csökkenésével azonban a különbségek egyre kisebbek.

A hálózat sávszélessége és megbizhatósága Két állomás között az adatátvitel minőségét a kapcsolat sebessége és megbízhatósága határozza meg. Mivel a hálózati kapcsolat alapja az elektromágneses (vagy optikai) jeltovábbítás, a sebesség közvetlenül kap­ csolatba hozható a s á v s z é l e s s é g g e l

(bandwidth).

Az átviteli sebes­

séget és a sávszélességet ezért gyakran felcserélik, holott a sávszélesség az átviteli sebesség lehetősége csupán. Maga a tényleges átviteli sebesség attól is függ, hogy milyen minőségű a kapcsolat; hibák esetén ugyanis sok adatot újra kell küldeni, ami pedig jelentősen csökkenti a felhasználó- a külső megfigyelő-számára látható átviteli sebességet. A tényleges átvite­ li sebesség így sokkal kisebb is lehet, mint amekkorát a vonal sávszéles­ sége lehetővé tesz. A sávszélességet- az adott vonalon elvileg lehetséges legnagyobb át­ viteli sebességet- az egységnyi idő alatt továbbítható adatok mennyisé­ gével adjuk meg. Az egységnyi idő a másodperc ( s z e k u n d u m ; s), az adatok legkisebb átvihető egysége pedig a b i t -egyetlen kettes szám­ rendszerbeli számjegy. Kellően nagy sávszélesség akár több millió, sőt több milliárd bit továbbítását is lehetővé teszi egyetlen másodperc alatt, így beszélünk kilobitről (kbit; 1024 bit) megabitről (Mbit; 1024 kbit) és gi­ gabitről (Gbit; 1024 Mbit) is. A sávszélességet -és a tényleges adatátviteli sebeilséget - így bit/s-ban, kbit/s-ban vagy Mbit/s-ban adjuk meg. l bit/s egyetlen bit átvitelét jelenti egy másodperc alatt; l kbit/s esetén 1024, l Mbit/s esetén 1024-1024 bit jut el a partnerhez egyetlen másod­

perc alatt.

26

Követelmények és alapfogalmak

-

A hálózat

Az ismertebb hálózattípusok jellemző sávszélességei a következők: Hálózattípus

Sávszélesség

Analóg telefonvonal ISDN-vonal

33,6- 56 kbit/s

ADSL, ADSL 2

64

kbit/s, több vonal nyalábolása esetén ennek több­ szörösei Letöltési sebesség: 1 Mbit/s- 18 Mbitjs, jellemző fel­ töltési sebességek: 128 kbit/s 1 Mbit/s 1 Mbit/s -10 Mbit/s Qellemző sebességek) 100 Mbit/s, 1 Gbit/s, 10 Gbit/s 144- 622 Mbit/s -

Kábeltelevízió-hálózat Ethernet (helyi hálózat) ATM,FDDI

A kommunikáló állomások között ténylegesen mért adatátviteli sebesség általában nem éri el a sávszélességet. Az alkalmazott hálózati technológia ugyanis megszabja, hogy a sávszélesség milyen méctékben használható ki hatékonyan. Így például a legelterjedtebb helyi hálózati technológiá­ ban, a 100Mbit/s sávszélességű Ethernetben jellemzően kb. 7-8Mbyte­ nyi adat továbbítható egy másodperc alatt, holott a 100Mbit/s sávszéles­ ség elvileg 12,5Mbyte továbbítását is lehetövé tenné

(l byte= 8 bit).

Amikor pedig az adattovábbítás megbízhatóságáról beszélünk, három szempontot vizsgálunk

l.

A továbbított adatok helyessége: Pontosan azok az adatok (adatbitek) érkeznek-e meg a címzetthez, amelyeket a forrás elküldött? Ha esetleg nem, ez ellen védekezni kell: az adatokat hibajavító információval ki kell egészíteni, hogy a hibásan átvitt bitek javíthatók legyenek.

2.

Az adatok sorrendje: Az üzenetek részei megfelelő sorrendben érkez­ nek-e meg? Ha esetleg nem, a sorrendet a csomagok sorszámozásával ellenőrizni kell, és a címzettnél helyre kell állítani.

3.

Teljesség: Hiánytalanul megérkezik-e minden? Ha esetleg nem, azo­ nosítani kell a kimaradt részt, és azt a forrásnak újra kell küldenie. Annak megállapítására, hogy egy adatcsomag megérkezett-e, a cím­ zett nyugtát küld a forrásnak.

Vegyük észre, hogy sem a kiegészítő hibajavító információ, sem a cso­ magsorszám, sem a nyugta, sem pedig az újraküldött csomag nem része a "hasznos" - a felhasználó számára látható - adatfolyamnak Ezek is fel­ emésztik a sávszélesség egy részét, ezért ha hibákra kell számítani - már­ pedig elektromágneses jeltovábbítás esetén kell -, eleve nem használható hasznos adattovábbításra a teljes sávszélesség.

27

1. feladat: Kisiroda internet-hozzáféréssel

Az átvitelben részt vevő vonalszakaszok számának, illetve hosszának növekedésével ugrásszerűen nő a hibák valószínűsége: a vonal nagyobb zajnak van kitéve. Ezért a helyi hálózati kapcsolatok sávszélessége és megbízhatósága is sokkal nagyobb, mint a nagy távolságú kapcsolatoké. A hálózaton keresztül kommunikáló programoknak pedig minderre fel kell készülniük: másképpen kell kommunikálniuk a helyi hálózatban, és másképpen nagy távolságú vonalakon.

A protokollok és a hálózatban levő gépek megcfmzése Amikor a hálózat szolgáltatásait használjuk, természetesnek vesszük, hogy meg tudjuk nyitni a kiszolgálón tárolt dokumentumainkat, nyom­ tatni tudunk a kollégánk gépéhez kötött nyomtatón, tudunk elektronikus levelet küldeni, és így tovább. Kézenfekvőnek tekintjük, hogy a számító­ gép könyvtárait, nyomtatóit meg tudjuk osztani, ahhoz pedig, hogy más számítógépek megosztott könyvtáraiból fájlokat olvassunk, elegendő például

a

szövegszerkesztő

tallózóablakát

oda

irányítani

vagy

a

\\számítógép\mappa formában megadni a hálózaton érvényes elérési utat.

Mindezek a hálózati szolgáltatások nem állnak rendelkezésre pusztán attól, hogy a számítógépekben hálózati csatolókártyák vannak, azokon keresztül pedig kábellel össze vannak kötve a számítógépek. Ha az állo­ mások között létezik is az elektromos kapcsolat, az adatátvitelhez komoly párbeszédre van szükség a két állomás (pontosabban a két állomáson fu­ tó programok) között. Ennek a párbeszédnek rendkívül sok eleme, szintje van; s ezek mindegyikére szükség van ahhoz, hogy a kollégánk számító­ gépére eljusson az a dokumentum, amelyet ki akarunk nyomtatni. A hálózati kommunikáció javarészt szabványos elemekből áll; szük­ ségtelen tehát az alkalmazásoktól elvárni, hogy az adattovábbításhoz szükséges teljes párbeszédet maguk bonyolítsák le. A szövegszerkesztő, amelyből nyomtatunk, nem is képes ilyen párbeszédekre, csak annyira, hogy a hálózatban megnevezze a kívánt fájlt vagy nyomtatót. Minden egyebet elvégez helyette az operációs rendszer, amelynek abbéli feladata, hogy erőforrásokat bocsásson a felhasználók és az általuk elindított prog­ rarnak rendelkezésére, kiterjed a hálózati - más számítógépeken található - erőforrások biztosítására is. Az operációs rendszernek tartalmaznia kell a hálózati kommunikációhoz szükséges valamennyi szaftverelemet - a hálózati csatolókártya illesztőprogramjától azokig a magas szintű modu-

28

Követelmények és alapfogalmak

-

A hálózat

!okig, amelyek a \\kiszolgáló\könyvtár vagy a http://kiszolgáló/mappa/fájl stb. formájú elérési utak alapján meg tudják keresni a hálózatban a fel­ használó által kívánt állomást. Az operációs rendszerben mindenképpen vannak olyan modulok, amelyek •

működtetik a megbízható adattovábbítást két, azonos helyi háló­ zatba eső állomás között;

•

név vagy cím alapján megtalálják a címzett állomásokat (számító­ gépeket);

•

működtetik a megbízható adattovábbítást bármely két állomás között, bárhol is legyenek a hálózatban.

Ezek a modulok sajátos szabályok szerint működnek. A szabályok arra vonatkoznak, hogy két állomásnak milyen módon kell kommunikálnia egymással. A szabályokat és a modulokat is p r o t o k o l l n a k (protocol) nevezik. A protokoll eredetileg a szabályok neve, ám a megvalósított rendszerekben alkalmazzák az őket működtető programrészekre is. A hálózatba kötött számítógépek rendszere olyan, mint a posta: min­ den számítógépnek van egy címe. Ez a cím jellemzően egy bonyolult szerkezetű szám. A felhasználók azonban nem ezekkel a számokkal, ha­ nem könnyen megjegyezhető nevekkel címzik meg a gépeket. Ezért a há­ lózatban működik olyan mechanizmus, amely a név alapján először megkeresi a címzett állomás (szállítógép) számmal kifejezett címét. Ez a mechanizmus a n é v f e l o l d á s

(name resolution).

Az interneten - és

olykor a helyi hálózatban - vannak olyan kiszolgálók, amelyekhez név­ feloldási kérésekkel lehet fordulni. Az ilyen kiszolgálók - a n é v k i ­ szolgálók

(name seruer)

-, arnikor megkapják egy számítógép nevét, a

számmal kifejezett címet küldik vissza.

A vezeték nélküli hálózat A számítógépek összekapcsolásának legolcsóbb módja a vezeték nélküli hálózat. Ehhez be kell szerezni egy úgynevezett v e z e t é k hozzáférési

pontot

(wireless access point,

nélküli

WAP). A hozzáférési

pontnak kell adni egy nevet. Azok a számítógépek tartoznak egy vezeték nélküli hálózatba, amelyek azonos vezeték nélküli hozzáférési ponthoz kapcsolódnak.

29

1. feladat: Kisiroda internet-hozzáféréssel

A vezeték nélküli hálózatnak azonban vannak hátrányai a vezetékes hálózathoz képest. A hálózat kiterjedése általában nem probléma; a veze­ ték nélküli hálózat hatótávolsága 10-50 méter. Azonban a hálózati techno­ lógia kiválasztásakor oda kell figyelni a következőkre: l.

2.

3.

A vezeték nélküli hálózat sávszélessége kisebb. Általában 54 Mbit/ s sávszélességet ígér, ez azonban a gyakorlatban sohasem több 10-20 Mbit/s-nél - miközben a vezetékes hálózatokkal akár l G bit/s sáv­ szélességet is el lehet érni (olcsó eszközökkel is). Nagy mennyiségű adat továbbítására ezért a vezeték nélküli hálózatok alkalmasabbak. A vezeték nélküli hálózat forgalma "kihallatszik": alkalmas eszkö­ zökkel akár az utcán el tudják olvasni, milyen adatok utaznak a háló­ zatban. Ezért a vezeték nélküli hálózatban mindig oda kell figyelni a titkosításra, ami nem mindig egyszerű feladat. A vezeték nélküli hálózat nem mindig használható olyan helyeken, ahol sok �ezeték nélküli hálózat működik egy területen. A hozzáféré­ si pont beállítható egy meghatározott csatornára, ám rendszerint csak ll csatorna közül lehet választani, ráadásul a hálózatok működtetői erre általában nem figyelnek oda. Az azonos csatornára állított háló­ zatok zavarha�ák egymást, ami csatlakozási problémákat okozhat: a legjobb esetben is jelentősen megnő a számítógépek csatlakozásához szükséges idő.

Hozzáférés az internethez: az útválasztó Az internet-hozzáférés szűkös erőforrás, ezért a kisiroda jellemzően csak egy internetkapcsolattal rendelkezik. Ez azt jelenti, hogy nem az egyes munkatársak gépeit, hanem az egész hálózatot kell az internethez kap­ csalni. A hálózatban ezért lesz egy olyan berendezés, amely két hálózat­ hoz kapcsolódik: az egyik a belső (helyi) hálózat, a másik pedig az inter­ net, pontosabban az internetszolgáltató hálózata. Kifelé - az internet számára - a kisiroda hálózata egyetlen állomásnak látszik: a hálózatot ez a bizonyos berendezés képviseli. Ez a berendezés az ú t v á l a s z t ó (router) vagy á t j á r ó (gateway). Az útválasztó gondoskodik arról, hogy a belső (helyi) hálózat gépeiről indí­ tott kommunikáció eljusson a hálózaton kívüli címzetthez, illetve a külső hálózatból (az internetről) érkező válasz eljusson a megfelelő belső állo­ máshoz (számítógéphez). 30

Követelmények és alapfogalmak

-

A hálózat

Az útválasztó szerepét betöltheti egy közönséges számítógép is, amely­

ben két hálózati csatolókártya van - egy a belső, egy a külső hálózat irá­ nyába-, de sok esetben külön berendezést alkalmaznak, amely csak útvá­ lasztóként tud működni, ám olcsóbb, mint egy külön számítógép.

Az internet-hozzáférés biztonsági megfontolásai Az internet számítógépek millióit összekapcsoló, mindenki számára hoz­ záférhető rendszer. Ennek az a hátránya, hogy a rosszindulatú felhaszná­ lása előtt is szabad az út. Ha egy számítógépet az internetre csatlakozta­ tunk, biztosak lehetünk benne, hogy perceken belül éri valamilyen táma­ dás, ami arra irányul, hogy adatokat olvassanak le róla, vagy átvegyék fö­ lötte az irányítást. Ezért az internetre kapcsolt számítógépeket vagy helyi hálózatokat védeni kell, és a megfelelő védelmet még a kapcsolat létreho­ zása előtt üzembe kell állítani. A védelem eszköze a t ű z f a l

(firewall).

Ez olyan program, amely fo­

lyamatosan figyeli a hálózatból induló és a felé irányuló hálózati forgai­ mat Olyan szolgáltatásokat nyújt, amelyek segítségével észlelhetők a rosszindulatú kapcsolódási kísérletek, a weboldalakban vagy a levelek­ ben elrejtett vírusok és trójai falovak, és meghatározott forgalomtípusok ki is zárhatók a kommunikációbóL Lássuk, milyen szolgáltatásokat nyújtanak az egyes tűzfalak: •

B e t ö r é s- é r z é k e l é s

(intrusion detection):

Van néhány jellemző

művelet, amelyeket a támadók megpróbálnak elvégezni a célrend­ szeren. A betörés-érzékelő tűzfalak a hálózati forgalomban meg­ próbálják felismerni ezeket a műveleteket, és jelezni a felhasználó­ nak, illetve blokkolni a támadótól érkező forgaimat •

Cs o m a g s z ű r é s

(packet filtering):

Annak szabályozása, hogy a

hálózat milyen típusú csomagokat fogad el, illetve a rajta futó prograrnak milyen fajta csomagokat küldhetnek. •

Sok esetben szabályozható az is, hogy mely címekről (mely számí­ tógépekről) fogadjuk, illetve utasítjuk el a forgaimat Egyes tűzfa­ lakban pedig a csomagok tartalma is megszabható, bár ez a szemé­ lyi tűzfalakban nem jellemző. Azonban, ha egy tűzfal víruskereső programot tartalmaz, már egyfajta - jól irányított - tartalomszűrés­ nek tekinthető.

31

1. feladat: Kisiroda internet-hozzáféréssel

•

Alkalmazások szűrése: Számos rendszerben meghatározható, hogy az interneten keresztül mely prograrnak kommunikálhatnak Ha ez szabályozva van, a támadó által telepített trójai faló - amelynek a fel­ használó számítógépét kellene vezérelnie - többnyire nem műkö­ dik majd, hiszen számára nincs engedélyezve a hálózat használata.

A kisirodai hálózatot rendszerint olyan - az útválasztóval egybeépített tűzfallal védik, amely alapértelmezés szerint minden kívülről irányuló kapcsolati kérést megakadályoz, és csak a hálózat belsejéből küldött kéré­ sekre adott válaszokat engedi be a hálózatba.

A hibák megelőzése és elhárítása Az adatok mindig veszélyben vannak Közhely, hogy ami elromolhat, az el is romlik. Írtuk, hogy a tudásrnunká­ sok által létrehozott dokumentumok olykor a cég vagyonának jelentős ré­ szét alkotják, ezért minden áron meg kell őket védeni. A dokumentu­ mokkal - az informatikai rendszerrel - kétféle baj történhet: Az informatikai rendszer elérhetetlenné válhat. Ez azt jelenti, hogy a do­ kumentumokhoz vagy a rendszer szolgáltatásaihoz nem tudunk hozzáfér­ ni - gyakran éppen akkor, amikor a legnagyobb szükségünk van rá. Ilyen­

kor, bár az adatok nem vesznek el, az okozhat nagy kárt, hogy nem tudunk a megfelelő időben (például a határidő előtt félórával) hozzájuk férni. Az informatikai rendszer meghibásodhat, az adatok megsérülhetnek vagy elveszhetnek Ebben az esetben a kár állandó: a sérült vagy meg­ semmisült dokumentumokban fekvő szellemi tulajdont újra létre kell hozni. Ezért az informatikai rendszerek védelme azt jelenti, hogy fenntartjuk a rendszer r e n d e l k e z é s r e adatok épségét

állását

(availability)

és megóvjuk az

(data integrity).

A hálózat és a kiszolgáló karbantartása A rendelkezésre állást azzal tudjuk biztosítani, hogy felkészülünk az eset­ leges rendkívüli eseményekre (meghibásodásokra). Ha pedig bekövetke-

32

Követelmények és alapfogalmak

-

A hibák megelőzése és elhárítása

zik a rendkívüli esemény, megfelelő ismeretekkel és stratégiával kell ren­ delkeznünk arra, hogyan derítsük ki a hiba okát, és hogyan állítsuk visz­ sza mihamarabb a rendszer működését. Az áramszünetek ellen például szünetmentes áramforrás alkalmazá­ sával védekezhetünk.

A rendszerindításhoz használatos merevlemez

meghibásadása ellen pedig két merevlemez alkalmazásával és a rend­ szerterületek tükrözéséveL A rendkívüli események kezelése nemcsak technikai eszközök alkal­ mazását jelenti. Amikor a rendszer meghibásodik, a hibát elhárítani ké­ pes személynek elérhetőnek kell lennie, illetve megfelelő időben értesül­ nie kell róla. A kiszolgáló elérhetőségét, üzemkészségét például lehet fi­ gyelni egy másik rendszerből, és amikor valami nem működik megfelelő­ en, a rendszergazda automatikusan értesülhet róla. Vannak olyan események, amelyek előre jelzik, hogy a rendszer ha­ marosan meghibásodik vagy elérhetetlenné válik. Folyamatosan működő számítógépek esetén erre utal, ha a rendelkezésre álló szabad memória vagy merevlemez-terület folyamatosan csökken, vagy a rendszer ese­ ménynaplójában lemezhibákra utaló bejegyzések jelennek meg.

A biztonsági mentés és az adatok épségének védelme Amikor olyan meghibásodás következik be, amelyben az adatok is meg­ sérülnek, a hiba elhárításának legfontosabb eleme az adatok helyreállítá­ sa. Biztosak lehetünk abban, hogy az informatikai rendszer életében leg­ alább egyszer bekövetkezik ilyesmi, ezért az adatvesztésre előre fel kell készülni. Ezért a védekezés legfontosabb eleme a biztonsági másolatok készíté­ se. Az irodai hálózat számítógépein tárolt adatokról rendszeresen máso­ latot kell készíteni. Ha a közös dokumentumok valamennyien egy kiszol­ gálén vannak, elsősorban a kiszolgáló biztonsági mentéséről kell gondos­ kodni. A biztonsági mentésnek mindenképpen külső adathordozóra kell ké­ szülnie. A rendszeresség pedig azt jelenti, hogy a másolatoknak napra­ késznek kell lenniük, vagyis - az iroda tevékenységétől függően - legfel­ jebb egy-két napnyi munka elvesztését lehet eltűrni. Ez azt jelenti, hogy az adatokról - legalább azokról, amelyek időközben megváltoztak - na-

33

1. feladat: Kisiroda internet-hozzáféréssel

ponta-kétnaponta kell másolatot készíteni. Ezt a folyamatot részben au­ tomatizálni is lehet. A biztonsági másolatokat nem szabad az irodában tárolni. Ez azért fontos, mert ha az irodában fizikai kár - betörés, beázás, tűz stb. - történik, a biztonsági másolat nem pusztul együtt a kiszolgáló merevlemezével. Az adatok épségét más módon is védeni kell. A számítógépek merev­ lemeze általában hirtelen hibásodik meg (bár ennek lehetnek előjelei). Ilyenkor sokat segít, ha a merevlemez tükrözve van, vagyis a számítógép két merevlemezt tartalmaz, és az új adatokat automatikusan mindkettőre felírja.

34

1.1

Kisiroda internet-hozzáféréssel

o�(?)�®

Tervezés

A Windows Server 2008-ról A bevezetőben leírt kiszolgálót vagy kiszolgálókat a Windows Server

2008 operációs rendszer működteti majd. A tervezési fázis elején célszerű áttekinteni, melyek a rendszer legfontosabb jellemzői, és milyen számító­ gépre, milyen kiépítésben telepíthető. A Windows Server 2008 számos változatban elérhető, és az Intel

Hanium-processzorra készült, illetve a Windows HPC Server 2008 kiadás kivételével mindegyik elérhető 32 (x86) és 64 bites processzorra (x64) is, sőt, bármely licenckonstrukcióban (OEM, dobozos vagy mennyiségi) vá­ sároljuk meg a Windows Server 2008-at, megkapjuk hozzá mindkét plat­ form telepítőkészletét, és a megvásárolt licenccel bármelyiket használhat­ juk. A Windows Server 2003 esetén az x64-es változatok külön kiadásnak számítottak, külön licencet kellett rá vásárolni. A könyv írásakor kapható új processzorok mindegyike támoga�a a 64

bites technológiát, így ez feltehetőleg már nem okoz gondot az új operá­ ciós rendszer kiválasztásakor. A döntés során azonban érdemes megnéz­ ni, hogy minden hardverelemünkhöz elérhető-e 64 bites illesztőprogram, illetve van-e olyan alkalmazásunk, amely ki tudná használni a 64 bites működés nyújtotta előnyöket, például a 4 GB-nál nagyobb memória keze­ lését. Kérdés az is, hogy az alkalmazást 64 bites operációs rendszerre ír­ ták-e, vagy hogy képes-e 64 bites környezetben futni. Ha a fenti kérdések közül legalább egyre nem a válaszunk, úgy valószínűleg nem érdemes át­ térnünk az új technológiára. A közhiedelemmel ellentétben a 64 bites operációs rendszer egyáltalán nem futta�a gyorsabban a 32 bites alkal­ mazásokat, sőt, mivel azok virtuális környezetben futnak, elméletileg még lassabbak is, mint 32 biten, bár ez a gyakorlatban nem észrevehető. A Windows Server 2008 nyolc kiadását és azok tulajdonságait a kö­

vetkező táblázat foglalja össze:

1. feladat: Kisirodai hálózat

Kiadás Windows Server 2008 Standard

Leírás A Windows Server 2008 termékcsalád legalapve­ tőbb tagja. Tartalmaz minden olyan fontos szolgál­ tatást és összetevőt, amely az általános kiszolgáló­ funkciók ellátásához szükségesek. Egy megvásárolt licenc mellé jár egy "virtuális" licenc is. Ez azt jelen­ ti, hogy a Standard kiadást futtató számitógépen a Hyper-V virtualizációs technológia segítségével egy másik Windows Server 2008-at is futtathatunk

Windows Server 2008 Enterprise A Standard változat képességein felül a magas ren­ delkezésre állást segítő szolgáltatásokat és fejlettebb elosztott fájlrendszer-támogatást kapunk. Egy fizi­ kai licenccel négy példányban futtathatunk virtuális kiszolgálókat Windows Server 2008 Datacenter A Datacenter kiadás a nagyteljesítményű adatköz­ pontok operációs rendszere, amely speciálls hard­ vert (akár 64 processzorfoglalatot és 2TB memóriát) támogat, emellett a Windows Server 2008-at egy li­ cenccel korlátlan számban virtualizálhatjuk. Windows Server 2008 Standard without Hyper-V

Megegyezik a Windows Server 2008 Standard ki­ adás képességeivel, de hiányzik belőle a Hyper-V technológia.

Windows Server 2008 Enterprise Megegyezik a Windows Server 2008 Enterprise ki­ without Hyper-V

adás képességeivel, de hiányzik belőle a Hyper-V technológia.

Windows Server 2008 Datacenter Megegyezik a Windows Server 2008 Datacenter ki­ without Hyper-V

adás képességeivel, de hiányzik belőle a Hyper-V technológia.

Windows Web Server 2008

Költséghatékony, webkiszolgálásra optimalizált ope­ rációs rendszer. Tartalmazza

az

IlS 7.0-t, a Micro­

soft újgenerációs webkiszolgálóját, de minden más szolgáltatást (pl. Actíve Directory) kihagytak belőle. Windows Server 2008 for

Az Intel Hanium (ia64) processzorarchitektúrára fej­

Hanium-Based Systems

lesztett operációs rendszer, mely speciális, alkalma­ zás-kiszolgálói feladatok ellátására képes. Legjellemzőbb felhasználása az SOL-kiszolgálóként való üzemeltetés. A Web-kiadáshoz hasonlóan a legtöbb Windows-összetevő hiányzik belőle.

Windows HPC Server 2008

Kizárólag 64 bites (x64) processzorokon elérhető, fürtözhető, nagy számításigényű (HPC, High Per­ formance Computing) feladatok ellátására szolgál.

36

1.1. Tervezés- A Windows Server 2008-ról

A Windows Server 2008 futtatásához legalább 512 MB memóriára, 10 GB

szabad merevlemez-területre és a 32 bites változat használatához 1 GHz­ es, a 64 bites változat esetén pedig 1,4 GHz-es processzorra lesz szüksé­ günk, de a megfelelő működéshez - főleg, mivel esetünkben egy kiszol­ gáló látja el az összes hálózati feladatot -javasolt legalább 2 GB memória, több mint 40 GB szabad hely és minimum 2 GHz-es processzor. Mivel a kiszolgálónak akkor is működnie kell, ha egy merevlemez megsérül, célszerű legalább két merevlemezt vásárolni, majd ezeket a Windows telepítése után szaftveres RAID-1 (tükrözött) tömbként beállí­ tani.

Where do you want to install Windows? Nome

Total Su•

Disk O Partrtton l

80.0GB

Disk O Unallocat�d Space

420.0 GB

420.0GB

Disk l Unallocated Space

500.0GB

500.0 GB

� +� l\d'�h

).oad Oriver

Xll•lot•

format

*N'!l
ed by DHCP.IPv6 enabled

fui Computer Ha me:

WIN-llR6lEEV3fPZ

ProVIde �er name ond domao1

Worl IP s.a.;ty Paioes on Acbve Oi"l wJI Polcy-based QoS Admns..aiM! T....,&a,.., Polcy detnbc 1!1

A jelszóhasználat és az automatikus kizárás szabályozása A bejelentkezés feltételeit a Security Settings alatti Account Policies

•

•

Biztonsági beállítások elem

Fiókházirend elem beállításaival lehet meghatá­

rozni. Ha ezt megnyitjuk, három további elem jelenik meg: •

Password Policy

•

Account Lockout Policy

•

Jelszóházirend: a jelszóhasználat szabályozása. •

Fiókzárolási házirend: az automatikus kizá­

rás szabályozása. Ez azt akadályozza meg, hogy illetéktelenek kor­ látlanul próbáljanak bejelentkezni hibás jelszóvaL Beállítható, hogy adott számú próbálkozás után az operációs rendszer megvonja a bejelentkezés jogát attól a felhasználótól, akinek nevében hibás jel­ szóval próbálkoztak. •

Kerberos Policy

•

Kerberos-irányelv: az Actíve Directoryban a fel­

használók hitelesítését végző Kerberos-protokoll működésének be­ állításai.

Password Policy •

•

Jelszóházirend

Enforce password history

•

Előző jelszavak megőrzése: előírhatjuk,

hogy a felhasználók ne használhassák még egyszer ugyanazt a jel­ szót. Ennek érdekében a Windows Server 2008 minden felhasználó

175

1. feladat: Kisirodai hálózat

mellett fel tudja jegyezni az eddigi jelszavakat. Ha a korlátozás ér­ vényben van, a tartományvezérlő a jelszó megváltoztatásakor ellen­ őrzi, hogy az új jelszó rajta van-e a korábbi jelszavak listáján, és ha igen, nem hajtja végre a változtatást. A korlátozás alapértelmezés szerint 24 jelszára vonatkozik. Ha ezen mindenképpen módosítani szeretnénk, töltsük ki a beállításhoz tartozó párbeszéddoboz passwords remembered

...

•

...

tárolt jelszó mezőjét, majd kattintsunk

az OK gombra! Ebben a mezőben azt írhatjuk elő, hogy a Windows Server 2008 hány korábbi jelszót jegyezzen meg. Ha nem akarunk ezzel a korlátozással élni, írjunk O-t! •

Maximum password age

Jelszó maximális élettartama: ez meghatá­

•

rozza, hogy egy jelszó mennyi ideig használható. Ha a beállításhoz tartozó párbeszéddoboz Passwords expire in ... days

•

A jelszavak le­

járnak: ... nap mező O-nál nagyobb egész számot ( n ) tartalmaz, a jel­

szót minden felhasználónak n naponként meg kell változtatnia (erre a rendszer kényszeríti). Az alapértelmezés 42 nap. Ez alól úgy tehe­ tünk kivételt, hogy az egyes felhasználók adatlapján bekapcsoljuk a Password Never Expires

•

A jelszó soha nem jár le jelölőnégyzetet

Ha nem akarunk ilyen korlátozással élni, a számmezőbe írjunk O-t! •

Minimum password age

•

Jelszó minimális élettartama: ha egy fel­

használó túl gyakran változtatja a jelszót, elfelejtheti. Ezért itt lehe­ tőségünk van arra, hogy meghatározzuk, a jelszóváltoztatások kö­ zött legalább hány napnak kell eltelnie: a beállításhoz tartozó pár­ beszéddoboz

...

days

•

...

nap mezőjébe írjunk O-nál nagyobb egész

számot! Ha nem akarunk ilyen korlátozással élni, írjunk a mezőbe O-t! (Az alapértelmezés l nap.) Ebben az esetben a jelszavak bármi­ kor megváltoztathatók, kivéve, ha az adott felhasználó adatlapján be van kapcsolva a User Cannot Change P�ssword

•

A jelszót nem le­

het megváltoztatni jelölőnégyzet •

Minimum password length

•

Legrövidebb jelszó: meghatározhatjuk a

jelszavak minimális hosszát (rövidebb jelszót könnyebb feltörni). Ehhez a beállítás párbeszéddobozában a ... characters

•

... karakter

mezőbe írjunk O-nál nagyobb egész számot! Ez ,lesz a jelszavak ka­ raktereinek minimális száma. Ha nem akarunk ilyen korlátozással élni, írjunk a mezőbe O-t! Ebben az esetben a felhasználók jelszava üres is lehet, vagyis egyáltalán nem kötelező a jelszóhasználat A Windows Server 2008-ban ez 7 karakterre van beállítva.

176

1.2. Kivitelezés- A csoportházirend beállítása

•

Passwords must meet complexity requirements

•

A jelszónak meg kell

felelnie a bonyolultsági feltételeknek: ez a beállítás csak tartomány­

ban, tartományvezérlőkön használható. Célja annak kikényszeríté­ se, hogy az új jelszavak ne legyenek könnyen kitalálhatók. A beállí­ tás úgynevezett biztonsági

jelszószűrő programot kapcsol be,

amely például biztosíthatja, hogy a jelszó legalább 6 karakterből áll­ jon, tartalmazzon számjegyeket, illetve kis- és nagybetűket együtt. •

Store password using reversible encryption

•

A jelszavak tárolása visz­

szafejthető titkosítással: ha bekapcsolják, a címtár adatbázisából

könnyebben kiolvashaták lesznek a jelszavak. Ez például akkor hasznos, ha vannak olyan felhasználók, akik valamilyen okból tá­ volról (modemmel, virtuális magánhálózat segítségével vagy akár a helyi webkiszolgálóra) elavult hitelesítési eljárással (CHAP) jelent­ keznek be. Egyéb esetekben biztonsági okokból tilos használni! Account lockout

•

Fiókok zárolása

Ha valaki sokszor egymás után hibás jelszóval próbál bejelentkezni, a rendszer kizárhatja a további bejelentkezésbőL Ezt külön elő kell írni. A Lockout Policy •

•

Fiókzárolási házirend alatti beállítások a következők:

Account lockout duration

•

Fiókzárolás időtartama: itt kell megadni,

hogy a felhasználói fiók automatikus kizárása mennyi ideig tartson. A beállításhoz tartozó párbeszéddoboz

...

minutes

•

...

perc mező­

jében ezt az időtartaroot kell megadni. Ha ide O-t írunk, a kizárás addig tart, amíg a rendszergazda vissza nem engedi a felhasználót. •

Account lockout threshold

széddobozának

...

•

Fiókzárolás küszöbe: a beállítás párbe­

invalid logon attempts

•

...

érvénytelen bejelent­

kezési kísérlet mezőjében megadhatjuk, hogy a rendszer hány ér­

vénytelen próbálkozás után zárja ki az adott felhasználói fiókot. Ha ebbe a mezőbe O-t írunk, kikapcsoljuk az automatikus kizárást (ez az alapértelmezés). •

Reset account lockout counter after

•

Fiókzárolási számláló nullázása:

kérhetjük a rendszertől, hogy nullázza a hibás kísérletek számláló­ ját, ha adott időtartam eltelik bejelentkezési kísérlet nélkül. Ez az időtartam a beállításhoz tartozó párbeszéddoboz

...

minutes

•

...

perc elteltével mezőjében állítható be.

Ha a rendszer a fentiek alapján automatikusan kizár egy felhasználót, számára a rendszergazda engedélyezheti újra a bejelentkezést. Ehhez a

177

1. feladat: Kisirodai hálózat

kizárt felhasználó adatlapján (az Actíve Directory Users and Computers Actíve Directory - felhasználék és számítógépek konzolban), az Account Fiók fülön megjelenik az Account is loeked out

•

•

•

A fiók zárolt jelölőnégyzet

(pontosabban a rendszer engedélyezi, mert az adatlapon végig rajta van). A rendszergazdának ezt kell kikapcsolnia a kizárás feloldásához. Megjegyzés: Az Account is loeked out

•

A fiók zárolt jelölőnégyzet nem használható a fel­

használó ideiglenes kitiltására (csak a Windows Server 2008 tudja bekapcsolni), a rendszer­ gazda ehelyett az Account is Disabled

Kerberos Policy

•

•

A fiók le van tiltva jelölőnégyzetet használhatja.

Kerberos-irányelv

Az Account Policies

•

Fiókházirend harmadik része a Kerberos-protokoll

alatti kulcskiosztás módját szabályozza. Ezzel a Windows Server 2008ban a hitelesítés működését állíthatjuk be. A hitelesítési folyamatot sok ponton biztonságosabbá lehet tenni. Titkosíthatjuk a hálózati forgalmat, megváltoztathatjuk a jelszavak és a fiókok kezelését - és szigoríthatjuk a hitelesítési protokoll paramétereit: •

Enforce user logon restrietiens

•

Felhasználói bejelentkezési korláto­

zások érvényesítése: meghatározza, hogy a Kerberos VS-tel műkö­

dő k u l c s k i o s z t ó

központ

(Key Distribution Center, KDC)

összevet-e minden hitelesítési kérést a célszámítógépen érvényes felhasználóiengedély-házirenddeL Alapértelemzés szerint be van kapcsolva. •

Maximum lifetime for user ticket

•

Felhasználói jegy maximális élet­

tartama: ez a beállítás azt az időtartamot határozza meg, amíg egy

felhasználói

jegyet

(Ticket Granting Ticket, TGT) használni

lehet. A felhasználói jegy olyan adatstruktúra, amelyben a felhasz­ náló rendszerbeli azonosítói vannak tárolva. Amikor a felhasználó bejelentkezik, a rendszer hozzárendel egy felhasználói jegyet. Ami­ kor pedig ugyanez a felhasználó egy tartománybeli vagy azonos erdőben levő kiszolgálóhoz fordul egy erőforrásért, a jegyért cseré­ be kap a kulcskiosztó központtól egy m u n k a m e n e t j e g y e t

(session ticket, ST). A Kerberos így teszi lehetövé, hogy az egyes erő­ források igénylésekor ne legyen szükség újra és újra hitelesítésre. Amikor a felhasználói jegy lejár, újat kell igényelni, vagy a régit " "meg kell újítani . Az időtartamot órában kell megadni. Az alapér­ telmezés 10 óra.

178

1.2. Kivitelezés- A csoportházirend beállítása

•

Maximum lifetime for user ticket renewal

•

Felhasználói jegy megújí­

tásának maximális élettartama: azt az időtartamot határozza meg,

amíg egy felhasználó jegyét

(TGT)

meg lehet újítani. Napokban kell

megadni. •

Maximum tolerance for computer clock syncronization

•

Számítógép

időszinkronjának maximális tűrése: a tartományvezérlő órája és az

ügyfél (munkaállomás) órája közötti maximális eltérés nem lehet nagyobb, mint az itt szereplő érték. Percben kell megadni. Ez az az érték, amelyet a Kerberos VS még eltűr a tartományvezérlőn. •

Maximum lifetime for service ticket

•

Szolgáltatásjegy maximális élet­

tartama: ez a biztonsági beállítás percben határozza meg azt a ma­

ximális időtartamot, amíg egy szolgáltatásjegy használható az adott erőforrás elérésére. Ennek 10 percnél és a felhasználói jegy maximá­ lis élettartamánál is nagyobbnak kell lennie (lásd fent).

A számftógépek biztonsági beállftásai A jelszóhasználat és az automatikus kizárás mellett sok más rendszer­ szintű biztonsági paraméter is szabályozható a helyi biztonsági házi­ renddel.

Ezek a beállítások a csoportházirend-objektumban a Local

Policies

Helyi házirend elem alatt érhetők el.

•

A biztonsági beállítások há­

rom kategóriába esnek: •

Audit Policy

•

Naplórend: különböző műveletek biztonsági naplózá­

sának ki- és bekapcsolása; •

User Rights Assignment

•

Felhasználói jogok kiosztása: a felhasználék

rendszerszintű jogosultságainak szabályozása; •

Security Options

•

Biztonsági beállítások: általános biztonsági beállí­

tások.

A felhasználók rendszerszintü jogosultságai A rendszerszintű jogok eléréséhez a csoportházirend szerkesztésekor a Local Policies Assignment

•

•

Helyi házirend elem melletti

+

jelre, majd a User Rights

Felhasználói jogok kiosztása elemre kell kattintani.

A konzol

jobb oldalán megjelenik a rendszerszintű jogok listája, mellette táblázat­ szerűen azon felhasználék és csoportok nevei, akik vagy amelyek rendel­ keznek az adott jogokkal.

179

1. feladat: Kisirodai hálózat

Az egyes jogosultságok módosításához kétszer rá kell kattintani a kí­ vánt jogosultságra, majd a megjelenő párbeszéddobozban lehet módosí­ tani az adott jogosultsággal rendelkező felhasználók és felhasználócso­ portok listáját. Fontos, hogy ne próbáljunk olyan jogokon változtatni, amelyek mű­ ködését nem értjük! Továbbá semmilyen jogot ne vegyünk el a tartomány Administrators

•

Rendszergazdák felhasználócsoportjától, mert azzal ke­

zelhetetlenné tehetjük a rendszert! Ha az Olvasó kívánesi arra, hogy alapértelmezés szerint mely felhasz­ nálók és csoportok rendelkeznek az egyes jogokkal, jó gyakorlat lehet an­ nak végignézése az alapértelmezés szerinti csoportházirend-objektumok­ ban. Érdemes sorban minden jog nevére rákattintani, és a bővített nézet­ ben a leírást gondosan végigolvasni. A fenti listán néhány olyan "jog" is szerepel, amelyek megtiltják egyes műveletek elvégzését a velük rendelkezőknek Ilyen például a Deny log on locally Helyi bejelentkezés megtagadása "jog" . Akinek megadjuk ezt a jogot, nem tud helyben, interaktívan bejelentkezni a számítógépen. Bár •

ennek van ellentétpárja - a Log on locally

•

Helyi bejelentkezés jog, amely

explicite engedélyezi a helyi bejelentkezést -, a korlátozó, a műveletet megtiltó jog mindig erősebb. Ha tehát valaki egyaránt rendelkezik a Log on locally

•

Helyi bejelentkezés és a Deny log on locally

•

Helyi bejelentke­

zés megtagadása joggal, nem jelentkezhet be a házirend által érintett szá­

mítógépeken.

A GPMC haladó használata A csoportházirend felügyeleti konzolján megjelenő tárolók a következők: •

Domains: a tartományokhoz és a szervezeti egységekhez rendelt

csoportházirend-objektumok megjelenítése. Így a csoportházirend­ objektumok is struktúrába rendezve jelennek meg, anélkül, hogy a felhasználókezelő konzolt tennék bonyolultabbá. A tartomány mel­ lett kezdetben a Default Domain Policy objektumot találjuk Ha mé­ lyebbre megyünk a struktúrában, a szervezeti egységek melletti csoportházirend-objektumokat tekinthetjük meg. •

A tartomány alatt a szervezeti egységek mellett két másik tároló is megjelenik: a Group Policy Objects és a WMI Filters. Az elsőben a tar­ tományon belüli összes csoportházirend-objektumot találjuk A

180

1.2. Kivitelezés

-

A csoportházirend beállítása

WMI-szűrők tárolójában a számítógépek jellemzőire vonatkozó szűrőket látjuk, azokat a parancsfájlokat, amelyek lekérdezik a számítógépek különböző paramétereit a Windows WMI-felületén keresztül. •

Sites

Helyek: a már létrehozott telephelyeket és a hozzájuk rendelt

•

csoportházirend-objektumokat rendszerezi. •

Group Policy Modeling

•

Csoportházirend modellezése: itt olyan - új­

ra felhasználható - szirnulációs feladatokat találunk, amelyekről az eredő házirend kapcsán már volt szó. A modellezés arra a kérdésre segít válaszolni, hogy mi történne egy adott címtárobjektummal milyen szabály(ok) lesz(nek) rá érvényesek, és milyen beállításai változnak meg-, ha a címtárban máshová kerülne. •

Group Policy Results

•

Csoportházirend eredménye: az eredő házirend

kiszámítása adott felhasználóra és/vagy szárnítógépre, szervezeti egységre vagy biztonsági csoportra.

A Domains tároló Ha a Domains tároló nevére kattintunk, a Contents

•

Tartalom fülön meg­

jelenik a Default Domain Policy házirendobjektum. A Delegation

•

Delegálás

fülön azt látjuk, hogy mely felhasználók és csoportok jogosultak csoport­ házirendet létrehozni. Ha az ablak jobb oldalán kétszer rákattintunk egy házirendre, négy fül jelenik meg: •

Scope

•

Hatókör: három kiemeit adat jelenik meg a kijelölt házirend­

ről. A Security Filtering

•

Biztonsági szűrés mezőben azok a csopor­

tok és felhasználók vannak felsorolva, amelyekre/ akikre érvénye­ síthető a házirend, vagyis rendelkeznek a megfelelő joggal. A WMI Filtering

•

WMI-szűrés mezőben az objektumhoz rendelt WMI-szűrő

neve jelenik meg. •

Details

•

Részletek: részletes információ arról, hogy mikor hozták

létre és mikor módosították utoljára, ki a tulajdonosa, és engedé­ lyezve van-e a szárnítógépszintű, illetve a felhasználói rész vagy éppen mindkettő.

181

1. feladat: Kisirodai hálózat � G�up Pollc_!Hanagrmmt_

_

1.;:�

_ ___

�- .. tt.;,c-.

1����----------�YM

.!he falowno ltes. donlalw. and OU. n JA(ecf to rt. GPO

Vezetöség "·li""'""'G'O Ve:zetakG'O "•! B � "'""' Polcy Cbjods .J] IlehUl """"' Con�< 8

Deho.OtlloonoO>­ -G'O --G'() Ve:zetiikQIO

Sooutly� The-.,.nthsGPO.,_,tr/r....,.IO""'f_.,..,......_.. a'>d""""""'

It��

----

l .!.l

· ''

··� n. GPO• ... edlothe��Nl fier

Settings

•

Beállitások: a csoportházirend-objektum tartalma. Itt csak

•

azok a beállítások jelennek meg, amelyek explicit módon értéket kaptak az objektumban. Új házirendobjektum esetén mind a fel­ használói, mind a számítógépszintű résznél ezt láljuk: No settings defined

•

Nincsenek megadva beállítások. Ez a fül dinamikus megje­

lenítést kínál, ahol az egyes beállítások részletei is megjeleníthetők.

Defauh Domain Policy Oalac:oh::tedon 101\12008355"12 p� �... �....

B B

{Enabled)

v.,.."..

,· ""'""' G'O · Vetet&GPO

4"'""'-,. Cb;ods

Detalt Datnain Centre

J Deho.Ot """"' Polcy ;J Uoplq>G'() .;1 ..lf --G'O Vezt:tékGPO YoM!Fit.n

--SooutlySoiiW9 ...... __ _ ...... _,....... l.odaoul ­ ....... �­ '-á� Optiono PIA* Key� Ale Soot-

11m!

I'IA*Key-..r-od-� ....._...

.."",_

User Corl"-lon {Enabled) ,., __

182

!i!lt

1.2. Kivitelezés •

Delegation

•

-

A felhasználók számítógépeinek beléptetése a tartományba

Delegálás: Az objektumra vonatkozó hozzáférési enge­

délyek megjelenítése, hasonlóan a fájlokra vonatkozó jogokhoz. A fül alján levő Add

•

Hozzáadás, Remave

lajdonságok és Advanced

•

•

Eltávolítás, Properties

•

Tu­

Speciális parancsgombokkal módosíthat­

juk is a jogokat. A hagyományos jogbeállító ablak az Advanced

•

Speciális gomb hatására jelenik meg.

�Group PoiKV fotanag�m�n��---- .=:��:::·::=·-,·

__________ _

: '" '::'�

_

,..J.Qj2!)

j�l9j

!::!

•• 1 Default Domain Policy

x-1 Det•l s.tt.1os � l

Theoe-and .-. have the apecl;ed- lorthe GPO

�and.-.

Domain Controlers

8 � 1'\riatksak .JI 1'\riatksaltGPO 8 � VoZeeCl.ie

-

D D El El El

u.tfold..-ccnlents Reed

OK

Emiatt az NTFS-lemez g y ö k é r m a p p á h o z tartozó hozzáférési enge­ délyek alapértelmezésként szolgálnak a lemezen levő mappák és fájlok számára. Az öröklött engedélyek nem módosíthatók az öröklés helyén (helye­ in), csak az öröklés forrásánál; például tegyük fel, hogy a C:\Cimek map­ pához beállítottuk az alábbi engedélyeket: l Advan-41 o 00 l l

:

.

Jt:.:� :lft,iMM3

System Stobö6ty O..rt Last updatod: 2008.11.03

.r. o

-

,

�

---

Software (Un}lnstalls

o -- ...- --

,,,

, _,

....,

,

Application Failures Hardware Failures

•-;-.-.!,:

Windows Failures MISC�Ianeous Fa1lures

E I

��������������� ���������G���ö���q�q���c�����< ..!J __w --�e• St..,_r a�t

m----=- (�-- ""'

�·

2008.11.03

Appk.olion F-..s for 2008.11.03

EMhc--...

llonhnre F-..s faJ 2008.11.03

-F-es faJ 2008.1L03

:J!)

F-..s faJ 2008.1L03

'

lll

.......

'

Problémamegoldás A

fájlhozzáférési engedélyek problémái

Kezdő rendszergazdák gyakran találkozhatnak engedélyproblémákkal, amelyek megoldása első ránézésre nem biztos, hogy teljesen egyértelmű. Ilyen esetben érdemes azzal kezdeni a hibakeresést, hogy az adott fájl

224

1.3. Fenntartás- Problémamegoldás

vagy mappa tulajdonságlapján átnézzük a Security az Advanced

•

•

Biztonság fület, majd

Speciális gombra kattintva ellenőrizzük, hogy az egyes en­

gedélybejegyzések ta lnherited From

•

(ACE, Access Control Entry)

honnan származnak (a lis­

Öröklődés forrása oszlopa). Az Effectíve Permissions

•

Hatályos engedélyek fülön egy felhasználó vagy csoport megadása után

ellenőrizhetjük, hogy az adott felhasználónak vagy csoportnak milyen hozzáférési engedélye van a fájlhoz vagy mappához. Ha ezek mind rend­ ben vannak, de hálózaton keresztül mégsem férünk hozzá a fájlhoz, el­ lenőrizzük annak a hálózati megosztásnak az engedélyeit, amelyben a kérdéses fájl vagy mappa található, és vegyük figyelembe, hogy a fájl­ rendszer- és a megosztásszintű engedélyek együtt érvényesülnek, és mindig az "erősebb győz". Vagyis, ha egy felhasználónak írási engedély­ re van szüksége a fájlhoz, akkor szükséges, hogy a megosztás engedélye és a fájlrendszerszintű engedély együtt tegye lehetövé a felhasználó szá­ mára a fájl írását. Ezt legegyszerűbben úgy tudjuk elképzelni, ha arra gondolunk, hogy van egy cső, arninek az elején és a végén is van egy csap. A csövön a víz csak akkor tud átfolyni, ha mindkét csap nyitva van.

A DNS-szolgáltatás problémái Ma már szinte minden számítógéphálózatban találunk DNS-kiszolgálót, de ez nem is csoda, mivel a legtöbb szolgáltatás eléréséhez elengedhetet­ len a DNS használata. Mi több, ez nemcsak az internetes szolgáltatásokra igaz, hanem ahhoz is kell DNS, hogy egy Active Directory-tartományba bejelentkezzünk. Mikor egy Active Directory-tartományi tag bejelentke­ zik a tartományba, először az alapértelmezett hálózati kapcsolatán- akár kézzel, akár DHCP-vel - beállított DNS-kiszolgálótól lekérdezi, hogy a tartományt (pl. iroda.local) milyen számítógépek szalgálják ki. Ilyenkor a tartomány vezérlőinek IP-címét várja vissza a munkaállomás, és ezen in­ formáció hiányában a számítógép nem tud a tartományba bejelentkezni. Épp ezért rendkívül fontos, hogy a hálózatunk tartományának DNS-ki­ szolgálói mindig elérhetőek legyenek, és képesek legyenek a tartományra vonatkozó kéréseket kiszolgálni. Ha egy munkaállomás vagy tagkiszolgáló nem tud bejelentkezni a tar­ tományba, célszerű először ellenőrizni hálózati kapcsolatát, majd azt, hogy a DNS-kiszolgáló fut-e és azt az ügyfél eléri-e. Ezt legegyszerűbben úgy vizsgálhatjuk meg, hogy az ügyfelen indítunk egy parancssort, majd lefuttatjuk az nslookup tartománynév parancsot (példa: nslookup iroda. local).

225

1. feladat: Kisirodai hálózat

Nyomtatási problémák: lapméret, elakadás, papirbegyürődés A legtöbb nyomtatási problémáról megfelelő információt nyújt a Control Panel

Vezérlőpult program Printers

•

•

Nyomtatók mappája. Itt láthatjuk az

egyes nyomtatókat, valamint néhány szóban azok állapotát: legtöbbször a Ready

•

Üzemkész, a Paper jam

papír, az Offline

•

•

Papírbegyűrődés, a Paper out

Kapcsolat nélkül és a No toner

•

•

Elfogyott a

Kifogyott a festék üzene­

tek találhatók.

J ....,. O."-"

•

Foldecs

•

v

Nam

;

o..lctop

Notwork

ll Control Panel � Administratrve

Comme.nts

loution

hp3005 g on ls

o

Roady

l

hp3700a on FS

E

AutoPiay Backup and Rt

't

Status

o

Public Computer

Oocuments CutoPOF Writer

SulayMárton

l!ij

�l�tll �rch

Controt Panel .- PrinttrS

Bitloeker Drrv• O efauft Progra

o

hp5400a on ls

Roady

o R..cty

Microsoft Office Uve Meeting

Microsoft XPS Oocument

1IXJ7 Document Wrrter

o

/ �nd To OnoNoto 2007

Writer

o

Rea�1

Q Ease of Acc�s Fonts .,�

Nttwork and S

• PO!formanco h Personalizatiar ...-

Szintén gyakori, de nehezebben behatárolható probléma, ha más méretű papírra szeretnénk nyomtatni, mint ami a nyomtatóban található. Ilyen­ kor a legtöbb nyomtató villog és arra vár, hogy más papírt válasszuk, a kijelzővel rendelkező eszközök pedig akár figyelmeztethetnek is erre. Ezt a problémát úgy orvosolhatjuk a legegyszerűbben, hogy abban az alkalmazásban, amelyből nyomtatunk (pl. Microsoft Office Word) átállít­ juk a papír méretét, de bizonyos nyomtatók, illetve illesztőprogramok esetén az is segíthet, ha az illesztőprogramban beállítjuk, hogy milyen méretű papírra vagy melyik tákából szeretnénk nyomtatni. Ennek módja gyártónként és illesztőprogramonként más és más, így nem tudunk rá ál­ talános leírást adni.

226

2

Kisiroda távmunkásokkal

Az előző fejezetben olyan irodáról írtunk, ahol minden munkatárs hely­ ben dolgozik. Az iroda külső kapcsolatai az intemet-hozzáférésre korlá­ tozódnak-már ami az informatikát illeti. Most egy olyan kisvállalat informatikai igényeiről írunk, amelynek távmunkásai is vannak. Ilyenek a fordítóirodák, a könyvkiadók, egyes építészirodák, szaftverfejlesztő cégek - és még sok más. A távmunkásoknak jellemzően ugyanazokkal az adatokkal - doku­ mentumokkal - kell dolgozniuk, mint a belső munkatársaknak. Sok táv­ munkás immár főállásúként dolgozik a cégnél, és jelentős - bizalmi - sze­ repet tölt be: még a rendszergazda is lehet távmunkás. Ugyanakkor a távmunkások által elérhető dokumentumok, adatok körét korlátozni kell, alapelv, hogy senki se férhessen hozzá olyan adatokhoz, amelyekre nincs feltétlenül szüksége a munkájához. A távmunkásnak alapvetően ugyanolyan szolgáltatásokra van szük­ sége, mint az iroda belső munkatársainak: hozzá kell férnie a külső -és ha van, a belső -levelezéshez, a közösen használt dokumentumokhoz és programokhoz. Elvárás, hogy amikor egy belső munkatárs módosít egy dokumentumot vagy egy adatbázist, a változás a távmunkás számára azonnal látható legyen. Olykor elképzelhető, hogy az irodában telepített nyomtatóhoz is hoz­ zá kell férni, ám ilyenkor a távmunkás nem lálja a nyomtatott kimenetet. Írtuk, hogy a távmunkásnak az iroda belső hálózatán telepített prog­ ramokhoz is hozzá kell férnie. Ez -a prograrnak jellegétől függően -há­ romféleképpen történhet. A távmunkás •

hozzáférhet az iroda belső kiszolgálójának képernyőjéhez - beje­ lentkezhet rá úgy, mintha a kiszolgáló képernyőjével, billentyűze­ tével dolgozna;

2. feladat: Kisiroda távmunkásokkal

•

webböngészőn keresztül elérhet egy - névvel és jelszóval védett weblapot, amelyen a program kezelőszervei jelennek meg. A mai programfejlesztési módszerek (pl. az

Ajax)

jóvoltából webböngé­

szőben is lehetőség van gyors és összetett felhasználói felületek ki­ alakítására; •

a saját gépén futó speciális prograrnon keresztül használhatja az iroda kiszolgálóján működő programot. Ilyenkor úgy tűnik, mintha minden a távmunkás saját gépén történne; a program csak alkal­ manként, adatokért és meghatározott szolgáltatásokért fordul az iroda kiszolgálójához.

Az informatikai rendszer alapjai Hálózat és kiszolgáló A dokumentumok, adatok, szolgáltatások eléréséhez - csakúgy, mint az 1. fejezetben leírt irodában - hálózatra van szükség. A hálózatban leg­

alább egy kitüntetett számítógép lesz: ez a kiszolgáló. A kiszolgáló tárolja a közös dokumentumokat, futtatja a közösen elérhető programokat, biz­ tosítja a hozzáférést a nyomtatókhoz. Emellett kiszolgálói feladat a közös internet-hozzáférés biztosítása is, bár ezt - különösen kis irodákban nem a számítógép-formájú kiszolgáló, hanem egy céleszköz, az útválasz­ tó biztosítja.

A cimtárrendszer: felhasználók, jelszavak,

számitógépek nyi Ivántartása A kiszolgálónak a fentiek mellett fontos feladata a hálózat biztonságának

megőrzése. Ezért - mielőtt átadná a felhasználóknak a közös dokumen­ tumokat, adatokat, programokat stb. - minden kiszolgálónak el kell vé­ geznie két biztonsági alapműveletet: az egyik a h i t e l e s í t é s

tion),

a másik pedig az e n g e d é l y e z é s

(authentica­

(authorization).

A hitelesítés a hozzáférést kérő felhasználó azonosítását jelenti, annak

ellenőrzését, hogy a felhasználó szerepel-e a hozzáférésre jogosultak

228

Az informatikai rendszer alapjai

adatbázisában, illetve, hogy a bejelentkező személy azonos-e azzal, aki­ nek számára az adatbázisbeli f i ó k

(account)

készült.

Az engedélyezés annak vizsgálata, hogy a felhasználó jogosult-e hoz­ záférni az adott dokumentumhoz, adathoz vagy programhoz. Ezen a ponton a kiszolgáló már tudja, hogy a felhasználó kicsoda, mert a hitele­ sítés megtörtént. Arnikor a kiszolgáló a felhasználók és a jogosultságok nyilvántartására címtárrendszert használ, a fentieknél többet tesz: ellenőrzi, pontosabban biztosítja az ellenőrzést a teljes hálózat felett. Nemcsak azt szabályozza, hogy a közös dokumentumokhoz, adatokhoz ki és hogyan férhet hozzá, hanem azt is, hogy a hálózat többi szárrútógépét ki használja. Amikor az irodában valaki leül a számítógéphez, és bejelentkezik, olyan nevet és jel­ szót kell beírnia, amely a kiszolgálón - nem pedig magán a szárrútógépen - van nyilvántartva. Ez azt is jelenti, hogy ugyanaz a munkatárs a hálózat bármelyik számítógépéhez leülhet - ha ugyanazt a nevet és jelszót adja meg, a kiszolgálótól mindenhol ugyanazokat a szolgáltatásokat kapja. Elvileg lehetőség van arra is, hogy a címtárrendszer "fennhatósága" kiterjedjen a távmunkások számítógépére is. Azonban ez csak akkor sze­ rencsés, ha a távmunkás kizárólag - vagy az ideje legnagyobb részében az adott cég számára végez munkát. Ha részmunkaidőben dolgozik, jobb, ha a címtár felügyeletét arra az időre korlátozzuk, amikor szüksége van a cég belső kiszolgálójának szolgáltatásaira.

A fájl- és nyomtatómegosztás A fájl- és nyomtatómegosztás a kiszolgáló funkciója. E szolgáltatás teszi

hozzáférhetővé a kiszolgálón tárolt fájlokat, illetve a kiszolgálóhoz csat­ lakoztatott nyomtatókat a hálózat többi felhasználója (pontosabban a há­ lózat más gépeit használó munkatársak) számára. A megosztás nem jelenti azt, hogy a kiszolgálón levő összes fájl és nyomtató elérhető a hálózatból, ellenkezőleg: csak azok a fájlok (mappák) és nyomtatók érhetők el, amelyeket a rendszergazda tételesen kijelölt er­ re. Azt a műveletet, amelynek során a rendszergazda utasítja a kiszolgá­ lót, hogy adott mappát vagy nyomtatót tegyen elérhetővé a hálózatból, a mappa vagy a nyomtató m e g o s z t á s á n a k

(sharing) nevezzük.

A megosztott mappák és nyomtatók nem érhetők el mindenki számá­ ra, a jogosultak sem egyformán jutnak hozzájuk. A hozzáférésre csak a

229

2. feladat: Kisiroda távmunkásokkal

korábban említett hitelesítés és engedélyezés után van lehetőség. Az en­ gedélyezés az egyes mappákhoz, fájlokhoz, nyomtatókhoz tartozó hozzá­ férési engedélyek

(permissions)

alapján történik. A hozzáférési engedély

azt határozza meg, hogy a hitelesített felhasználók közül ki milyen műve­ letet végezhet az adott mappával, fájllal vagy nyomta tóval.

Az internet-hozzáférés A belső munkatársaknak egyszerre van szükségük arra, hogy elérjék a belső hálózatot és az intemetet is. Nem jó megoldás, ha csak bizonyos munkatársak rendelkeznek internet-hozzáféréssel, és az sem jó, ha min­ denkinek külön intemet-hozzáférést biztosítunk. Ehelyett a belső háló­ zatban el kell helyezni egy berendezést, amely elérhetővé teszi az inteme­ tet mindenki számára, aki a belső hálózathoz csatlakozik (és rendelkezik a megfelelő engedélyekkel). Az intemet-hozzáférés így ugyanolyan szol­ gáltatássá válik, mint a megosztott mappa vagy nyomtató, amelynek nyúj­ tása a belső hálózat felé szintén kiszolgálói feladat. Ezt a feladatot betöltheti céleszköz (útválasztó, illetve átjáró), de maga a belső kiszolgáló is.

A külsö munkatársak hozzáférése Említettük, hogy a külső munkatársaknak - a távmunkásoknak - ugyan­ úgy szükségük van a hálózatban elérhető szolgáltatásokra, mint a belső munkatársaknak. Azt is említettük, hogy a címtárrendszer képes ellenőrizni a külső mun­ katársak számítógépeit Azonban nem lehet elfeledkezni arról, hogy a távmunkások gépei alapvetően másképp csatlakoznak a cég hálózatához, mint a belső számítógépek. A külső gépek és a belső hálózat között az in­ temet van. Ez - azon túl, hogy a távmunkásoknak szükségük van széles sávú intemet-hozzáférésre - azt jelenti, hogy amennyiben a belső hálózat elérhető az intemet felől, akkor nemcsak a távmunkások érhetik el. Ezért, amikor beállítjuk a távmunkások hozzáférését, gondoskodnunk kell arról, hogy csak a távmunkások jussanak a hálózat szolgáltatásaihoz, az esetleges támadók ne.

230

A külsö munkatársak hozzáférése

Alkalmazások: a közös dokumentumok és az intranet Ebben a felállásban a távmunkásoknak elsősorban a közös dokumentu­ mokhoz kell hozzáférniük Emellett a belső hálózatban működhet olyan rendszer, amely a munkatársak közös munkavégzését segíti. Ez általában webböngészőn keresztül érhető el. A belső hálózatban működő, a külvi­ lág számára nem elérhető weblapok alkotják az intranetet Az intraneten általában olyan, webböngészőn keresztül működtethető program fut, amely a közös dokumentumok mellett feladatlistákhoz és más informáci­ ókhoz is hozzáférést biztosít.

Az alkalmazáskiszolgáló A kiszolgálók szerepének hagyományos felfogása szerint a kiszolgáló

egyrészt a közös adatokhoz való szabályozott hozzáférést biztosítja, más­ részt pedig a nyomtatókhoz, illetve a külső hálózathoz vezető kapcsolatot közvetíti a belső hálózat felé. A számítási műveletek e felfogás szerint a felhasználók számítógépein történnek. A kilencvenes évek végétől egyre inkább elterjedtek a webes alkalma­ zások, mostanra pedig egyes - elsősorban adatbázisokra épülő - alkal­ mazások erőforrásigénye annyira megnőtt, hogy nem kifizetődő minden munkahelyre olyan teljesítményű számítógépet telepíteni, amely képes a szükséges számítások elvégzésére (elfogadható válaszidővel). A megnövekedett erőforrásigény azt jelenti, hogy egyfelől a számítá­ sokhoz rendkívül sok adat szükséges, másfelől pedig ezeket sok dimen­ zióban kell

mining)

-

feldolgozni.

Ez elsősorban az

adatbányászati

(data

az adatok közötti összefüggéseket és a trendeket feltáró - al­

kalmazásokra jellemző, illetve az olyan munkafolyamatokra, ahol sokan dolgoznak együtt összetett adatokon: az utóbbi esetben az adatokat közös helyen kell tárolni, és speciális, olykor nagy számításigényű algoritmu­ sokkal kell fenntartani az adatok egységességét (konzisztenciáját). Az ilyen követelményeket a legjobban a l k a l m a z á s k i s z o l g á l ó ­ v al

(application server)

lehet kielégíteni. Ebben a felállásban a számítási

műveletek egy része - olykor nagy része - nem a felhasználók saját szá­ mítógépén, hanem a kiszolgálón megy végbe. Ennek az az előnye, hogy a kiszolgáló rendelkezik a megfelelő számítási teljesítménnyel, és, mivel a

231

2. feladat: Kisiroda távmunkásokkal

számítások egy helyen történnek, lehetőség van a műveletek optimalizá­ lására. Emellett az adatok egységessége is sokkal könnyebben biztosítha­ tó. Ha az alkalmazáskiszolgáló teljesítménye (processzorsebességben, a processzorok számában és/vagy a memóriakapacitásban) kb. négyszere­ se az asztali számítógépekének, a megfelelő hardver beszerzése és fenn­ tartása sokkal gazdaságosabb, mint az asztali számítógépek mindegyiké­ nek bövítése a megfelelő teljesítményre.

A tűzfalak és az ütközőzóna

(DMZ)

Az előző fejezetben mindössze azt kellett megoldani, hogy az iroda belső hálózatából el lehessen érni az internetet, de a belső hálózat gépei ne le­ gyenek láthatók az intemet felől. Ezt a magánhálózati IP-címzéssel és az automatikus címfordítással nagyrészt el lehetett érni. Ezúttal viszont - a távmunkások miatt- legalább egy számítógép lesz a hálózatban, amelynek elérhetőnek kell lennie kívülről. Azt kell biztosí­ tanunk, hogy a kiszolgálón levő adatok és prograrnek hozzáférhetők le­ gyenek az intemet felől - de csak az arra jogosultak számára -, míg az irodai hálózat többi számítógépének továbbra is láthatatlannak kell ma­ radnia. Ez azt jelenti, hogy az irodai hálózatot két "zónára" kell osztani: az egyik teljesen védett, kívülről elérhetetlen, a másik pedig korlátozásokkal ugyan, de elérhető kívülről. A "kívül" a "veszélyekkel teli" intemetet je­ lenti: a hálózatunkat az intemet felől percenként akár több tíz vagy több száz támadási kísérlet is érheti. Az ilyen támadások - a túlterheléses adatküldések, a jelszófeltörésre vagy a jogosulatlan programfuttatásra irányuló kísérletek- ellen a t ű z­ f a l a k k a l (firewall) lehet védekezni. A tűzfal olyan berendezés vagy program a kiszolgálón, amely folyamatosan figyeli a hálózatba befelé irá­ nyuló forgalmat, és a forgalom egyes típusait eleve meggátolja, másokat pedig megszűr. Ha a hálózat gépeinek egyáltalán nem szabad kívülről láthatónak lenniük, teljesen zárt tűzfalat alkalmazunk. Az ilyen tűzfal semmilyen forgaimat (kívülről érkező kérést) nem enged be, amely nem olyan kérésre ad választ, amelyet korábban a belső hálózatból küldtek ki. A kétzónás hálózat belső zónáját ilyen védelemmel kell ellátni, mert az ott működő gépeknek teljesen láthatatlannak kell maradniuk

232

A külső munkatársak hozzáférése

A külső zónában kapnak helyet azok a kiszolgálók - kis irodák esetén jellemzően csak egy -,amelyeknek látszaniuk kell kívülről. Az intemet és a külső zóna közötti tűzfal beengedi a kívülről érkező kéréseket,de csak meghatározott típusúakat és csak olyanokat, amelyek ismert és ellenőr­ zött helyről vagy jogosult (hitelesített) felhasználóktól érkeznek. E külső zóna neve ü t k ö z ő z ó n a

(demilitarized zone)

vagy,rövidítve az angol ki­

fejezést, DM Z .

A virtuális magánhálózatok Az internet nyilvános hálózat. Ebben az a jó,hogy mindenhol jelen van: ha a távmunkásnak van internet-hozzáférése,el tudja érni az iroda háló­ zatát,amelynek szintén van intemet-hozzáférése. Ez azonban kockázatot is jelent: nem jó,ha a cég dokumentumait illetéktelenek is elolvasha�ák, azt pedig végképp nem kívánjuk,hogy módosítsák vagy töröljék őket. Ezért, amikor a távmunkás hozzáfér egy céges dokumentumhoz,an­ nak mindenki más számára olvashatatlannak kell maradnia,és azt is meg kell akadályozni, hogy a hálózaton átküldött adatokat valaki módosítsa egy köztes állomáson - az internetes forgalom ugyanis jellemzően több útválasztón is áthalad, mielőtt célba ér. Ezért az adatokat elküldés előtt titkosítani kell,majd fogadás után vissza kell fejteni őket. Van olyan technológia- programmodul -,amellyel az intemeten ke­ resztül két állomás (számitógép) között ki lehet alakítani egy titkosított csatornát, amelyen aztán hosszabb időn keresztül két irányban is lehet kommunikálni. Ez a titkosított csatorna egyfajta "alagút",vagy virtuális vezeték,amellyel úgy kö�ük össze a belső hálózatot a távmunkás szární­ tógépével, mintha a gépet fizikailag bevitilik volna az iroda hálózatába, és vezetékkel rácsatlakoztattuk volna. Az operációs rendszer- a kiszolgá­ lón és a távmunkás gépén is - a lehetőségeknek megfelelően gondosko­ dik arról,hogy a titkosított csatornába ne lássanak bele illetéktelenek,és ne is módosíthassák az ott folyó adatforgaimat Utóbbi azt is jelenti,hogy megfelelő hitelesítési algoritmusokkal mindkét gép meggyőződhet arról, hogy valóban a kívánt partnerrel kommunikál (vagyis a partnerállomás valóban az,aminek mondja magát). Az így működő - alagutat létrehozó - titkosított csatornának, illetve az őt működtető technológiának a neve virt u á l i s m a g á n h á l ó z a t

(virtual private network)

vagy- az angol ki­

fejezés rövidítésével - V P N. A virtuális magánhálózat segítségével a

233

2. feladat: Kisiroda távmunkásokkal

távmunkás úgy vehet részt az iroda munkájában, núntha bent ülne az irodában. A VPN-en keresztül pontosan ugyanolyan szolgáltatásokat kap a belső kiszolgálóktól, mint a belső hálózat felhasználói; bár a kapcsolataz internet-hozzáférés sebességétől függően- lassúbb lesz.

Távfelügyelet Említettük, hogy kis cégeknél olykor a rendszergazda is távmunkás. Más­ felől, ha a távmunkások számára az egyik belső kiszolgálónak elérhető­ nek kell lennie kívülről, akkor annak folyamatosan kell működnie. Így előfordulhat, hogy a rendszergazdának a rendes munkaidőn kívül kell közbeavatkoznia. Ezért az ütközőzónába telepített kiszolgálót a rendszergazda számára felügyeleti céllal is elérhetővé kell tenni. Ez rendszerint azt jelenti, hogy a rendszergazda - otthoni számítógépéről - terminálként csatlakozik a ki­ szolgálóhoz. A csatlakozás után a kiszolgáló munkaasztalát (grafikus ke­ zelőfelületét) vagy parancssorát lálja. Ez egyrészt előnyös, mert gyorsan és hatékonyarr közbeavatkozhat a kiszolgáló üzemen kívül töltött ideje így lesz a legrövidebb. Ugyanakkor kockázatos is, mert a rendszergazda bármit megtehet a kiszolgálóval - közben pedig az interneten keresztül fér hozzá. Az ilyen hozzáférési lehetőség pedig- olykor nehezen, de- fel­ törhető. Ezért célszerű különböző óvintézkedéseket tenni: 1.

A rendszergazda hozzáférése is történhet a virtuális magánhálózati kapcsolaton keresztül. Ez azért jó, mert a széles körű jogosultságokkal járó hozzáférést is erősen titkosított csatorna védi. Hátránya, hogy a virtuális magánhálózat működtetéséhez a kiszolgáló sok funkciójának kell működnie, az üzemzavar pedig érintheti épp ezeket a funkciókat - olyankor pedig lehetetlen lesz távolról belépni az üzemzavar elhárí­ tására. E problémákat külső - speciálisan erre tervezett - távfelügye­ leti eszközökkel vagy távfelügyeletre felkészített kiszolgálóhardverrel lehet megoldani, ezek beszerzése azonban túlmutathat a kisiroda in­ formatikai költségvetésén.

2.

Célszerű a rendszergazda jelszavát időnként (kéthetente, havonta) megváltoztatni, és a rendszergazda-hozzáférésre hosszú és bonyolult (nehezen kitalálható) jelszavakat választani.

234

Az adatok biztonsága

Az adatok biztonsága Adatvesztés számos okból bekövetkezhet Okozhatja a kiszolgálón futó valamelyik program hibája, a hardver- jellernzően a merevlemez vagy a merevlemez-rendszer - meghibásodása, és természetesen vírusfertőzés vagy külső támadás is. Az adatok biztonságának megőrzése egyfelől a rendkívüli események megakadályozását (megelőzését) jelenti, másfelől pedig az adatok és a ki­ szolgáló működésének gyors helyreállítását, ha a katasztrófa már megtör­ tént A külső támadások ellen hatékony védelmet jelent a tűzfal, azonban nem véd a programhibák és a hardver meghibásadása ellen. Az adatvesztést úgy előzhetjük meg, hogy biztosítjuk az adatok re­ dundáns tárolását. Ez azt jelenti, hogy a fontos adatok egyszerre több he­ lyen is megvannak A redundáns tárolás lehet valós idejű: ebben az eset­ ben a kiszolgáló az adatokat egyszerre több merevlemezre írja fel, oly módon, hogy azok egy vagy két merevlemez meghibásadása esetén is ép­ ségben maradnak. Ennek alkalmazását a mai kiszolgálás környezetekben kötelezőnek tartják, mivel alkalmas a rendszer- és programfájlok tárolá­ sára is, így az utóbbi esetben a kiszolgáló nem áll meg, ha valamelyik rendszerlemez meghibásodik. A redundáns tárolás nem valós idejű módja a biztonsági mentés. Ez azt jelenti, hogy a fontos adatokról rendszeresen másolatot készítünk olyan adathordozóra, amely nincs folyamatosan jelen a kiszolgálón. En­ nek egyik lehetséges módját az előző feladat leírásában ismertettük.

Archiválás optikai lemezre Az előző feladat leírásában (az l. fejezetben) bemutattuk, hogyan lehet rendszeresen biztonsági másolatot készíteni külső merevlemezre. A me­ revlemezek élettartama azonban rövid: ne bízzunk abban, hogy a tartal­ muk 3 éven túl is elérhető lesz. A fontos, hosszú távon megőrzendő ada­ tokat optikai lemezre - CD-ROM-ra, DVD-ROM-ra, esetleg HD-DVD-re vagy BluRay-lemezre - kell írni. Ezek között van olyan, amelyek gyártója az adatok 50-100 éves megőrzését ígéri. E lemezek biztosan tartósak, ám eddig még senkinek sem volt 50-100 éve arra, hogy meggyőződjön az ígéretek megalapozottságáról. Az optikai adathordozák írására szolgáló

235

2. feladat: Kisiroda távmunkásokkal

berendezés régen ritkaság volt, ma azonban már minden újabb gyártású szánútógépben találunk DVD-író készüléket. (Vigyázat: ezt számos na­ gyobb értékű, nagyobb teljesítményű kiszolgálóhoz külön kell megren­ delni!) Ha ilyen mégsem áll rendelkezésre, USB-csatlakozó biztosan lesz, azon keresztül pedig lehetőség van külső berendezések csatlakoztatására. Az optikai adathordozák élettartama mindenképp nagyobb, mint a merevlemezeké. Ezzel együtt az optikai adathordozóra archivált adatokat is célszerű néhány évenként felújítani (vagyis új adathordozóra átírni). Fontos különbség még a merevlemez és az optikai lemez között, hogy a tartósnak mondott optikai lemezekre csak egyszer lehet adatot írni, és akkor is lassabban, mint a merevlemezre. Így a kettőnek más is lehet a rendeltetése: a gyakori, napi-heti mentést célszerű merevlemezre írni- ez gyorsan elvégezhető -, míg a havi archívumot optikai lemezen kell elké­ szíteni: ez lassabb, de tartósabb.

Értesités

az

eseményekről

A katasztrófaelhárítás fontos eleme az is, hogy időben tudomást szerez­ zünk a közelgő bajról. A merevlemezek végzetes meghibásodásának pél­ dául jól felismerhető előjelei vannak, és ezeket az operációs rendszerek észreveszik. A legtöbb operációs rendszer naplót készít a rendkívüli ese­ ményekről. Ezt a naplót a rendszergazdának rendszeresen figyelnie kell ha a naplót nem nézik meg, ugyanolyan nehéz lesz megelőzni a kataszt­ rófát, mintha egyáltalán nem készülne napló. Az operációs rendszer azonban beállítható arra is, hogy valamilyen jól észrevehető - módon jelezze a rendszergazdának, ha rendkívüli ese­ mény történt. Ez általában valarnilyen értesítés, például e-mail küldését jelenti. Ugyanerre vannak külső eszközök is: például olyan webes szolgáltatá­ sok, amelyek figyelik, hogy az adott kiszolgáló elérhető-e a hálózat felől, és ha nem, értesítést - e-mailt vagy SMS-t - küldenek a rendszergazdá­ nak

236

2.1

Kisiroda távmunkásokkal

o� a>�®

Tervezés

Az alapinfrastruktúra Ebben a részben konkrétan leírjuk, milyen eszközökkel lehet kialakítani azt a kétzónás hálózatot, amelyre szükség lesz a távmunkások bevonásá­ hoz.

A hálózat terve A hálózat megvalósítására két tervet mutatunk be, és az Olvasóra bízzuk,

hogy a könnyebben karbantartható vagy a költséghatékonyabb változatot választja-e.

Tartományvezérlő

A hálózat terve egy útválasztóval

Tartományvezérlő

A hálózat terve két útválasztóval

2. feladat: Kisiroda távmunkásokkal

Az egy útválasztóval megvalósított hálózat

(1.

ábra) esetén szükségünk

lesz egy bővíthető, legalább alsó középkategóriás útválasztóra vagy tűz­ falra (ezek közül legerjedtebbek a Cisco-útválasztók, illetve a Cisco ASA tűzfalak), vagy egy külön, tűzfalként beállított számítógépre, amely a Mic­ rosoft ISA Server rendszert futtatja. Akár számítógéppel, akár hardveres útválasztóval vagy tűzfallal alakítjuk ki az ütközőzónát, fontos, hogy az eszköznek legalább három hálózati csatolója legyen: egy a belső hálózat­ hoz, egy az ütközőzónához, egy pedig az internethez csatlakozzon. Ha két útválasztót használunk, (ezek akár az otthon használatos, ala­ csonyabb árkategóriás eszközök is lehetnek), azt úgy kell beállítani, hogy az egyik útválasztó nyilvános csatolója az internethez csatlakozzon, bel­ ső csatolójára pedig az ütközőzónába telepítendő webkiszolgálót (alkal­ mazáskiszolgálót), valamint a másik útválasztó nyilvános (külső) hálózati csatolóját kapcsoljuk. A belső útválasztó belső hálózati kártyáját pedig

a

cég belső hálózatához kell csatlakoztatni. A könyv szerzői az első megoldást javasolják

A szükséges kiszolgálók Mivel a cég informatikai erőforrásait többen is használják (akár kívülről is), és a számítógép-hálózaton igénybe vett szolgáltatások is szélesebb kö­ rűek, mint az előző példánkban, célszerű a fontosabb szerepköröket kü­ lönválasztani. Ezért a rendszer három kiszolgálóból áll: egy tartomány­ vezérlőből, amely DNS-, DHCP- és nyomtatókiszolgálói feladatokat is el· lát, egy alkalmazáskiszolgálóból a belső hálózaton, mely a Windows Sha­ rePoint Services 3.0 változatát fogja futtatni, és webes csoportmunka-te­ rületül szolgál, illetve egy nyilvános webkiszolgálóból, mely a cég inter­ netes webhelyét szolgálja ki, és az ütközőzónában található.

A Windows Server 2008 szerepei a tartományvezérlőn és az alkalmazáskiszolgálón A tartományvezérlő jórészt az előző fejezetben ismertetett szolgáltatáso­ kat fogja nyújtani: címtárszolgáltatás, DNS-, DHCP- és nyomtatókiszolgá­ ló. Az alkalmazáskiszolgáló elsősorban az IlS 7.0 rendszert futtató webki­ szolgáló, és egyben tagkiszolgáló lesz, rnivel a rajta futó Windows Share-

238

2.1. Tervezés

-

A címtárrendszer

Point Services programnak a címtár szerint azonosítania kell a weboldalt használó ügyfeleket. Az ütközőzónában található webkiszolgálót, amely a cég nyilvános weblapját szolgálja ki, biztonsági okokból nem léptetjük be a tartományba: k ü l ö n á l l ó

(standalone)

kiszolgáló lesz. Ez azért fon­

tos, mivel ezt a számítógépet sokan, sokszor hitelesítés nélkül is elérik, és nagyobb az esélye egy hekkertámadásnak. Ha tagkiszolgálóként üzemel­ ne, egy rosszindulatú betörő könnyebben hozzáférne a címtárunkhoz, és ezáltal a belső hálózaton található információkhoz is. Érdemes az ütköző­ zónába telepített gépeket logikailag minden szempontból leválasztani a belső hálózatról. Ez a feladat a belső hálózaton található tartományvezérlő, alkalmazás­ kiszolgáló és tűzfal beállítását mutatja be. A nyilvánosan elérhető webki­ szolgálót a következő feladat leírásában ismertetjük részletesen.

A eimtárrendszer A tartományvezérlő ugyanazt a szerepet tölti be, és ugyanúgy működik, mint az l. feladatnál leírt hálózatban. Megtervezését, telepítését és beállí­ tását az 1.2. és az 1.3. fejezetben leírtak szerint kell elvégezni.

A hálózati infrastruktúra A tűzfal és az ütközőzóna beállitása: egy útválasztó vagy ISA Server Az ütközőzóna (DMZ) kialakításának célja, hogy abban azokat a szolgál­ tatásokat és kiszolgálókat helyezzük el, melyeket az intemetről elérhető­ vé szeretnénk tenni, így a belső hálózaton található érzékenyebb adatokat tároló kiszolgálókat nem kell (sőt, nem is szabad) hozzáférhetővé ten­ nünk, ezáltal esetleg veszélyeztetnünk. Ha egyetlen útválasztó eszközt alkalmazunk (három hálózati csatoló­ val), azt érdemes a következő oldali ábrán látható módon beállítani. A belső hálózat a 192.168.0.0 hálózatot használja a 255.255.255.0 alhálózati mas.zkkal, amelyben az átjáró kapja a 192.168.0.1 IP-címet, a tartomány­ vezérlő és az alkalmazáskiszolgáló a 192.168.0.2 és a 192.168.0.3 címet, a

239

2. feladat: Kisiroda távmunkásokkat

hálózat többi ügyfele pedig az IP-címtartomány többi szabad címén osz­ tozhat.

A

DMZ-ben

használjuk

a

172.16.0.0

hálózatot,

szintén

255.255.255.0 alhálózati maszkkal; az átjáró címe 172.16.0.1, a kiszolgálóé

pedig 172.16.0.2. Az intemetkapcsolatunk nyilvános IP-címét az internet­ szolgáltatótól kapjuk, legtöbb esetben ezen nem tudunk módosítani.

·

Publikus webkiszolgáló

Mivel mind a 192.168.0.0, mind a 172.16.0.0 IP-címhálózatok privát tar­ tományok, vagyis az interneten nem használhatók, ahhoz, hogy az ezek­ ben a hálózatokban található ügyfeleknek intemetelérést biztosítsunk, há­ lózati címfordítást (NAT) kell alkalmaznunk Emellett az útválasztó esz­ közön meg kell adnunk, hogy a DMZ-ben található nyilvános webkiszol­ gáló mely portjait kívánjuk kívülről elérhetővé tenni, (ez jellemzőerr a 80as [http] és esetleg a 443-as [https] TCP-port). Mivel sem a belső hálóza­ ton, sem a DMZ-ben használt IP-címek nem fordulhatnak elő az interne­ ten, nyugodtan beállíthatjuk úgy, hogy e az eszköz két hálózat között a csomagokat route-olja, vagyis ne végezzen rajtuk semmilyen módosítást (pl. címfordítást). Figyeljük arra, hogy a letiltsuk a DMZ-ből a belső hálózat felé irányuló kommunikációt! Az ütközőzónában lévő webkiszolgáló a rniénk, rniért féljünk tőle mégis? Vegyük figyelembe, hogy ez a számítógép nyilváno­ san elérhető szolgáltatásokat biztosít, ezáltal jobban ki van téve támadá­ soknak Ha megtiltjuk, hogy ez a kiszolgáló kommunikáljon a belső háló­ zatunkkal (vagyis nem engedjük, hogy a DMZ-ből a belső hálózat felé kommunikációt kezdeményezzen), megakadályozhatjuk azt, hogy a szá-

240

2.1. Tervezés

-

A hálózati infrastruktúra

mítógép feltörése esetén a hekker könnyen hozzáférhessen a belső háló­ zathoz. Bár a Microsoft ISA Server rendszer, illetve a Cisco-útválaszták mű­ ködésének és beállításának leírása túlmutat e könyv keretein, a későbbi­ ekben vázlatosan ismertetjük ezek beállítását, az irodalomjegyzékben pe­ dig ilyen témájú könyveket is felsorolunk

A tűzfal és a DMZ beállitása két útválasztóval

Publikus webkiszolgáló

Ha a hálózatot két útválasztóval védjük, az előzőekben ismertetett példa annyiban változik, hogy a külső router belső fele kapja a 172.16.0.1 IP­ címet, a belső router külső "lába" kapja a 172.16.0.2 IP-címet, a kiszolgáló pedig a 172.16.0.3 címen érhető el. Ilyen esetben a port átirányítást a külső routeren kell megadni, és célszerű, ha mindkét útválasztó végez hálózati címfordítást Ez már önmagában orvosolja az előbb felvetett biztonsági problémát: vagyis, hogy a belső hálózatot ne lehessen az intemet felől vagy a DMZ-ből közvetlenül elérni.

241

2. feladat: Kisiroda távmunkásokkal

Virtuális magánhálózat kialakítása az RRAS-szolgáltatással A virtuális magánhálózatok Két olyan számítógép között, amelyek egymást rendesen csak nyilvános hálózaton (például az interneten) keresztül érhetik el, magánjellegű kap­ csolatra is szükség lehet. Ekkor először a nyilvános hálózat eszközeivel (például az IP protokollal) kell kapcsolatot létesíteni a két számítógép kö­ zött, majd e kapcsolat fölött virtuális csatornát, úgynevezett a l a g u t a t (tunnel) kell kialakítani. Az alagút a kommunikáló rendszerek számára úgy jelenik meg, mint a távoli hozzáférésű kapcsolatban a telefonvonal. Vagyis, az alagútnak saját adatkapcsolati protokollja van, és e fölött ma­ gasabb szintű protokollok - például a TCP/IP - adatcsomagjai továbbít­ hatók. Az alagút két oldalán levő kiszolgálók - csakúgy, mint a "rendes" tá­ voli hozzáférésű kapcsolat esetén - nem egyemangúak: egyikük kezde­ ményezi a kapcsolatfelvételt (az lesz az ügyfél), a másik pedig fogadja a kérést, hitelesíti az ügyfelet és befejezi a kapcsolat felépítését (az lesz a ki­ szolgáló). Nyilvános hálózat

is magánhálózat alagútja

A nyilvános hálózatban kialakított alagúton keresztül működő hálózati kapcsolatot v i r t u á l i s m a g á n h á l ó z a t i (virtual private network, VPN) kapcsolatnak nevezzük. A Windows Server 2008 mind az ügyfél, mind a kiszolgáló oldalán részt tud venni virtuális magánhálózati kap­ csolatban. Így minden Windows Server 2008-at futtató számítógépen elő­ állhat az a furcsa helyzet, hogy egyfelől közvetlen internetkapcsolatuk 242

2.1. Tervezés - Virtuális magánhálózat kialakítása az RRAS-szolgáltatással

van, majd az internetkapcsolatra ráépül az alagút mint adatkapcsolat Így olyan szimbolikus

hálózati

csatoló

jelenik meg a rendszerben,

amely az internetkapcsolatra épül: a TCP/IP fölött adatkapcsolatot - ala­ gutat - hozunk létre, majd az alagútban TCP/IP csomagokat továbbí­ tunk. Az alagútnak az a feladata, hogy a virtuális magánhálózat forgal­

mát elrejtse a nyilvános hálózat többi állomása elől, vagyis azt csak az ügyfél- és a kiszolgálóállomás láthatja.

Az alagútprotokollok és VPN-karantén (tunneling protocol)

Az alagutat úgynevezett a l a g ú t p r o t o k o l l

segít­

ségével valósítják meg. A Windows Server 2008 három alagútprotokoll használatát támogatja: az egyik a régebbi PPTP

Protocol, pont-pont alagútprotokoll), a másik az neling Protocol, [az ISO OSI-referenciamodellen

(Point-to-Point Tunneling (Layer 2 Tun­

újabb L2TP

belül] második rétegbeli

alagútprotokoll). A harmadik a Windows Server 2008-ban újdonságnak számító S S T P

(Secure Sacket Tunneling Protocol,

kb. biztonságoscsatorna­

alagútprotokoll). A PPTP csak TCP/IP-vel működő nyilvános hálózatban működik (amely viszont nem kötelezően az internet). Az alagútbeli adatkapcsolatot a PPP protokoll működteti, annak saját titkosító eljárásaival. Ennek a protokoll­ nak az az előnye, hogy már a Windows NT 4.0 is ismerte. Az L2TP ezzel szemben tetszőleges csomagkapcsolt hálózat - mint nyilvános hálózat - fölött működik. Ez lehet TCP/IP, X.25, ATM stb. Az alagút adatkapcsolati protokollja ebben az esetben is a PPP, ám nincs be­ épített titkosítás: az

az

IPSec protokoll segítségével valósítható meg, (amely

használható a PPTP esetén is). Az SSTP "tűzfalbarátnak" mondott protokoll, mert úgy működik, hogy a virtuális magánhálózat kiépítéséhez és forgalmának lebonyolítá­ sához használt P P P

(Point-to-Point Protocol,

pont-pont protokoll) cso­

magjait - amelyek egyébként nincsenek titkosítva - biztonságos HTTPS­ csatornán keresztül küldi a rendszer. Azért nevezik "tűzfalbarátnak", mert jóformán minden hálózat rendszergazdája úgy állítja be a tűzfalat, hogy átengedje a HTTPS-forgalmat , szemben a PPTP és L2TP protokollokkal, amelyeket a legtöbb tűzfalon kifejezetten engedélyeznünk kell. Ez rend­ kívül kényelmes, mert így mindenhonnan csatlakozhatunk külső VPN­ kiszolgálókhoz - olyan hálózatokból is, ahonnan eddig a tűzfalbeállítások miatt nem volt lehetőség erre. Azonban a protokoll épp emiatt problémát

243

2. feladat: Kisiroda távmunkásokkal

is okozhat, mert - HITPS-protokoll lévén - sokkal nehezebb kiszűrni a " "hagyományos webes forgalom közül az SSTP-forgalmat. Ha tehát meg kívánjuk akadályozni, hogy a vállalati hálózat belső felhasználói külső SSTP-kiszolgálókhoz csatlakozzanak- például adatlopás,vagy az idegen hálózatból jövő támadások elkerülése miatt -,komoly erőfeszítéseket kell tennünk. A VPN-karantén szolgáltatás először a Windows Server 2003-ban je­ lent meg, de természetesen a Windows Server 2008 is támogatja. Ennek lényege, hogy a VPN-kiszolgálóhoz csatlakozó ügyfelek nem kapnak azonnal hozzáférést a belső hálózathoz; először bizonyos ellenőrzéseken kell átesniük - víruskereső jelenléte, adatbázisának frissessége, bizonyos Microsoft-hibajavítások megléte, a tűzfal állapota stb. A karanténból amely tulajdonképpen külön logikai hálózat - az ügyfelek sem a belső há­ lózatot, sem egymást nem érhetik el, csak a VPN-kiszolgálót, amelyről akár le is tölthetik a szükséges frissítéseket. A karanténból akkor kerülhet át az ügyfél a belső hálózatra,és akkor érheti el annak összes szolgáltatá­ sát, ha az ellenőrzéseken sikeresen átmegy. Ezeket az ellenőrzéseket egy parancsfájl végzi,amelyet akár magunk is megírhatunk. Az egyetlen,széles körben használt alkalmazáscsalád,amely használja a VPN-karantén szolgáltatást,a Microsoft ISA Server 2004 és újabb válto­ zatai.

Az IPSec protokoll Az I P S e c

protokoll

(Internet Protocol Security,

kb. biztonság az in­

temetprotokoll szintjén) az IP protokoll titkosított változata, amely lehe­ tővé teszi, hogy két, TCP /IP-t alkalmazó számítógép titkosítva kommu­ nikáljon egymással. A titkosítás teljesen transzparens, vagyis a magasabb szintű protokollok és az alkalmazások csak a szabványos IP protokollt látják. Fontos,hogy a titkosított IP-kommunikációra nemcsak virtuális ma­ gánhálózati kapcsolatban, hanem a rendes TCP /IP-hálózatban is lehető­ ség van: a titkosított kommunikáció akkor jön létre, ha mindkét oldal tá­ mogatja az IPSec használatát (Windows Server 2008-ban bekapcsolható). Mivel az IPSecet alkalmazó számítógépek között olyan útválasztók is le­ hetnek, amelyek nem ismerik ezt a protokollt, a kommunikáló felek kö­ zött az IPSeenek is egyfajta alagutat kell kialakítania. Így a köztes útvá­ lasztók képesek továbbítani a titkosított csomagokat, de a tartalmukat már nem tudják visszafejteni.

244

2.1. Tervezés - A kiszolgáló távfelügyelete

Ebben a könyvben nincs lehetőségünk részletesen leírni a virtuális magánhálózatokat és az IPSec-protokollt, azonban számos, az irodalom­ jegyzékben feltüntetett mű foglalkozik velük. l A korábbi kiszolgálói Windows-változatokkal ellentétben a Windows

Server 2008 Routing and Remote Access

•

Útválasztás és távelérés szal­

gáltatása nem tartalmaz tűzfalat, csak útválasztási, címfordítási és tável­ érési feladatokat lát el. Tűzfalként a Windows Vistában bevezetett Win­ dows Firewall with Advanced Security

•

Fokozott biztonságú Windows tűzfal

szolgáltatást használhatjuk, amely kétirányú és hálózatfüggő forgalom­ szűrést is végez. Ez azt jelenti, hogy a tűzfal segítségével mind a számító­ gépről kimenő, mind a bejövő forgaimat részletesen szabályozhatjuk, cél, illetve forrás IP-cím, cél, illetve forrás port, sőt, akár a forgalmazó alkal­ mazás szerint is.

A kiszolgáló távfelügyelete távoliasztal-protokoll (ROP) és a terminálkiszolgáló

A

A Windows Server 2008 teljes terminálkiszolgáló programot tartalmaz,

amelyen keresztül olyan korábbi operációs rendszereket futtató szánútó­ gépeken is lehetséges a Windows Server 2008 - és a rajta futó alkalmazá­ sok - használata, amelyek arra önmagukban nem volnának képesek. Így a Windows Server 2008 felülete megjelenhet korszerűtlenebb szánútógé­ peken, de akár hordozható eszközökön is. A terminálszolgáltatás lényege, hogy a felhasználók programjai mind a

-

Windows Server 2008-cal működő - terminálkiszolgálón futnak, amely

tárolja a felhasználói munkakörnyezetet: a teljes Windows-asztalt és a hozzá tartozó adatokat. A felhasználók szánútógépein - a t e r m i n á l o ­ ko n

- csak a Windows-asztalt

megjelenítő

és a felhasználók utasításait

(egérműveleteit, billentyűzését) fogadó programnak kell futnia. Ennek viszonylag kicsi az erőforrásigénye.

l

Egy lehetséges forrásmunka: Lee, Thomas - Davies, Joseph (2000): Microsoft Win­ dows 2000 TCP/IP Protocals and Services Technical Reference. Redmond: Micro­ soft Press. pp. 491-503.

245

2. feladat: Kisiroda távmunkásokkal

A Windows Server 2008 terminálszolgáltatása eredetileg nem Micro­ soft-termék: a

Citrix

cég

WinFrame

programjának továbbfejlesztett válto­

zata - és egyben továbbfejlesztett változata a Windows Server 2003 ope­ rációs rendszer terminálszolgáltatásának is. A terminálkiszolgáló és a terminálok közötti adatforgalom az úgyne­ vezett RDP protokoll

(Remote Desktap Protocol,

távoliasztal-protokoll) fö­

lött zajlik, amely az ITU T.l20 valós idejű adatátviteli szabványnak meg­ felelő technikát alkalmazza. Ez többek között azt jelenti, hogy a képernyőelemeket - az ablakok tartalmát - nem képkén t, hanem úgynevezett p r i m i t í v e k , rajzutasí­ tások (GDI-hívások) formájában viszi át az ügyfélre, és csak a másképpen át nem vihető adatok (ikonok, tapéta, alkalmazások kezdőképei stb.) utaznak kép formájában. Ezzel jelentősen csökken a terminálszolgáltatás terhelése az átviteli vonalon, így kisebb sávszélességű kapcsolatokon, például modemes vagy lSDN-alapú intemetkapcsolaton, - keresztül is használható, sőt, a protokoll forgalmát a Windows Server 2008 tömöríti és titkosítja is.

Valódi terminálszolgáltatás A Windows Server 2008 terminálszolgáltatása lehetövé teszi "igazi" alkalmazáskiszolgálók létrehozását, arnikor is a terminálkiszolgáló elsőd­ leges rendeltetése több tíz vagy több száz felhasználó kiszolgálása. Ez jó alternatíva a számítógépek bővítésére olyan cégeknél vagy intézmények­ nél, ahol nagyszámú elavult számítógép működik, esetleg még Windows NT 4.0 rendszerrel. Az egyes munkaállomások bövítése helyett ilyenkor elég egyetlen nagy kiszolgálót beszerezni, és a Windows Server 2008-cal kompatibilis alkalmazások máris elérhetők a régi számítógépeken. Alkalmazáskiszolgáló kialakításához megfelelő ügyfél-hozzáférési li­ cenceket kell vásárolni, annyit, ahány felhasználónak összesen el kell ér­ nie a terminálkiszolgálót. A terminálkiszolgáló felkészíthető arra is, hogy névtelen felhasználók érjék el az intemeten keresztül. Ehhez további megfelelő számú, úgyne­ vezett

internetkapcsolati

Connector)

licencet

(Terminal Server External

kell vásárolni. Ilyen terminálszolgáltatást fejlesztőcégek inter­

netes kiszolgálóira érdemes telepíteni: segítségével az eladásra kínált prograrnak működése bemutatható a nélkül, hogy bemutatólemezt kelle­ ne osztogatni.

246

2.1. Tervezés- Alkalmazáskiszolgáló beállítása

A távoli asztal használata távfelügyelethez A terminálszolgáltatást azonban olyan számítógépeken is érdemes igény­

be venni, amelyeknek nem az alkalmazásszolgáltatás az elsődleges fel­ adata. Ha egy kiszolgáló messze van a rendszergazdától, és esetleg nehe­ zen érhető el, sok utazást és szervezést megtakaríthatunk, ha kihasznál­ juk, hogy a terminálkiszolgáló távolról is teljes körű ellenőrzést biztosít az őt futtató számítógép fölött. Így a terminálszolgáltatás más rendeltetésű kiszolgálók távfelügyele­ tére is alkalmas. Ráadásul gyorsabb, mint sok hasonló program, amelyek a Windows-asztal tartalmát képként viszik át a hálózaton. A Windows Server 2008-ba épített terminálszolgáltatásnak speciális

távfelügyeleti üzemmódja is van: ennek a neve Remote Desktop

•

Távoli

asztal. Ez nem igényel sok erőforrást a kiszolgálótól (10-20 Mbyte többlet­

memáriára azért szükség lesz), viszont csak a rendszergazdák csatlakoz­ hatnak hozzá, és egyidejűleg csak három kapcsolattal. A távfelügyeleti üzemmódban ugyanakkor nincs szükség külön ügyfél-hozzáférési licen­ cekre.

Alkalmazáskiszolgáló beállitása Az Internet Information Services rendszer A Windows Server 2008-cal működő számítógépek webkiszolgálók is le­

hetnek, vagyis olyan kiszolgáló számítógépek, amelyek - TCP /IP kapcso­ lat fölött, akár helyi hálózatban, akár az interneten - fájlokat szalgáltat­ nak webböngészőt futtató számítógépek számára, a HTTP vagy a HTTPS protokoll segítségéveL Az operációs rendszer tartalmaz egy webkiszolgá­ ló szaftvert ez az Internet Information Services (IlS) 7.0. A webkiszolgálók tulajdonképpen ugyanúgy fájlokat és könyvtárakat szolgáltatnak ügyfeleiknek, mint a Windows-hálózatban működő, könyv­ tármegosztásokat kezelő fájlkiszolgálók

Bár a webkiszolgálók kicsit

másképp: minden webkiszolgáló egyetlen könyvtárstruktúrát szolgáltat, amely viszont nem felel meg feltétlenül a kiszolgáló saját merevlemezén levő könyvtárszerkezetnek. Attól, hogy egy könyvtár a webböngészőt futtató felhasználó számára alkönyvtára egy másiknak, a kiszolgáló me-

247

2. feladat: Kisiroda távmunkásokkal

revlemezén, fizikailag, lehet egészen máshol is. Emiatt a webkiszolgáló által szolgáltatott könyvtárstruktúrát virtuális könyvtárstruktúrának ne­ vezzük. Egyre elterjedtebbek a webes alkalmazások. Ez köszönhető többek kö­ zött annak, hogy az intemet gyakorlatilag bárhonnan, egyre nagyobb sáv­ szélességgel elérhető, illetve annak a ténynek, hogy a webes alkalmazá­ sokat egyszerűbb egy számítógépre - a webkiszolgálóra - telepíteni és ott karbantartani (szemben a hagyományos alkalmazásokkal, melyeket min­ den számítógépre telepítenünk kell, ahol használni szeretnénk).

A SharePoint Services rendszer A Windows SharePoint Services olyan webes, böngészővel elérhető kiszol­

gáló-oldali alkalmazás, amely a vállalatban az együttműködés megköny­ nyítésére, tartalomkezelő szolgáltatások elérésére, üzleti folyamatok vég­ rehajtására és a vállalat céljaihoz és folyamataihoz elengedhetetlen ada­ tok tárolására és elérésére használható. A SharePoint programban gyorsan és hatékonyan hozhatók létre tarta­

lom közzétételét, tartalomkezelést vagy egyéb, a vállalat igényeit támoga­ tó webhelyek Létrehozhatunk például vállalati szintű intranetes, vagy az internetes jelenlétet biztosító webhelyeket, speciális tartalomtárakat, va­ lamint értekezlet-munkaterületeket is. E webhelyek használatával együtt­ működhetünk és adatokat oszthatunk meg másokkal. Továbbá a Share­ Point beépített keresőmotorjának köszönhetően egyszerűen kereshetünk csoportmunka-tartalmakat: például dokumentumokat, névjegyeket vagy feladatokat. A SharePoint Services segítségével hatékonyabban együttműködhe­

tünk kollégáinkkaL A közös naptárakkal például figyelemmel kísérhe�ük a csoporttal kapcsolatos eseményeket, vagy dokumentumtárakban tárol­ ha�uk a cég dokumentumait. A webnaplók

(blog)

használatával könnye­

dén osztha�uk meg másokkal ötleteinket, illetve információt rögzíthe­ tünk vagy tárolhatunk wikiwebhelyeken: a felhasználók által kezelt tu­ dás bázisokban.

248

2.1. Tervezés - Az adatok biztonsága és a rendszer üzembiztos működése

Az adatok biztonsága és a rendszer üzembiztos müködése Archiválás optikai lemezre Az előző feladatban az adatokat külső merevlemezre mentettük. Mivel a Windows Server 2008 egységesen kezeli a külső adathordozókat, a men­ tés módja ezúttal sem lesz más. Azonban mindenképpen ki kell alakítani egy mentési rendet, amely együtt alkalmazza a gyorsan elkészíthető gyakran alkalmazható - mentési módokat és a lassúbb, de tartósabb, rit­ kábbarr elvégzett feladatokat. Alkalmazhatjuk például a következő men­ tési rendet: •

Napi mentés: az adatok másolatát tartalmazó külső merevlemez tartalmát frissítjük a megváltozott adatokkal.

•

Heti mentés: az adatokról teljes másolatot készítünk a külső merev­ lemezre.

•

A külső merevlemezről vagy közvetlenül a kiszolgálóról teljes má­ solatot készítünk optikai adathordozóra.

Automatikus értesités az eseményekről Újdonság a Windows Server 2008-ban (és a Windows Vistában), hogy a feladatütemező segítségével olyan feladatokat is létrehozhatunk, melyek egy megadott bejegyzés eseménynaplóba történő írásakor indulnak el. Ennek segítségével sok kritikus, a rendszer biztonságos működését aka­ dályozó esemény bekövetkeztéről azonnal értesülhetünk a nélkül, hogy folyamatosan az eseménynaplót néznénk. Az így létrehozott értesítőrend­ szer "ébersége" természetesen tőlünk függ, vagyis csak és kizárólag azokról az eseményekről kaphatunk értesítést, melyeket előre ismerhetünk, és azok figyelését beállítjuk Például, létrehozhatunk olyan feladatokat, amelyek lemezhiba vagy memóriahiba bekövetkezésekor automatikusan e-mail értesítést külde­ nek. Ez nagyban megkönnyítheti a munkát, de nem szabad megfeledkez­ ni arról, számos olyan esemény is belekerülhet a naplóba, amelyek bekö­ vetkezésére nem számítunk, és ezért ezek figyelését nem is állitottuk be. Éppen ezért az automatikus értesítésektől függetlenül továbbra is fontos, hogy rendszeresen ellenőrizzük a naplókat

249

2.2

Kisiroda távmunkásokkal

(j)f}�®

Kivitelezés

Telepítés A külön útválasztók beállitása Cisco-útválaszták használata esetén a következő parancsokat adj uk ki, ha az internetre kapcsolt hálózati csatalót FastEthernet0/0-nak, a belső háló­ zatit FastEthernet0/1-nek, az ütközőzónára kapcsoltat FastEthernet0/1/0nak nevezik: access-list 10 permit 172.16.0.0 0.0.0.255 access-list 10 permit 192.168.0.0 0.0.0.255 access-list 110 permit tcp 172.16.0.0 0.0.0.255 any established access-list 110 deny ip any any interface FastEthernetO/O ip address 111.222.33.44 255.0.0.0 ip nat outside no shutdown interface FastEthernetO/l ip address 192.168.0.1 255.255.255.0 ip access-group 110 in ip nat inside no shutdown interface FastEthernetO/liO ip address 172.16.0.1 255.255.255.0 ip nat inside no shutdown ip nat inside source list 10 interface FastEthernetO/O overload ip nat inside source static tcp_l72.16.0.2 80 111.222.33.44 80

Me gj egyzés: a fenti lista egy Cisco 1841-es útválasztón készült, és nem feltétlenül működik minden Cisco-útválasztóvaL

2. feladat: Kisiroda távmunkásokkal Figyelem! Ezek a beállítások- bár működő hálózatot eredményeznek-, kizárólag demonstráci· ós céllal készültek, és korántsem teljesek. Mivel az adott környezetben további biztonsági, il· letve szolgáltatás-minőségi megfontolásokat kell figyelembe venni, nem javasoljuk a beállítás egy az egyben történő használatáti

Ha a hálózat útválasztását az ISA Server rendszerrel oldjuk meg, legegy­ szerűbb, ha az ISA Server Management felügyeleti konzolban a beállítá­ sokat a hálózati sablon varázsló

(Network

Template Wizard) segítségével

adjuk meg. Először a Windowsban állítsuk be a hálózati csatolák IP­ címeit, majd az ISA Server Management konzol elindítása után a követ­ kező lépéseket hajtsuk végre:1

ISA

�� ..;) 't'i'tual Ptivale Networks ('WN) S')

�(«he

·�Add-i'ls

i:) Genetdtlon2erve� l�04

_

_

_

_

_

__

_

��EJ

ISA

!E Montomo � ....... ,_, ..;) 'r'itUal Pnvd:e Networks (VPN)

é�"'""'"'·-

1!,c.ct>e

.o Add-ln< B ....�.. _T Tr�

Megjegyzés: A leírás az ISA Server 2004-es változatán készült, de hasonlóképp kell eljárni ISA Server 2006 esetén is.

253

2. feladat: Kisiroda távmunkásokkal

Figyelem! Technikai okokból az !SA Server 2004 és az !SA Server 2006 kizárólag a Windows Ser­ ver 2003 Standard, Enterprise vagy Datacenter kiadásának 32 bites (x86-os) változatára tele­ píthető, Windows Server 2008-on nem fut. Windows Server 2008-ra az ISA Server utódját, a Microsoft ForeFront Threat Management Gateway rendszert telepíthetjük, azt viszont csak 64 bites (x64) környezetben.

A Windows Server 2008 telepitése a tartományvezérlőn A Windows Server 2008 telepítését és a tartományvezérlő kialakítását az előző feladatnál, az 1.1. és az 1.2. fejezetben írtuk le. Most is az ott leírtak szerint kell eljárni.

A DMZ és a virtuális magánhálózat kialakitása A virtuális magánhálózat beállitása az RRAS-szolgáltatással A következőkben megmutatjuk, hogyan kell a Windows Server 2008-cal virtuális magánhálózatot telepíteni.

A Server Manager

•

Kiszolgálókezelő konzollal telepítsük az

RRAS­

szolgáltatást:

1.

A Server Manager (kiszolgálónév)

•

Kiszolgálókezelő

(kiszolgálónév) ab­

lakban kattintsunk az Add Roles hivatkozásra! 2.

A Select Server Roles

•

Kiszolgálói szerepkörök kiválasztása képernyőn

válasszuk ki a Network Policy and Access Services

•

Hálózati házirend­

és elérési szolgáltatások jelölőnégyzetet, majd kattintsunk a Next

•

To­

•

To­

vább gombra!

3.

Olvassuk el a szolgáltatás leírását, majd lépjünk tovább a Next vább gombbal!

A Select Role Services

•

Szerepkör-szolgáltatások kivá­

lasztása lapon a telepíthető szolgáltatások közül jelöljük be a Routing and Remote Access Services

254

•

útválasztás és távelérés szolgáltatás alatt

Z.Z. Kivitelezés

-

A DMZ és a virtuális magánhálózat kialakítása

található Remote Access Service • Távelérés jelölőnégyzetet! Kattint­ sunk a Next • Tovább, majd az Install • Telepítés gombral 4.

A telepítés végeztével zárjuk be a varázslót, majd a Server Manager • Kiszolgálókezelő ablakot is!

A virtuális magánhálózat még nem működőképes, mivel a fenti művelet­

sorral csak a szolgáltatás futtatásához szükséges fájlokat telepítettük a Windows Server 2008-ra. A beállításhoz indítsuk el a Routing and Remote Access • útválasztás és távelérés felügyeleti konzolt! Ezt a (leendő) távoli

elérésű kiszolgálón tehe�ük meg: l.

A Start menü Administrative Tools • Felügyeleti eszközök almenüjéből

válasszuk a Routing and Remote Access • útválasztás és távelérés pa­ rancsot! 2.

A Start menüből válasszuk a Run • Futtatás parancsot, és az Open • Megnyitás mezőbe írjuk ezt: rrasmgmt.msc, majd kattintsunk az OK pa­

rancsgombra! Ha a felügyeleti konzolt először indítottuk el, a varázsló segítségével mindenképpen be kell állítanunk a távoli elérésű kiszolgáló kezdeti pa­ ramétereit, mielőtt a szolgáltatást elindí�uk. l.

A konzolfán kattintsunk a jobb gombbal a kiszolgáló nevére, majd a

helyi menüből válasszuk a Configure and Enable Routing and Remote Access • Útválasztás és távelérés konfigurálása és engedélyezése paran­

csot! 2.

Megjelenik a varázsló: az első oldalon kattintsunk a Next • Tovább pa­ rancsgombra!

3.

A következő oldalon tipikus konfigurációk közül választhatunk: •

Remote access • Távelérés (telefonos vagy VPN): távoli ügyfélgépek

hozzáférésének biztosítása kapcsolt vonalon (telefonvonalon) vagy virtuális magánhálózaton (VPN) keresztül. •

Network address translation • Hálózati címfordítás: ezzel belső ügyfe­

lek kapcsolódhatnak az internetre egyetlen nyilvános IP-címen ke­ resztül. •

Virtual Private Network (VPN) access and NAT• Virtuális magánhálózati (VPN) hozzáférés és NAT: lehetövé teszi, hogy külső ügyfelek csatla-

255

2. feladat: Kisiroda távmunkásokkal

kozzanak az aktuális hálózathoz az intemeten keresztül felépített alagúton (vagyis virtuális magánhálózattal), illetve helyi ügyfelek kapcsolódjanak az internetre egyetlen nyilvános IP-címen keresztül. Secure connection between two private networks

•

•

Biztonságos kap­

csolat két magánhálózat között: két távoli telephely biztonságos ösz­

szeköttetésére szolgál. Custom configuration

•

•

Egyéni konfiguráció: az útválasztás és a táv­

vezérlés szabad beállítása, ebben az esetben a kiszolgálón minden hálózati csatoló és útválasztási funkció működését manuálisan kell beállítani. 1"'t'�

Routing and Remote Acce-ss Server Setup Wazard

C«iigtration You CM enlli>le ony d the folowong cornbi'laöons d semces. or you""" ths server

rustorrue

(o' Aemate��-;Wiij

,..",. remole cloerts to conned to lhe-tlwtJo.q,- a dal64

1119/2008

Vllndows ServH 2008 Datacenter (Full lnstallatton)

.x64

1/19/2008

Windows Server 2008 Standard (Se:rver (ore lnstallation)

1119/2008

Windows Setver 2008 Enterprise (Sefver Core Install ation)

x64 .x64

Windows Server .2008 Datacenter (Server Core lnstallation)

x64

1!19/2008

1119/2008

Descriptton: Th ts option installs the complete installaticn of Windows Server. This imUllation indudes the entire user mterface,. and it supports ali of the server roles.

A Server Core távfelügyelete Mivel a Server Care módban telepített Windows Server 2008 nem rendel­ kezik a hagyományos értelemben vett grafikus felülettel, így beállítása és karbantartása is kissé nehézkesebb. Bejelentkezéskor csak egy Windows­ parancssorablak nyílik meg, és innen tudjuk elvégezni a kiszolgáló beállí­ tását. Természetesen van arra lehetőség, hogy távoli asztali kapcsolattal a kiszolgálóhoz csatlakozzunk, de ekkor is bejelentkezés után egy parancs­ sor fogad bennünket.

346

3.1. Tervezés - Minimális erőforrás-igényű kiszolgáló:

a

Server Core

Bár parancssorból is bármit elvégezhetünk - szerepköröket telepíthe­ tünk, előléptethetjük tartományvezérlővé, a DNS-kiszolgálóra zónákat,

azokba rekordokat vehetünk fel, DHCP-hatókört állíthatunk be, stb. -, de kényelmesebb a grafikus felület használata. Ha a Server Core-ként telepí­ tett számítógép egy munkaállomásról, vagy másik, grafikus felülettel ren­ delkező kiszolgálóról közvetlenül elérhető (értsd: azonos hálózatban van­ nak, nincs tűzfal mögött, stb.), távolról is felügyelhetjük hagyományos eszközökkel: rácsadakozhatunk MMC felügyeleti konzollal, böngészhet­ jük az eseménynaplóját, ellenőrizhetjük teljesítményfigyelővel a működé­ sét, és így tovább.

347

3.2

Webkiszolgáló külső szolgáltatánál

CD� 8�@

Kivitelezés

A Windows Server 2008 telepítése a webkiszolgálóra A webkiszolgáló-szerep beállitása Ha telepíteni szeretnénk az Internet Information Services 7.0 webkiszol­ gálót, végezzük el a következő lépéseket 1.

A Server Manager Roles

2.

•

•

Kiszolgálókezelő programban kattintsunk az Add

Szerepkör hozzáadása hivatkozásra!

A telepítendő szerepkörök listájában válasszuk ki a Web Server (liS)

•

Webkiszolgáló (liS) melletti jelölőnégyzetet!

3.

Ha az IlS-hez szükséges Windows Process Activation Service

•

Windows

Folyamataktiválási szaigáitatás két összetevője nincs telepítve, az erre

figyelmeztető ablak Add Required Features

•

Szükséges szolgáltatások

hozzáadása gombjával jelöljük ki azokat is telepítésre!

4.

A Select Role Services

•

Szerepkör-szolgáltatások kiválasztása ablakban

az alábbi szolgáltatások közül választhatunk: Common HTTP Features •

Static Content

•

•

HTTP-alapszolgáltatások

Statikus tartalom: lehetővé teszi, hogy a webkiszol­

gáló statikus webes fájlformátumokban, például HTML-lapok és képfájlok formájában tegyünk közzé tartalmat. •

Default Document

•

Alapértelmezett dokumentum: beállíthatjuk az

alapértelmezett fájlt, amelyet a webkiszolgáló visszaad, amikor a felhasználó nem fájlt ad meg egy kérés URL-címében. Az alapér­ telmezett dokumentum egyszerűbbé és kényelmesebbé teszi a fel­ használóknak a webhely elérését.

3. feladat: Webkiszolgáló külsö szolgáltatónál

•

Directory Browsing

•

Könyvtártallózás: lehetövé teszi a telhaszná­

lóknak a webkiszolgálón lévő könyvtárak tartalmának megtekinté­ sét Ezzel a szolgáltatással automatikusan létrehozható egy könyv­ tár összes alkönyvtárának és fájljának listája, ha a felhasználó nem fájlt ad meg a kérési URL-címben, és az alapértelmezett dokumen­ tumok le vannak tiltva vagy nincsenek beállítva. •

HTTP Errars

•

HTTP-hibák: a szolgáltatással testre szabhatjuk a fel­

használók böngészőjének küldött hibaüzeneteket, amikor a webki­ szolgáló hibát észlel. A HITP-hibák szolgáltatással javíthatjuk a felhasználói élményt hibaüzenetek esetén. Például, adhatunk egy e-mail címet a felhasználóknak, amelyen keresztül elérhetik a hi­ baelhárításban őket segítő személyeket. •

HTTP Redirection

HTTP-átirányítás: a felhasználói kérések adott cél­

•

területre való átirányítását teszi lehetövé. A HITP-átirányítás ak­ kor hasznos, ha egy URL-ről szeretnénk átirányítani a felhasználó­ kat egy másikra. Ez sok esetben hasznos, például egy webhely át­ nevezése vagy egy nehezen leírható tartománynév esetén, vala­ mint az ügyfelek biztonságos csatornára történő irányításához. Application Development •

•

Alkalmazásfejlesztés

ASP.NET: kiszolgálóoldali objektumorientált programozási környe­

zetet biztosít webhelyek és webalkalmazások készítéséhez. Az ASP.NET nem egyszerűen az ASP új verziója. A teljes újratervezés­ nek köszönhetően a .NET-keretrendszeren alapuló, hatékony prog­ ramozási élményt biztosít. Az ASP.NET megbízható infrastruktúra webalkalmazások létrehozásához. •

.NET Extensibility

•

.HET-bővíthetőség: lehetövé teszi a kezelt kódot

használó fejlesztöknek a webszolgáltatások módosítását, hozzá­ adását és bővítését a teljes kérési folyamatban, a konfigurációban és a felhasználói felületen. A fejlesztök a megszakott ASP.NET bő­ víthetőségi modellel és a gazdag .NET-alkalmazásprogramozási felületekkel készíthetnek webkiszolgálói szolgáltatásokat, amelyek ugyanolyan hatékonyak, mint a natív C++ alkalmazásprogramo­ zási felületekkel készített alkalmazások. •

ASP: kiszolgáló-oldali parancsfájl-kezelő környezetet biztosít web­

helyek és webalkalmazások létrehozásához. Az ASP a eGI-pa­ rancsfájloknál jobb teljesítményt biztosít, és az IlS számára natív

350

3.2. Kivitelezés- A Windows Server 2008 telepítése a webkiszolgálóra

módon támogatja a VBScript és a JScript nyelvet. Az ASP-t akkor érdemes használnunk, ha meglévő alkalmazásainkhoz szükséges annak támogatása. Új fejlesztésekhez az ASP.NET használatát ja­ vasoljuk. •

CGI: azt határozza meg, hogyan adja át a webkiszolgáló az infor­

mációkat egy külső programnak Jellemzően webes űrlapokon használják az adatok összegyűjtésére és eGI-parancsfájlhoz továb­ bítására, (például az adatok e-mailben való elküldéséhez). Mivel a CGI - szabvány, a eGI-parancsfájlok többféle programnyelven is írhatók. A CGI használatának hátránya, hogy teljesítményigényes. •

ISAPI Extensions

•

ISAPI-bővítmények: támogatják a dinamikus web­

tartalom ISAPI-bővítményekkel történő fejlesztését. Az ISAPI-bő­ vítmény kérésre fut, a statikus HTML- és dinamikus ASP-fájlokhoz hasonlóan. Mivel az ISAPI-alkalmazások lefordított kódok, feldol­ gozásuk sokkal gyorsabb, mint az ASP-fájloké vagy a COM+ ösz­ szetevőket hívó fájloké. •

ISAPI Filters

•

ISAPI-szűrők: a szaigáitatás az ISAPI-szűrőket haszná­

ló webalkalmazásokat támogatja. Az ISAPI-szűrők az I l S szal­ gáitatásait bővítő vagy módosító fájlok. Az ISAPI-szűrők ellenőr­ zik a webkiszolgálóra érkező összes kérést, amíg feldolgozandót nem találnak. •

Server Side Indudes

•

Kiszolgálóoldali beágyazás: HTML-lapok dina­

mikus generálására használt parancsfájlnyelv. A parancsfájl a lap az ügyfélhez kézbesítése előtt fut le a kiszolgálón, és rendszerint egy fájlnak egy másikba való beszúrását jelenti. Létre lehet hozni például egy HTML-formátumú navigációs menüt, és az SSI-vel a webhely összes lapján el lehet helyezni. Health and Diagnostics •

HTTP Logging

•

•

Állapot és diagnosztika

HTTP-naplózás: szaigáitatás a kiszolgálón lévő web­

hely tevékenységét naplózza. Naplózható esemény (általában HTTP­ tranzakció) esetén az IlS meghívja a kijelölt naplózási modult, ámely a webkiszolgáló fájlrendszerében tárolt egyik naplóba írja az ese­ ményt. Ezek a naplók az operációs rendszer naplói mellett léteznek. •

Logging Tools

•

Naplózási eszközök: a webkiszolgáló naplóinak ke­

zeléséhez és a gyakori naplózási feladatok automatizáláshoz bizto­ sítanak infrastruktúrát.

351

3. feladat: Webkiszolgáló külső szolgáltatónál

•

Request Manitor

•

Kérésfigyelő: a webalkalmazások épségének fi­

gyelését teszi lehetövé az IlS munkavégző folyamatainak HITP­ kéréseivel kapcsolatos adatok rögzítéséveL A kérésfigyelő segítsé­ gével megállapítha�uk, hogy mely HITP-kérések állnak végrehaj­ tás alatt egy munkavégző folyamatban, amikor a munkavégző fo­ lyamat nem válaszol vagy nagyon lassú. •

Tracing

•

Nyomkövetés: hibakeresési infrastruktúrát biztosít webes

alkalmazásokhoz. A sikertelen kérelmek nyomkövetésével olyan nehezen tetten érhető események is diagnosztizálhatók, mint a gyenge teljesítmény vagy a hitelesítéssei kapcsolatos kudarcok. A szolgáltatás puffereli a kérelem nyomkövetési eseményeit, és csak akkor írja azokat lemezre, ha valamely kérelem a felhasználó által megadott hibafeltéteibe ütközik. •

Custom Logging

•

Egyéni naplózás: a webkiszolgáló tevékenységé­

nek naplózását teszi lehetövé az IlS által létrehozott naplófájloktól eltérő formátumban. Az egyéni naplózással létrehozhatunk saját naplózási modult. •

ODBC Logging

•

ODBC-naplózás: infrastruktúrát nyújt a webkiszolgá­

ló tevékenységének naplózásához ODBC-kompatibilis adatbázisba. Security •

•

Biztonság

Basic Authentication

•

Egyszerű hitelesítés: nagy mértékű böngésző­

kompatibilitást biztosít. Megfelelő a kis hálózatokhoz, de a nyilvá­ nos interneten ritkán használják. Fő hátránya, hogy a jelszavakat egyszerűen visszafejthető algoritmussal (Base64) továbbí�a a háló­ zaton. Elfogásuk esetén a jelszavak könnyen visszafejthetők. Az egy­ szerű hitelesítéshez használjunk SSL-titkosítást (HITPS protokoll). •

Windows Authentication

•

Windows-hitelesítés: a belső webhelyek

hitelesítéséhez használható költségkímélő hitelesítési mód. Ez a hi­ telesítési séma lehetövé teszi, hogy a felhasználók hitelesítéséhez kihasználjuk a tartomány infrastruktúráiának előnyeit Ne használ­ juk a Windows-hitelesítést, ha azok a felhasználók, akiknek hozzá­ férést kívánunk biztosítani a webhelyhez, tűzfalak és proxykiszol­ gálók mögött helyezkednek el. •

Digest Authentication

•

Kivonataló hitelesítés: a felhasznáJók hitele­

sítéséhez jelszókivonatot küld egy Windows-tartományvezérlő­ ne}cportPolcy .•• Restore DefaUts Ylew

� ClL Si�

ASP.IlET

� NET

9 •

Comection StrinQS

�

SossoonSta�

�

Globalzalion

p

�

.

.!b]

NET

.N:TTrust Levels

.

Compiabon

Hanage -

.:_.,�·

Gr01.41 by: Area

ModWieK.ey

�

- Aclpbtion Pools YiowSites

AI>Pication Setmgs

..._, Or*"'..._,

-·

p_. ard Controls

�

SMTPE-mal

ns

rA

e• oASP

AIJthentioation

ll CGI

-a

C�ession

� w aean....tVIow R9dy

a.

l

::J

ea,,

2.

Az ablak bal oldali részében kattintsunk a Sites • Webhelyek elemre!

3.

A jobb oldali Actions• Müveletek ablaktáblában kattintsunk az Add Web Site • Webhely hozzáadása hivatkozásral .11..�.1 Sdect--·

�

�-=-��

� �--��--�----� !VPO' fl'aóhss: f>2rt:

�!Aí� ttost "'""'"

_____,

::J �

�: www.contDso.com ot rnarUtng.contoso.com

!'i

Start Web SI� lQyneciall!ly

� �:

Cancol

367

3. feladat: Webkiszolgáló külső szolgáltatónál

4.

A megjelenő ablak Site Name

•

Hely neve szövegdobozába írjuk be a

létrehozandó webhely nevét! A későbbiekben ez alapján fogjuk tudni beazonosítani a webhelyet A webhely nevének beírásakor az alkal­ mazáskészlet neve is automatikusan változik, vagyis az új webhelye­ ket az IlS alapértelmezés szerint mindig új alkalmazáskészletben hoz­ za létre. Ha a webhelyet egy, már meglévő alkalmazáskészletben sze­ retnénk létrehozni, kattintsunk a Select

•

Kijelölés gombra, és vá­

lasszunk egy alkalmazáskészletet! Kattintsunk a Content Directory

5.

path

•

•

Tartalomkönyvtár keretben lévő Physical

Fizikai elérési út szövegdoboz mellett lévő, " ... " feliratú gombra,

majd adjuk meg azt a mappát, amely az új webhely gyökérmappája lesz. A Binding

6.

•

Kötés területen megadhatjuk, hogy az adott webhelyet mi­

lyen IP-címen, melyik porton és milyen állomásnévvel szeretnénk el­ érhetővé tenni. A Host name

•

Állomásnév szövegdobozba írjuk be azt

az állomásnevet, amelyen a webhelyet elérhetővé szeretnénk tenni. Figyeljünk arra, hogy a megadott néven az ügyfeleknek is el kell tud­ niuk érni a webhelyet, tehát fel kell tudniuk oldani az állomásnevet IP-címre. Ezt úgy biztosíthatjuk, hogy a megfelelő DNS-zónába

"

A

"

rekordként felvesszük a megadott állomásnevet, amely a kiszolgáló IP-címére mutat Mikor az OK gombra kattintunk, az IlS-ben létrejön az új webhely a

7.

megadott alkalmazáskészletben (lásd az ábrát a következő oldalon!) A webhely tulajdonságainak utólagos módosításához az IlS-kezelőkonzol bal oldali részében kattintsunk a webhelyre, majd az ablak középső ikon­ jainak és jobb oldali hivatkozásainak segítségével beállíthatjuk a webhe­ lyet Például a kötések módosításához a jobb oldali, műveletek részben kat­ tintsunk a Bindings

•

Kötések hivatkozásra, majd a megjelenő ablakban ad­

junk hozzá a webhelyhez új kötéseket, így akár más porton, más IP-címen és/vagy más állomásnévvel is elérhetővé tehe �ük ugyanazt a webhelyet

Az IlS-konzol középső részén lévő beállításokat, amelyek ikonokként jelennek meg, terület, illetve kategória szerint csoportosítva böngészhet­ jük. A csoportosítás szempontját az ablak felső részében lévő Group by Csoportosítás legördülőmenüben adhatjuk meg.

368

•

3.2. Kivitelezés- A webkiszolgáló beállítása: virtuális mappák és kiszolgálók � lnternf!'t tnformabon St!rviCes (DS) t-tanager ._ SER.VfR Ek

B

�

�

• Sit6

-

My Site Home

E>Por• Edi-. ..

..-,.�-

Grc:M.4»by: Are:a

o AclPficabonPools 8 ·:.1 Silrs ff!

"X•"":.\c •

�

. , .... � � StartPage SER- (IROOA\odnrislra!Df)

ij}-�

• My Site

EditSite

ASP.Nfl

�

DeloUt Wd> Site

llllill

o

�

.NET �bon

..... .NET Globalzalion

.!'ET Protie

a

�

�

.tETTrust Levels

Mo appcmd add site /name:"webhely neve" bindings: ötések /physical Path:" e lérés�1'-· ..::: ú..,._ t:_ ' -----

Példa:

•

Az alapszintű hitelesítés engedélyezése egy könyvtárra:

C:\winaows\system32\inetsrv> appcmd SET CONFIG "webhely neve/könyvtár neve" /section:system.webserver/security/authentication/basicAuthentication /enabled:true

Példa: C:\Windows\system32\inetsrv> appcmd SET CONFIG "cég webhe­ lye/titkosMappa" /section:system.webserver/security/authentication/basicAuthentication /enabled:true________ •

Kötések módosítása:

C:\Windows\system32\inetsrv> appcmd set site" webh e ly

neve

"

/bindings:kötések

Példa:

•

Tanúsítvány beállítása: l. Telepítsük a tanúsítványt a certutil -importpfx fájlnév.pfx pa­ ranccsal! 2. Keressük ki a telepített tanúsítvány kivanatát (hash), ehhez lis­ tázzuk ki a tanúsítványtár tartalmát a certutil -store MY parancs­ csal, majd keressük meg a Cert Hash kezdetű sort:

7

Az egyik, az appcmd paranccsal most ismerkedőknek szóló leírás pontos címe 2008 októberében: http://learn. iis. neVpage .aspx/114/getting-started-with-appcmdexe/.

384

3.2. Kivitelezés- A Windows Server Care ======

==== certificate 3 ===

======

serial

Number:

=--==

=--==----===

43085c

Issuer: SERIALNUMBER=07969287, CN=Go oaddy secure certification Authority, OU=http://certificates.godaddy.com/repository,

O=Gooaddy.com,

Inc.,

L=Scottsdale,

S=Arizona, C=US NotBefore: 2008.02.05. 16:06 NotAfter: 2009.02.06. 22:59 subject: CN=www.ceg.hu,

OU=Domain control validated, a =www.ceg.hu

Non-root certificate ce rt Hash(shal):

2c 95 Ol 59 89 38 d2 ef f4 a2 ad Ja 9f ed 08 9b a5 5d 9b le

Key container = d34fbcd885466ca84367acd853c30d93_245c7e13-6548-4elc-a7d62542db2e29ee unique container name:

249b3387ad323af494ff52cca353f50e_fdc69d3f-a07a-43b4-

8584-2a7980614680 Provider = Microsoft RSA schannel cryptographic Provider Encrypti2_n �pa�

3. A http.sys fájlnak adjuk meg a tanúsítványt! Ezt a netsh http add sslcert ipport=O:Ő.0.0:443 certs1tclrename:-MY certhash=tanúsítványKivonata appid={Sa599f4f-02dc-4120-864674fcbc5JMB27}_

paranccsal tehetjük meg. Példánkban: netsh http add sslcert ipport=0.0.0.0:443 certstorename=MY certhash=2c9501598938d2eff4a2ad3a9fed089ba55d9blc appid={Sa599f4f-02dc4120-8646-74fcbc5b4827}

4. A kívánt webhelyhez vegyük fel a HITPS-kötést is az előzőek­

ben bemutatottak szerint!

385

3.3 CD���e

Webkiszolgáló külső szolgáltatónál Fenntartás

A webkiszolgáló figyelése A webkiszolgáló naptói Az IlS 7.0 webkiszolgáló működéséről vagy annak hibáiról két forrásból értesülhetünk a Windows eseménynaplójából és az IlS naplófájljaibóL A webkiszolgáló program a működésével kapcsolatos eseményeket a Windows eseménynaplójába írja. A szolgáltatás elindítását és leállítását a System

•

Rendszer naplóban rögzíti, míg az esetleges alkalmazáskészlet­

vagy modulhibákról az Application

•

Alkalmazás naplóból értesülhetünk

l Sy!>t�m

-49.561 fve'1:s Dote.-.flifte

� llS--DSRI!stt DS-!ISR"" DS-!ISReoot ns-.... llS-!ISR(Urll:y ,md A.::tt'l!"rdhon c;f"rver 1004 -� -

-

-

lJ(!] EJ -----

ISA

ro - ­ � ITCWMI Pe*)'

,.) vttwl Pnvate Netwttkl ('t'PN) s 'l