Windows server 2008 / 2012, DNS, AD, GP Flashcards
Co to je server?
Server je v informatice obecné označení pro počítač, který poskytuje nějaké služby, nebo počítačový program
Charakteristika
Servery jsou umístěny buď volně, nebo ve speciální místnosti, kterou označujeme serverovna (s klimatizací, zabezpečovacím zařízením, UPS apod.). Pro úsporu místa se mohou zakládat do speciálních skříní, tzv racků.
Služby serveru
Klient server
Peer-to-peer
Klient server
e-mail, web, přístup k databázi. Příkladem je prosté brouzdání po internetu
Peer-to-peer
této síti se nenachází server, uzly jsou si rovnocenné, uživatelé komunikují napřímo
Služby serveru v síti
LAN
Internet
LAN
sdílení disků. tiskáren nebo schopnost ověřit uživatele podle jména a hesla
Internet
servery uchovávají a nabízejí webové stránky a poskytují další služby (DNS, e-mail atd.)
Rozdělení serveru
Dedikovaný x Nededikovaný
Dedikovaný (vyhrazený)
určený pouze pro jednu službu (PHP,…), je bez přímého přístupu uživatelů
Nededikovaný (nevyhrazený)
server slouží uživateli zároveň jako obyčejný počítač
Rozdělení serveru - Windows x Linux
Windows: Windows server NT/2000/2008/2012
Linux: CentOS, Debian, Gentoo, Slackware
Linux je považován za lepší server než Windows… proč?
kvůli bezpečnosti, HW nárokům, Linux je zdarma, stabilitě Linux systémů (Windows servery musí být často defragmentovány)
Fyzický x Virtuální
Samozřejmě je lepší mít virtuální servery kvůli jejich snadné migraci, snadnější zálohovatelnosti, finančním nárokům (více virtuálních serveru na jednom fyz. stroji — virtualizace na úrovni OS) a v nepolední řadě také ekologii (přece jenom jeden stroj vydá méně tepla než několik fyzických)
Virtualizační programy: HyperV(placený), VMware(placený), Proxmox(zdarma)
Co je to DNS
DNS – Domain Name Server - je systém, který překládá doménové názvy na IP adresy. Počítače mezi sebou komunikují pomocí IP adres. Ty jsou však pro Člověka špatně zapamatovatelné, a tak si vymyslel domény a vznikl systém DNS. Běžnému uživateli pak stačí zapamatovat si doménové jméno a DNS zařídí, že se prohlížeč spojí se správným serverem a zobrazí Vám požadované stránky.
Typy DNS serverů
Primární
Sekundární
Cachovací
Root
Primární
stará se o záznamy ve své zóně. Každá doména musí mít primární server.
Sekundární
je automatickou kopií primární serveru pro případ jeho poruchy. Sám si průběžně kopíruje data z primárního serveru.
Cachovací
slouží jako vyrovnávací paměť systému pro snížení zátěže a zrychlení odezvy. Uchovává výsledky a mezivýsledky dotazů, dokud nevyprší jejich platnost.
Root
kořenový server, který zná adresy autoritativních serverů všech domén 1. úrovně (TLD).
Jak DNS funguje
Každá doména má uvedeny tzv. autoritativní DNS servery, na kterých jsou uloženy konkrétní DNS záznamy ukazující na nějakou IP adresu. Autoritativní DNS servery jsou uvedeny také ve Whois databázi existuje ale i plugin do cmd, který funguje na principu příkazu: whois google.com
Takto funguje forward zone. Reverse zone je v podstatě přesný opak, Reverse zone hledá doménové jméno poté, co ji předáme ip adresu.
Nástroje a utility pro práci s DNS
dig — resolver
host - resolver
nslookup - interaktivní resolver (když si chci ověřit, jestli DNS funguje, tak do cmd napíšu nslookup ‘domain Name’ nebo nslookup ‘domenovaAdresa’ a když mi to vrátí to druhý, než jsem napsal, tak funguje)
resolveip triviální resolver (- z balíku mysql)
whois - klient pro zjišťování registračních informací domén
rndc - program pro manipulaci se zónami, součást BINDu
Active Directory
Co je to AD
Active Directory je implementace adresářových služeb LDAP firmou Microsoft pro použití v prostředí systému Microsoft Windows. Active Directory umožňuje administrátorům nastavovat politiku, instalovat programy na mnoho počítačů nebo aplikovat kritické aktualizace v celé organizační struktuře. Active Directory ukládá své informace a nastavení v centrální organizované databázi.
Adresářová služba Active Directory je rozšiřitelná a škálovatelná adresářová služba, která umožňuje efektivně uspořádat síťové prostředky.
Vyžaduje instalaci služby DNS.
Je založena na standardních internetových protokolech.
Jednoznačně definuje strukturu sítě.
Organizuje skupiny počítačů a domén
Výhody AD
redukce celkových nákladů na vlastnictví - pomocí Active Directory a politiky skupin nastavujete jako administrátoři uživatelské prostředí z jednoho místa, čímž se šetří čas
zjednodušená administrace - Active Directory sdružuje do jednoho místa informace o uživatelích, různých zdrojích, aplikacích atd.
flexibilita — možnost delegovat uživatele, kteří budou spravovat část sítě
škálovatelnost - Active Directory je navrženo tak, že spolehlivě pracuje v jakékoliv velikosti
Struktura AD
Organizační jednotka
Doména
Lesy a stromy domén
Globální katalog
Organizační jednotka
Jsou to podskupiny v rámci domén, které často odráží řídicí nebo obchodní strukturu organizace. OU si také můžeme představit jako logické kontejnery, do kterých si můžeme umístit:
uživatelské účty
sdílené prostředky
další OU
V doméně firma.cz můžeme vytvořit OU podle jednotlivých oddělení této firmy tato oddělení pak dále členit na další podřízené OU.
Je to nejnižší forma seskupování objektů v AD
Skupinová politika může být uplatňována na úrovni organizační jednotky
OU jsou definovány uvnitř domén
OU se typicky liší doména od domény
Doména
Doména Active Directory je v podstatě skupinou počítačů sdílejících společnou adresářovou databázi.
Základní jednotka AD, tvoří ji min. 1 DC
Je bezpečnostní hranice ve struktuře Active Directory
Reprezentuje replikační hranici
Má jednoznačné označení
Má vlastní zásady zabezpečení
Vytváří vztahy důvěry s ostatními doménami
Lesy a stromy domén
Každá doména služby Active Directory má název DNS (vsps.cz). V případě, kdy jedna nebo více domén sdílejí stejná adresářová data, nazývají se LES.
Doménový strom je hierarchické spojení domén vytvořené vztahem rodič - potomek. Všechny domény v doménovém stromu sdílejí stejný jmenný prostor. Uživatelé mohou prohledávat informace v rámci doménového stromu. Schéma je stejné v rámci doménového stromu.
Les, to jsou stromy. Ve Windows 2000 je les tvořen jedním nebo více stromy. Všechny stromy v lese mají společný globální katalog a schéma. Les se vytvoří tak, že se nový strom připojí, k již existujícímu lesu. Při vytváření první domény se zakládá nový strom a zároveň nový les.
Globální katalog
Globální katalog obsahuje některé (často používané) atributy o každém objektu v síti (v lese). O objektu uživatel obsahuje informace jako jméno, příjmení a přihlašovací jméno.
Group Policy
Skupiny zásad (Group Policy) je nástroj pro hromadnou správu oprávnění a nastavení aplikovaných jak na celý počítač, tak na přihlášeného uživatele. Ve skupinách zásad je možné vytvářet kolekce nastavení, kterým říkáme Group Policy Object GPO, které dokážou měnit konkrétní parametry chování počítače nebo uživatele. Samotné nastavení GPO se pak “linkuje” na jednotlivé organizační jednotky v AD (může linkovat i na několik najednou), čímž zajistíte aplikování nastavení jen na vybrané počítače nebo uživatele. Tímto způsobem tedy můžeme spravovat potenciálně tisíce počítačů nebo uživatelů změnou jednoho GPO.
Group Policy - Použití
Používá se pro:
aplikování firemních standardů (skrytí ovládacích panelů, síťové tiskárny, spuštění scriptů)
aplikování zabezpečení (změna oprávnění na určitých složkách, složitost hesla, skupiny s možností se lokálně přihlásit)
hromadná instalace aplikací (Office, Adobe Reader atd.)
Group Policy - Skripty v GP
Skripty v politikách mohou:
Provádět úkoly, které nelze nakonfigurovat v GP
Vyčistit prostředí a vrátit počítač do původního stavu
Zajistit bezpečné prostředí např. smazáním temp složek atd.
Od Windows 2008 lze často místo skriptů využít “preferences”.
Group Policy - Software Restriction Policy
identifikuje a řídí spouštění softwaru na klientských počítačích
omezuje instalaci softwaru a pomáhá chránit před nákazou
Group Policy - Politiky (“policy”)
Politiky dělíme na lokální a doménové.
Každý počítač od Windows 2000 má lokální politiky (local Group Policy), které ovlivňují lokální počítač a přihlášené uživatele. Pokud počítač není připojen do domény, tak právě lokální politiky jsou jako jediné použity.
Doménové politiky lze použít výhradně u počítačů a uživatelů, jež jsou členy nějaké domény.
Group Policy - rozdělení GPO
globální politiky se dělí na dvě části, a to konfigurace počítače (Computer Configuration) a konfigurace uživatele (User Configuration)
Computer Configuration mění registry v HKEY_Local_Machine. User Configuration mění registry HKEY_Current User