Главная страница

Материал Аудит. Использование компьютерных систем во всех сферах современной жизни, стремительное развитие сетевых технологий, помимо преимуществ, повлекли за собой появление большого ряда специфических проблем


Скачать 3.84 Mb.
НазваниеИспользование компьютерных систем во всех сферах современной жизни, стремительное развитие сетевых технологий, помимо преимуществ, повлекли за собой появление большого ряда специфических проблем
Дата03.09.2022
Размер3.84 Mb.
Формат файлаdocx
Имя файлаМатериал Аудит.docx
ТипДокументы
#660333
страница18 из 26
1   ...   14   15   16   17   18   19   20   21   ...   26

Шифрование диска BitLocker

 

Шифрование диска BitLocker является новой ключевой возможностью,
которая доступна в операционной системе Windows Server 2008, а также
в выпусках Windows Vista Enterprise и Windows Vista Ultimate. Эта возможность помогает защищать серверы, рабочие станции и мобильные компьютеры. С помощью технологии BitLocker шифруется содержимое диска. Злоумышленник не сможет получить доступ к зашифрованному содержимому, осуществив загрузку операционной системы с другого раздела, обойдя защиты файловой системы с помощью программных средств или подключив жесткий диск к другому компьютеру.

Защита данных с помощью шифрования BitLocker усиливается за счет
шифрования системного раздела и проверки целостности компонентов,
используемых на раннем этапе загрузки. Полностью шифруется системный раздел, включая файл подкачки и файл режима гибернации. Благодаря этому усиливается защищенность удаленных серверов в филиалах.
Шифрование BitLocker позволяет предотвратить утечку или раскрытие
данных с утерянного, украденного или неправильно утилизированного
компьютера. Эта технология шифрования также помогает организациям
исполнять государственные постановления и законы, например, закон
Сарбэйнса-Оксли и HIPAA, в которых требуется использование высоких
стандартов обеспечения безопасности и защиты данных.

 

 

Инфраструктура Enterprise PKI (PKIView)

 

В инфраструктуру открытого ключа (PKI) в операционной системе Windows Server 2008 и Windows Vista был внесен ряд усовершенствований. Была улучшена управляемость всеми аспектами инфраструктуры Windows PKI, переработаны службы отзыва сертификатов и уменьшена контактная зона процесса регистрации.

К усовершенствованиям инфраструктуры PKI относится следующее.

- Инфраструктура Enterprise PKI (PKIView). Средство PKIView, ранее являвшееся частью комплекта ресурсов для операционной системы
Windows Server 2003 и называвшееся PKI Health, теперь является оснасткой консоли ММС для операционной системы Windows Server 2008.
Оно используется для анализа состояния центров сертификации и
просмотра детальных сведений о сертификатах центров сертификации,
опубликованных в службе сертификации Active Directory.

- Протокол OCSP. Сетевой ответчик, работающий на основе протокола
OCSP (Online Certificate Status Protocol — протокол сетевого состояния
сертификата), может использоваться для управления информацией о
состоянии отзыва сертификатов и распространения этой информации
в случаях, когда использование традиционных списков отзыва сертификатов не подходит. Сетевые ответчики могут быть настроены на одном компьютере или в массиве сетевых ответчиков.

- Служба NDES. Служба NDES (Network Device Enrollment Service — служба подачи заявок на регистрацию сетевых устройств) в операционной
системе Windows Server 2008 — реализация корпорацией Microsoft
протокола SCEP (Simple Certificate Enrollment Protocol — простой протокол подачи заявки на сертификат). Этот протокол позволяет программам, работающим на маршрутизаторах, коммутаторах и других сетевых устройствах, и неспособным пройти проверку подлинности в сети
другим способом, отправить запрос на получение сертификата х509 от
центра сертификации.

- Веб-регистрация. По сравнению с предыдущей версией новый элемент управления веб-регистрацией более защищен, его легче программировать с помощью сценариев и обновлять.

- Параметры PKI в групповых политиках. Параметры сертификатов в
групповых политиках позволяют администраторам централизованно
управлять настройкой сертификатов для всех компьютеров в домене.

 

 

Служба CNG

 

Служба CNG (Cryptography Next Generation — новое поколение криптографии) предоставляет гибкую платформу для разработки шифрования и позволяет ИТ-специалистам создавать, обновлять и использовать собственные алгоритмы шифрования в таких приложениях и технологиях, как служба сертификации Active Directory, технологии SSL и IPsec. Служба CNG реализует алгоритмы шифрования, цифровых подписей, обмена ключами и хеширования, перечисленные в своде правил Suite В Агентства национальной безопасности США.

Служба CNG предоставляет набор интерфейсов API для выполнения
основных операций, таких как создание, сохранение и получение ключей
шифрования. Также поддерживается установка и использования дополнительных поставщиков шифрования. Благодаря платформе CNG разработчики и организации могут использовать собственные алгоритмы шифрования или реализации стандартных алгоритмов.

Поддерживается текущий набор алгоритмов CryptoAPI версии 1.0, а также алгоритмы шифрования на основе эллиптических кривых (ЕСС). Поддержка определенных алгоритмов ЕСС требуется для соответствия своду правил Suite В Агентства национальной безопасности США.

 

 

Контроллеры домена только для чтения

 

Контроллер RODC (Read-Only Domain Controller — контроллер домена
только для чтения) — это новый тип контроллера домена, который доступен в операционной системе Windows Server 2008 и предназначен для
установки в филиалах. Контроллер RODC позволяет уменьшить риск установки контроллера домена в удаленных филиалах или в других местах,
где невозможно гарантировать физическую защищенность сервера.

На таком контроллере домена хранятся все объекты и атрибуты службы каталогов Active Directory, которые хранятся на обычном контроллере домена, за исключением паролей учетных записей. Однако пользователи не могут сохранять изменения на контроллере RODC. Так как изменения не записываются непосредственно на контроллер RODC, и, следовательно, не могут возникнуть локально, контроллерам домена, которые поддерживают запись изменений и являются партнерами по репликации не нужно запрашивать изменения с контроллеров RODC. Разделение административных ролей позволяет делегировать любому пользователю домена права локального администратора контроллера RODC без необходимости предоставлять этому пользователю права в самом домене или на других контроллерах домена.

 

 

Изоляция серверов и доменов

 

В сети, построенной на основе операционной системы Microsoft Windows, администраторы могут логически изолировать серверные и доменные ресурсы для обеспечения доступа к ним только с авторизованных компьютеров, прошедших проверку подлинности. Например, внутри существующей физической сети можно создать логическую сеть, в которой у компьютеров будет общий набор требований для организации безопасных
взаимодействий. Каждый компьютер в этой логически изолированной
подсети должен предоставить учетные данные для прохождения проверки подлинности на других компьютерах этой изолированной подсети.

Изоляция предотвращает неавторизованный доступ компьютеров и
программ к ресурсам. Запросы от компьютеров, которые не являются частью изолированной подсети, игнорируются. Изоляция серверов и доменов помогает защитить определенные особо ценные серверы и данные, а
также защитить контролируемые компьютеры от доступа неконтролируемых или посторонних компьютеров и пользователей.

В сети может использоваться два типа изоляции.

-  Изоляция серверов. Такой вариант изоляции подразумевает настройку политик IPsec на определенных серверах таким образом, чтобы принимались соединения только от компьютеров, прошедших проверку подлинности. Например, можно настроить сервер баз данных таким образом, чтобы он принимал соединения только от сервера веб-приложений.

Изоляция доменов. Чтобы изолировать домен, администраторы могут воспользоваться членством компьютеров в домене Active Directory и
настроить эти компьютеры таким образом, чтобы они принимали только безопасные соединения, прошедшие проверку подлинности, и только
от компьютеров, которые тоже являются членами этого домена. Изолированная сеть в таком случае состоит только из компьютеров, являющихся членами домена. При изоляции доменов для защиты данных,
пересылаемых между всеми членами домена, включая все клиентские
компьютеры и серверы, используется политика IPsec.

Операционная система Windows Server 2008 позволяет организациям
воспользоваться такими беспрецедентными возможностями защиты на основе политик, как защита доступа к сети (NAP). Оценка и контроль состояния и защищенности взаимодействующих компьютеров значительно улучшит защищенность организации. Новые интерфейсы управления в операционной системе Windows Server 2008 упрощают процесс администрирования, настройки и поддержки множественных серверов организации и уменьшают затраты на поддержание сетевой безопасности предприятия.

 

 

Механизмы централизованного доступа к приложениям

 

Улучшения и нововведения в службах терминалов в операционной системе Windows Server 2008 выходят за рамки простого предоставления
удаленного доступа пользователей к приложениям. Благодаря возможности запускать на рабочем столе пользователя удаленные приложения рядом с локальными приложениями значительно улучшено взаимодействие
с пользователями. Также стал возможен централизованный доступ к приложениям через веб-клиент служб терминалов.

Ниже перечислены новые компоненты служб терминалов.

•    Удаленные приложения служб терминалов. Благодаря удаленным приложениям служб терминалов пользователи могут запускать удаленные приложения на своем рабочем столе наряду с обычными локальными приложениями. Для работы этой возможности необходим клиент подключения к удаленному рабочему столу версии 6.0.

•    Шлюз служб терминалов. Шлюз служб терминалов (TS Gateway) позволяет получить безопасный доступ к службам терминалов и общим рабочим столам из-за пределов межсетевого экрана предприятия без необходимости развертывания инфраструктуры виртуальной частной сети (VPN).

•    Веб-клиент служб терминалов. Веб-клиент служб терминалов (TS Web Access) является решением для работы с удаленными приложениями, которое упрощает администраторам процесс публикации этих приложений, а пользователям — процесс поиска и запуска этих приложений.

•    Единый вход. Технология единого входа улучшает взаимодействие с пользователями, избавляя их от необходимости многократно вводить свои учетные данные.

Рассмотрим механизмы централизованного доступа к приложениям
более подробно. Начнем со службы терминалов.

 

 





Службы терминалов

 

Службы терминалов в операционной системе Windows Server 2008 включают ряд новых ключевых функциональных возможностей, которые улучшают взаимодействие с пользователями.

Компоненты этой новой ключевой функциональности описаны ниже.

- Клиент подключения к удаленному рабочему столу версии 6.0. Для доступа к службам терминалов пользователям необходимо использовать
клиент подключения к удаленному рабочему столу версии 6.0. Он входит в состав операционных систем Windows Server 2008 и Windows Vista;
версия этого клиента для операционных систем Windows XP и Windows
Server 2003 доступна для бесплатной загрузки.

- Улучшения отображения подключения к удаленному рабочему столу.
Клиент подключений к удаленному рабочему столу версии 6.0 поддерживает работу с рабочими столами с высоким разрешением (до 4096
на 2048 точек) и отображение одного большого рабочего стола на
нескольких расположенных в ряд мониторах. Новая версия клиента
позволяет воспользоваться преимуществами новых мониторов высокого разрешения и современных форматов экрана (например, широкоформатных экранов с пропорциями 16 на 9 или 16 на 10), которые
не соответствуют прежнему стандарту с пропорциями 4 на 3.

- Функция Desktop Experience. Клиент подключения к удаленному рабочему столу версии 6.0 воспроизводит рабочий стол удаленного компьютера на компьютере пользователя. Если на сервере Windows Server 2008 установлена функция Desktop Experience, пользователь сможет воспользоваться такими возможностями операционной системы Windows Vista, как проигрыватель Windows Media, темы рабочего стола или работа с
фотоснимками через удаленное подключение. Функция Desktop Experience и параметры задания приоритета отображаемых данных улучшают взаимодействие конечного пользователя с сервером терминалов
Windows Server 2008. Параметры приоритета отображаемых данных
нужны, чтобы нажатия клавиш на клавиатуре и действия мыши без задержек взаимодействовали с экранными элементами даже в условиях
значительной нагрузки на канал передачи данных.

 

 

Единый вход

 

Единый вход позволяет пользователям с доменной учетной записью, выполнившим вход в сеанс служб терминалов с помощью пароля или смарт-карты, получать доступ ко всем удаленным серверам и приложениям без
повторных запросов учетных данных. Единый вход улучшает взаимодействие с пользователями, избавляя их от необходимости вводить учетные данные каждый раз при открытии сеанса удаленного доступа.

 

Удаленные приложения служб терминалов

 

Удаленные приложения служб терминалов — это новый способ представления удаленных приложений в операционной системе Windows Server 2008. Способ представления удаленных приложений дополняет существующий способ представления служб терминалов, при котором пользователю отображался весь удаленный рабочий стол с запущенными на нем удаленными приложениями.

В операционной системе Windows Server 2008 взаимодействие пользователя с удаленными приложениями существенно изменилось. Теперь не весь рабочий стол, а только окно удаленного приложения открывается на
рабочем столе пользователя, причем размер этого окна можно изменять
так же, как и размер любых других окон. Если у программы есть значок,
отображаемый в области уведомлений, то этот значок также появится в
области уведомлений на клиентском компьютере. Всплывающие окна также
передаются на локальный рабочий стол и открываются на нем, а локальные дисковые устройства и принтеры доступны из удаленного приложения. Многие пользователи даже не смогут отличить удаленное приложение от работающего рядом локального приложения.

Благодаря удаленным приложениям упрощается работа администраторов, которым нужно поддерживать приложение только в одном месте, вместо того, чтобы устанавливать и поддерживать приложение на всех рабочих станциях пользователей в организации. Также благодаря удаленным приложениям улучшается взаимодействие с пользователями за счет плавной
интеграции удаленных приложений с клиентскими рабочими столами.

 

 

Шлюз служб терминалов (TS Gateway)

 

Шлюз служб терминалов (TS Gateway) — это роль служб терминалов, с
помощью которой авторизованные удаленные пользователи могут подключаться к серверам терминалов и рабочим станциям в сети предприятия через Интернет. Эта служба позволяет предоставить удаленным или путешествующим работникам защищенный доступ к определенным серверам и рабочим станциям без необходимости использовать подключение к виртуальной частной сети (VPN).

Некоторые из ключевых преимуществ использования шлюза служб
терминалов перечислены ниже.

- Возможность защищенного подключения удаленных пользователей к
ресурсам сети предприятия через Интернет без необходимости использования сложных подключений к виртуальной частной сети (VPN).

- Использование защищенности и доступности протокола HTTPS для
доступа к службам терминалов без необходимости настройки на стороне клиента.

- Комплексная модель безопасности, благодаря которой администраторы могут контролировать доступ к определенным ресурсам в сети.

- Возможность подключения пользователей к серверам терминалов и
удаленным рабочим станциям через межсетевые экраны и преобразователи сетевых адресов (NAT).

- Более защищенная модель доступа, позволяющая ограничить доступ
пользователей только к определенным серверам и рабочим станциям,
а не ко всей сети предприятия, как это происходит в случае использования подключений к виртуальной частной сети (VPN).

Благодаря шлюзу служб терминалов организации могут легко предоставить защищенный доступ удаленным пользователям к серверам и рабочим станциям в сети организации без необходимости устанавливать и
настраивать подключение к виртуальной частной сети (VPN). Комплексная модель безопасности позволяет администраторам контролировать доступ к определенным ресурсам.

 

 

Веб-клиент служб терминалов

 

Веб-клиент служб терминалов (TS Web Access) — это роль служб терминалов, с помощью которой администраторы могут предоставить доступ пользователям к удаленным приложениям через веб-обозреватель без необходимости устанавливать дополнительное ПО. С помощью веб-клиента служб терминалов пользователи могут получить список доступных приложений через веб-узел. Когда пользователь запускает одно из удаленных приложений, для этого пользователя автоматически создается сеанс служб терминалов на сервере терминалов под управлением операционной системы
Windows Server 2008, на котором размещается это приложение. Для пользователя в веб-интерфейсе доступно централизованное меню, в котором отображаются все доступные удаленные приложения. Чтобы запустить удаленное приложение, достаточно выбрать нужную программу в меню.

Использование веб-клиента служб терминалов уменьшает трудозатраты по администрированию за счет централизованного доступа к удаленным приложениям. Приложения выполняются на сервере терминалов, а не на клиентских компьютерах, поэтому ИТ-персоналу необходимо поддерживать и обновлять эти приложения в единственном экземпляре.

 

 

 

Средства управления удаленными филиалами

 

Чтобы более плотно взаимодействовать со своими клиентами, организации перемещают сотрудников из центрального офиса в удаленные филиалы. По мере возрастания количества филиалов пропорционально возрастают и потребности в управлении и защите ИТ-инфраструктуры этих
удаленных офисов. Количество работников в удаленных филиалах быстро растет, и в корпорации Microsoft учитывают потребности организаций
в новых решениях для особых условий филиалов.

Так как в удаленных филиалах зачастую нет штатного ИТ-персонала,
возникают определенные особенности работы ИТ-специалистов с серверами в этих филиалах. Программное обеспечение, которое используется
на этих серверах, должно быть рассчитано на работу через каналы глобальной сети с низкой пропускной способностью, и при этом не занимать
эти каналы полностью, чтобы не замедлять работу приложений и передачу критически важных данных. Также в филиалах необходимо обеспечивать более надежную защиту, потому что физическую защищенность
серверов в филиалах не всегда можно гарантировать. Так как большинство ИТ-персонала находится за пределами филиалов, предпочтительными являются решения, позволяющие осуществлять централизованное управление, а также удаленное администрирование и развертывание.

Потребности и проблемы удаленных филиалов впервые были учтены
в операционной системе Windows Server 2003 R2. В Windows Server 2008
включено множество дополнительных усовершенствований, благодаря
которым у администраторов появляются новые возможности управления
филиалами, а также обеспечивается более сильная защищенность сетей
и данных удаленных филиалов и центрального офиса. Также новая система предоставляет ИТ-специалистам более гибкие возможности для удовлетворения специфичных потребностей организаций.

Ключевые преимущества для филиалов, предлагаемые в операционной
системе Windows Server 2008, можно разделить на три категории.

- Повышение эффективности развертывания и администрирования серверов в удаленных офисах.

- Уменьшение уязвимости удаленных офисов.

- Повышение эффективности использования пропускной способности
канала для соединений через глобальную сеть.

Предлагаемые корпорацией MicrosoftHOBbie возможности и усовершенствования решений для филиалов и Windows Server 2008 отвечают основным требованиям работы удаленных офисов. К таким возможностям операционной системы Windows Server 2008 относится упрощенный процесс
развертывания, эффективное управление ключевыми ролями сервера,
повышенная защита, а также архитектура системы, которая повышает
быстродействие и бесперебойность работы.

 

 

Механизмы обеспечения высокого уровня доступности

 

Обеспечение бесперебойной работы важнейших приложений является
ключевой задачей ИТ-отделов, поэтому многие усовершенствования в
Windows Server 2008 нацелены на высокий уровень доступности. Операционная система Windows Server 2008 сочетает в себе такие возможности, как отказоустойчивые кластеры, балансировка сетевой нагрузки, новые возможности для резервного копирования и восстановления. Сочетание этих возможностей обеспечивает организациям высокий уровень
доступности, благодаря чему критически важные приложения, службы и
данные доступны всем пользователям.

 

 

Отказоустойчивые кластеры

 

Отказоустойчивый кластер, ранее называвшийся кластером серверов, является группой компьютеров, которые функционируют совместно и повышают доступность приложений и служб. Серверы в кластере называются узлами. Помимо физической кабельной сети, они объединяются с помощью специального ПО. В случае отказа одного из узлов кластера происходит процесс переключения на другой узел, который заменяет вышедший из строя узел и обеспечивает минимальные перебои в предоставлении пользователям доступа к службам. Отказоустойчивые кластеры используются ИТ-специалистами для обеспечения высокого уровня доступности критически важных служб и приложений.

Усовершенствования отказоустойчивых кластеров в операционной системе Windows Server 2008 направлены на упрощение работы с кластерами, а также на повышение уровня защищенности и стабильности кластеров.

Новый мастер проверки в Windows Server 2008 позволяет убедиться, что система, устройства хранения и параметры сети подходят для работы
кластера. Этот мастер упрощает установку и настройку кластера.

Ниже приводится список проверок, которые осуществляются этим мастером.

Проверки узла. Проверяется, одинаковые ли версии ОС и обновления ПО установлены на серверах.

Проверки сети. Проверяется соответствие планируемой сети кластера определенным требованиям, например, требованию наличия как минимум двух раздельных подсетей для обеспечения избыточности сети.

Проверки устройств хранения. Проверяется, что устройства хранения удовлетворяют определенным требованиям, и что у всех узлов кластера есть доступ ко всем общим дискам.

В Windows Server 2008 поддерживаются диски с таблицами разделов GPT (GUID Partition Table — таблица разделов с глобальными уникальными
идентификаторами) в хранилище кластера. GPT-диски поддерживают
разделы размером более двух терабайт и, в отличие от MBR-дисков, обладают встроенной избыточностью. Таблица разделов GPT обладает рядом
преимуществ перед таблицей разделов MBR, так как она поддерживает до
128 разделов на диске, тома размером до 18 экзабайт, уникальные идентификаторы разделов и дисков, а также позволяет создавать первичную и резервную таблицы разделов для обеспечения избыточности.

Для упрощения управления кластерами интерфейсы управления были
усовершенствованы, чтобы администраторы могли сфокусировать свое внимание на управлении приложениями и данными, а не кластером. Новый
интерфейс ориентирован на задачи и более понятен, а мастера помогают
администраторам совершать действия, ранее являвшиеся довольно сложными.

Отказоустойчивый кластер в операционной системе Windows Server
2008 обладает повышенной надежностью и улучшенной функциональностью по сравнению с предыдущими версиями кластеров серверов.

Ниже приведен список ключевых усовершенствований.

- Динамическое добавление дисковых ресурсов. Зависимости ресурсов
можно изменять, не переводя ресурсы в автономный режим, что позволяет администраторам увеличивать доступное дисковое пространство, не
прерывая работу использующих это пространство приложений.

- Улучшенная производительность и стабильность благодаря использованию хранилища данных. Когда отказоустойчивый кластер взаимодействует с сетями хранения данных (SAN) или с непосредственно подключенными устройствами хранения данных (DAS), используются команды, менее всего нарушающие работу этих устройств, благодаря чему
уменьшается количество сбросов шины SCSI. Диски никогда не находятся в незащищенном состоянии, благодаря чему уменьшается вероятность повреждения тома. Отказоустойчивые кластеры также поддерживают усовершенствованные методы обнаружения дисков и восстановления данных. Поддерживается подключение к устройствам хранения данных через интерфейс последовательного подключения SCSI (SAS), интерфейс ISCSI или через оптоволоконный канал.

- Упрощенное обслуживание дисков. Режим обслуживания значительно
усовершенствован. Он упрощает запуск средств проверки, исправления
ошибок, резервного копирования и восстановления дисков, а также
уменьшает воздействие этих операций на работу кластера.

Windows Server 2008 упрощается развертывание и управление кластерами, а также повышается производительность и надежность работы кластеров.

 

Балансировка сетевой нагрузки

 

С помощью балансировки сетевой нагрузки осуществляется распределение сетевой нагрузки клиентских и серверных приложений между несколькими серверами в кластере балансировки сетевой нагрузки. Эта функция важна для организаций, нуждающихся в распределении клиентских запросов между несколькими серверами. В частности, она полезна для масштабирования приложений без сведений о состоянии путем наращивания количества серверов по мере увеличения нагрузки. К таким приложениям можно отнести веб-приложения, работающие под управлением служб IIS. Балансировка сетевой нагрузки позволяет легко заменить вышедший из строя сервер, тем самым повышая надежность системы.

Ниже приведены усовершенствования балансировки сетевой нагрузки в Windows Server 2008.

- Поддержка протокола IPv6. Балансировка сетевой нагрузки полностью поддерживает сетевое взаимодействие по протоколу IPv6.

- Поддержка программного интерфейса NDIS версии 6.0. Сетевой драйвер балансировки сетевой нагрузки был полностью переработан для
поддержки облегченной модели фильтров программного интерфейса
NDIS версии 6.0, при этом сохранилась поддержка всех более ранних
версий программного интерфейса NDIS. Усовершенствования архитектуры этого программного интерфейса включают увеличение производительности и масштабируемости драйвера, а также упрощенная модель этого драйвера.

- Расширения интерфейса WMI. Расширения интерфейса WMI в пространстве имен MicrosoftNLB обеспечивают поддержку протокола IPv6 и
множественных выделенных IP-адресов.

- Классы в пространстве имен MicrosoftNLB. Помимо адресов IPv4 теперь поддерживаются адреса IPv6.

Класс MicrosoftNLB_NodeSetting. Поддерживаются множественные выделенные IP-адреса. Для этого они указываются в свойствах класса
DedicatedlPAddresses и DedicatedNetMasks.

- Расширенные возможности для работы с сервером ISA Server. Сервер
ISA Server может задать множественные выделенные IP-адреса для каждого узла балансировки сетевой нагрузки. Это нужно для случаев, когда клиенты работают и по протоколу IPv4, и по протоколу IPv6. Для
управления сетевым трафиком и клиенты IPv4, и клиенты IPv6 должны подключаться к определенному серверу ISA Server. Сервер ISA Server
также может оповещать узлы балансировки сетевой нагрузки о SYN-
атаках и случаях нехватки таймеров, которые обычно возникают при
перегрузке компьютера или при заражении его Интернет-вирусом.

- Поддержка множественных выделенных IP-адресов для каждого узла. Ранее каждому узлу балансировки сетевой нагрузки можно было выделить
только один IP-адрес. Теперь поддерживается выделение каждому узлу множественных IP-адресов, что позволяет размещать в одном кластере
несколько приложений, требующих наличия выделенных IP-адресов.
Перечисленные возможности обеспечивают поддержку новых отраслевых стандартов, увеличенную производительность, улучшенное взаимодействие, усиленную защищенность и расширенную гибкость развертывания и объединения приложений.

 

Архивация данных

 

Архивация данных — это третий ключевой компонент в Windows Server 2008, предназначенный для обеспечения высокой степени доступности
служб. Функция архивации данных позволяет осуществлять резервное
копирование и восстановление данных сервера, на котором установлена
эта возможность. В новой версии используется новая технология резервного копирования и восстановления, пришедшая на смену функциям архивирования данных предыдущих версий операционных систем Windows.

Архивирование данных позволяет эффективно и надежно защищать весь сервер, не беспокоясь о сложности технологий резервного копирования и восстановления. Простые мастера помогают настроить автоматическое расписание резервного копирования, создавать при необходимости резервные копии вручную, а также восстанавливать отдельные элементы или целые тома. Архивирование данных в Windows Server 2008 можно использовать для резервного копирования как отдельных томов, так и сервера целиком.

Для эффективного резервного копирования и восстановления операционной системы, файлов, папок и томов в функции архивирования данных используются служба теневого копирования томов и технология резервного копирования на уровне блоков. После первоначального создания полной резервной копии функция архивации данных автоматически осуществляет добавочное резервное копирование, сохраняя только
данные, измененные с момента осуществления предыдущего резервного
копирования. В отличие от предыдущих версий, теперь администраторам
не нужно заботиться о задании расписания сохранения полных и добавочных резервных копий.

Восстановление данных также было улучшено и упрощено в операционной системе Windows Server 2008. Теперь можно восстанавливать отдельные элементы из архива, в частности, отдельные файлы и папки. Для
этого необходимо выбрать архив для восстановления, а затем выбрать из
него отдельные элементы. Ранее, чтобы восстановить элемент из добавочной резервной копии, необходимо было вручную восстанавливать его из
нескольких архивов. Теперь достаточно лишь указать дату резервного
копирования необходимой версии файла.

В операционной системе Windows Server 2008 предлагаются решения для резервного копирования и восстановления данных, которые позволяют за- щитить данные и операционные системы на серверах в сети организации,
упрощая при этом администрирование резервного копирования критически важных данных и ускоряя восстановление данных. Эти решения дополняют набор решений для обеспечения высокого уровня доступности.

 





Утилита wbadmin

 

На смену утилите ntbackup в Windows Server 2008 появилась новая утилита — wbadmin, с помощью которой можно создавать резервные копии
томов и файлов и выполнять восстановление данных на основе резервных копий непосредственно из командной строки.

В Windows Server 2008 для восстановления данных, сохранешплх с
помощью утилиты ntbackup, следует использовать специальную версию
этой утилиты, которую можно загрузить по адресу: http://go.microsoft.com/
fwlink/?LinkId=82917    Эта утилита служит только для восстановления данных и не поддерживает создание резервных копий.

 

 

Новинки в службах каталогов

 

В Windows Server 2008 имеется ряд усовершенствований службы каталогов Active Directory, упрощающих управление службой каталогов и предоставляющих администраторам более гибкие возможности для удовлетворения потребностей удаленных филиалов.

Ниже перечислены некоторые из ключевых усовершенствований.

- Обновленный мастер установки службы каталогов Active Directory (AD DS).

- Изменения в консоли ММС, используемой для управления службой каталогов Active Directory.

- Новые варианты установки контроллеров домена.

- Обновленный мастер установки, упрощающий установку службы каталогов Active Directory.

- Улучшенный интерфейс и расширенные возможности управления службой каталогов Active Directory.

- Усовершенствованные средства для поиска контроллеров домена в
организации.

В новом мастере установки взаимосвязанная функциональность теперь
сгруппирована, что позволяет ускорить процесс развертывания и сэкономить время. Возможности автоматической установки операционной системы Windows Server 2008 позволяют еще больше упростить процесс за счет установки системы без участия пользователя. Эта возможность также позволяет установить службу каталогов Active Directory на операционной системе, установленной в варианте основных компонентов сервера.
Чтобы убедиться в правильной работе только что установленного DNS-сервера, осуществляется автоматическая конфигурация параметров DNS-клиента, серверов пересылки и корневых ссылок на основании параметров, заданных при установке.

Все эти усовершенствования интерфейса службы каталогов Active Directory, предлагаемые в Windows Server 2008, позволяют оптимизировать
процесс первоначального развертывания, благодаря чему уменьшается
время, затрачиваемое на администрирование, и упрощается управление
серверами в удаленных офисах.

 

 

Контроллеры домена только для чтения

 

Одной из наиболее значимых новых функций для доменных служб Active Directory (AD DS) в Windows Server 2008 является контроллер домена только для чтения (RODC). RODC позволяет без труда развертывать контроллеры домена, содержащие реплику базы данных домена только для чтения. Такая возможность очень хорошо подходит для тех мест, где нельзя гарантировать физическую безопасность контроллера домена, где подключение к сети отрицательно сказывается на производительности и где на контроллере домена должны выполняться другие приложения, обслуживаемые администратором сервера (который в идеале не входит в состав группы администраторов домена). Все эти сценарии характерны для многих филиалов.

RODC содержит те же объекты и атрибуты, что и контроллер домена с
поддержкой записи. Тем не менее локально инициированные изменения
вносятся не в саму реплику RODC, а в контроллер домена с поддержкой
записи и только потом реплицируются назад, на контроллер RODC. Это
не позволяет изменениям, произведенным в филиалах, засорять и повреждать лес Active Directory в ходе репликации.

Кроме того, администратор может настроить на контроллере RODC
хранение (кэширование) учетных данных пользователей. Когда пользователь впервые пытается пройти проверку подлинности на контроллере RODC,
тот пересылает запрос контроллеру домена с поддержкой записи. Если
проверка подлинности завершается успешно, RODC запрашивает копию
учетных данных. Возможность репликации и кэширования учетных данных
на контроллере RODC определяется действующей политикой репликации
паролей. Если кэширование выполнено, при последующих попытках пользователя войти в систему его запросы обрабатываются непосредственно контроллером RODC (пока в ходе репликации не будет получено уведомление об изменении учетных данных). Кэширование учетных данных способно увеличить продуктивность пользователей за счет смягчения негативного эффекта задержек в глобальной сети или проблем с подключением, которые нередко возникают в филиалах. Кроме того, службы AD DS ведут список всех учетных данных, хранящихся на RODC; при возникновении проблем с безопасностью контроллера RODC администратор может принудительно сбросить пароли всех имеющихся на нем учетных записей.

Контроллеры RODC позволяют делегировать право на установку и управление не имеющему прав администратора персоналу филиала. Сотрудники филиала могут выполнять установку путем подключения сервера к ранее созданной администратором учетной записи RODC. Это устраняет необходимость использовать промежуточный узел для контроллеров домена в филиале или посылать в филиал установочный носитель и администратора.

 

 

Службы федерации Active Directory

 

Службы федерации Active Directory (AD FS) — это серверная роль в операционной системе Windows Server 2008. С помощью AD FS можно создать расширяемое, интернет-масштабируемое и безопасное решение для управления идентификацией пользователей и правами доступа, способное
функционировать на нескольких платформах, включая среды как Windows,
так и других операционных систем. Службы AD FS включают функцию
импорта и экспорта политик, которая помогает настраивать доверительные отношения между федеративными партнерами. Добавлен поставщик
контроля членства, позволяющий пользователям федеративного партнера проходить ролевую проверку подлинности при подключении к службам Windows SharePoint Services (WSS) и службам управления правами
(RMS). А администраторы могут теперь с помощью групповой политики
ограничивать развертывание служб федерации. Кроме того, поддерживаются разные параметры проверки отзыва сертификатов.

 

 

Аудит службы каталогов

 

Новая субкатегория политики аудита «Изменения службы каталогов» предоставляет в распоряжение администраторов возможности для ведения
точного аудита. Политика аудита «Изменения службы каталогов» сохраняет старые и новые значения объектов службы каталогов и их атрибутов. Администраторы смогут видеть, кто и когда произвел изменение, какие объекты и атрибуты подверглись изменению, а также какими были
исходное и новое значения. Данные аудита службы каталогов заносятся в
журнал событий Windows; для их консолидации и обработки применяется Microsoft Operations Manager и средства сторонних разработчиков. За
счет подробной регистрации упрощается отслеживание изменений службы
каталогов и улучшается соблюдение регулятивных норм.

 

 

 

 

Основные компоненты роли сервера

 

Установка основных компонентов сервера Windows Server 2008 поддерживается для ролей AD DS и AD IDS (службы Active Directory облегченного доступа к каталогам). Основные компоненты сервера — это новый вариант установки операционной системы, позволяющий создавать среду, требующую меньше обслуживания и идеально подходящую для конкретных служб на основе ролей. Наряду с сокращением потребности в управлении и обслуживании сокращается и количество уязвимостей в установке Windows Server 2008.

 

 

Перезапускаемые службы AD DS

 

Службы домена Active Directory в Windows Server 2008 можно останавливать и запускать из оснасток консоли управления (ММС) и из командной строки. Службы AD DS на основе служб упрощают управление за счет сокращения времени, необходимого для выполнения операций в автономном режиме, таких как автономная дефрагментация и принудительное восстановление. Кроме того, улучшается доступность других служб, которые запущены на контроллере домена, поскольку они остаются активны даже во время обслуживания AD DS. Все клиенты, привязанные к остановленному контроллеру домена, просто обращаются к другому контроллеру с помощью функции обнаружения.

 

 

Средство просмотра снимков AD DS

 

Отображая информацию об объектах в периодически создаваемых снимках AD DS, средство просмотра помогает идентифицировать непреднамеренно удаленные объекты. Просматривать эти снимки можно на контроллере домена без необходимости его запуска в режиме восстановления службы каталогов. Путем сравнения состояния объектов в разных снимках можно без труда выбрать подходящую архивную копию AD DS для восстановления удаленных объектов.

 

 

Детальная политика паролей и блокировки учетных записей

 

Детальные политики паролей позволяют определять несколько политик
паролей и применять различные ограничения для паролей и политики
блокировки учетных записей для отдельных групп пользователей в пределах одного домена.

 

 

 

 

 

Установка с носителя

 

Параметр «Установить с носителя» (IFM) может быть использован для установки дополнительного контроллера домена в существующем домене
и сокращения трафика репликации в процессе установки.

 

 

Службы развертывания Windows

 

Службы развертывания Microsoft Windows позволяют быстро развертывать в удаленном режиме операционные системы Windows (например, Windows Vista и Windows Server 2008). Благодаря этому можно устанавливать Windows по сети на компьютерах без операционной системы, причем наличие установочного носителя и физическое присутствие человека на удаленном компьютере не требуется. Службы развертывания Windows были ранее доступны как обновление для Windows Server 2003, а их усовершенствованная версия была включена в состав Windows Server 2008.

 

 

Новые возможности служб развертывания Windows в Windows Server 2008

- Повышенная производительность протокола TFTP;

- Средства диагностики;

- Многоадресное развертывание.

 

 

Повышенная производительность протокола TFTP

 

Службы развертывания Windows используют протокол TFTP для пересылки сетевого загрузчика и загрузочных образов среды предустановки Windows (WinPE). В Windows Server 2008 протокол TFTP включает настраиваемый механизм кадрирования, который сокращает количество пакетов, отправляемых клиентскими сетевыми загрузчиками, что в свою очередь приводит к повышению производительности.

 

 

Средства диагностики

 

Теперь службы развертывания Windows регистрируют подробные данные о своих клиентах. Полученные журналы публикуются в Crimson (интегрированном компоненте ведения журналов в Windows Server 2008). Их можно экспортировать для обработки в Microsoft Office InfoPath или другое средство извлечения данных.

 

 

Многоадресное развертывание

 

Этот метод позволяет развертывать операционные системы Windows на
множестве компьютеров одновременно, обеспечивая при этом сохранение пропускной способности сети. Службы развертывания Windows поддерживают два метода многоадресного развертывания:

- ScheduledCast — развертывание на основе задач;

- AutoCast — всегда доступное развертывание.

ScheduledCast контролирует время начала развертывания. Только клиенты, подключившиеся до наступления этого момента, могут участвовать
в развертывании по этому методу.

Метод AutoCast позволяет клиентам подключаться к многоадресному
потоку в любое время и комбинирует их в целях сохранения пропускной
способности. Процесс AutoCast, будучи однажды настроен на образ операционной системы, остается активным до тех пор, пока не будет остановлен вручную. Однако образ пересылается по сети только тогда, когда
его запросит клиент.

И ScheduledCast, и AutoCast отображают данные о том, какие клиенты
подключены и какая часть образа ими уже получена.

 

 

Новинки в сетевых функциях

 

Среди многочисленных новых и улучшенных возможностей Microsoft
Windows Server 2008 наиболее важную роль играют изменения, связанные
с работой в сети. Эти обновления представляют самый большой набор
изменений со времени выпуска Windows Server в 1990-х годах. Они помогают ИТ-администраторам обеспечивать большую безопасность, надежность и масштабируемость работы в сети.

Центральное место среди этих улучшений принадлежит «стеку TCP/IP
следующего поколения», который представляет собой важное обновление
функциональных возможностей Windows TCP/IP, соответствующих служб
и интерфейсов прикладного программирования. Стек TCP/IP следующего поколения представляет полнофункциональную архитектуру, отвечающую потребностям подключения и производительности различных современных сетевых сред и технологий. В то же время расширяемость
нового стека TCP/IP обеспечивает гибкость при адаптации новых сетевых
стандартов и удовлетворении потребностей заказчиков в будущем.

К изменениям и улучшениям сетевых протоколов и базовых компонентов в Windows Server 2008 относятся следующие:

- новая двойная архитектура IP стека TCP/IP для универсальной поддержки IPv4 и IPv6;

- интеллектуальные алгоритмы автоматической настройки и оптимиза-
ции сети;

- безопасность сетевых узлов и улучшения IPsec;

- интегрированная поддержка аппаратной разгрузки сети и технологий
ускорения;

- упрощенное управление и сетевая диагностика;

- набор интерфейсов прикладного программирования, обеспечивающих
разнообразные возможности расширения.

Администраторы Windows Server получат следующие преимущества
благодаря использованию этих сетевых инноваций и улучшений.

 

 

Расширенная сквозная инфраструктура безопасности

 

Для того чтобы помочь администраторам противостоять постоянно растущему количеству сетевых угроз, Windows Server 2008 включает целый
ряд улучшений безопасности сетевых узлов. Как часть общей стратегии
многоуровневой защиты, эти функции составляют основу нескольких
ключевых решений в области сетевой безопасности на основе политик,
таких как: изоляция сервера и домена (EN), защита доступа к сети (NAP)
(EN), а также безопасная беспроводная ЛВС (EN):

- Улучшенный межсетевой экран Windows поддерживает фильтрацию
входящих и исходящих пакетов, а также интегрированную функциональность IPsec.

- Упрощенная конфигурация политики IPsec с расширенными методами проверки подлинности, полная поддержка IPv4 и IPv6, а также интеграция с защитой доступа к сети.

- Новые параметры групповой политики для управления безопасностью
проводного и беспроводного подключения.

- Разнообразные интерфейсы прикладного программирования для проверки сетевых пакетов и более безопасные приложения на базе Windows
Sockets.

 

Повышенная производительность и надежность

 

Благодаря обновленным интеллектуальным алгоритмам, Windows Server 2008 автоматически настраивает параметры сетевого подключения для максимального повышения пропускной способности и производительности. Это приводит к ускоренной передаче данных, лучшему использованию пропускной способности сети и повышенной надежности подключения. Windows Server 2008 динамически настраивает подключение с учетом конкретных условий, включая следующие.

- Доступная полоса пропускания и время ожидания — Средство автоматической настройки TCP Receive Window Auto-Tuning динамически настраивает размер принимающего буфера TCP, используемого для хранения входящих данных, с целью повышения пропускной способности, особенно по ссылкам с высокой пропускной способностью и продолжительным временем ожидания.

- Перегрузка сети — Для лучшего использования пропускной способности сети средство Compound TCP (CTCP) значительно увеличивает количество отправляемых одновременно данных с помощью наблюдения
за продуктом, вызывающим снижение производительности, вариантами задержки и потерей пакетов.

- Среды с высоким уровнем потери пакетов — Поддержка нескольких алгоритмов оптимизации сети на основе стандартов, таких как быстрое восстановление TCP, параметр TCP Selective Acknowledge (SACK) и
Forward RTO-Recovery, обеспечивает повышенную надежность и быстрое восстановление в средах с высоким уровнем потери пакетов, таких как беспроводные сети.

- Сбои при маршрутизации пути — Улучшенные механизмы обнаружения и повышения отказоустойчивости неработающих шлюзов и перегруженных маршрутизаторов повышает скорость восстановления и гибкость маршрутизации.

 

Большая масштабируемость

 

Для того чтобы сохранить высокий темп удовлетворения требований,
предъявляемых ИТ-инфраструктуре, необходима возможность масштабирования сетевых ресурсов. Windows Server 2008 обеспечивает расширенное масштабирование сети благодаря улучшенной поддержке многогигабитных сетей, технологиям повышения быстродействия и разгрузки сети, управлению полосой пропускания на основе политик и использованию интернет-протоколов следующего поколения.

- Разгрузка обработки сетевых пакетов с помощью специализированных сетевых адаптеров, в которых применяется TCP Offload Engine (TOE) и другие технологии ускорения работы в сети, включая поддержку Gigabit IPsec Task Offload.

- Динамическое балансирование входящих сетевых подключений с помощью масштабирования на получающей стороне для распределения
трафика по нескольким процессорам или ядрам для увеличения производительности сервера.

- Оптимизация и расстановка приоритетов использования полосы пропускания с помощью политик качества службы (QoS) на уровне узлов,
управляемых с помощью Active Directory.

- Включение новых сценариев и способов подключения за счет всесторонней поддержки IPv6, включая технологии перехода, такие как протокол ISATAP.

В целом новые и обновленные функции для работы в сети в Windows
Server 2008 создают основу для более защищенной, надежной и масштабируемой платформы, удовлетворяющей потребности подключения сегодняшнего и завтрашнего дня.

 

Новые механизмы управления печатью

 

Чем больше организация, тем больше в ней сетевых принтеров, и тем
больше времени требуется ИТ-персоналу для установки принтеров и управления ими, что приводит к увеличению эксплуатационных затрат. В
Windows Server 2008 имеется консоль управления печатью, которая является оснасткой для консоли управления ММС и позволяет администраторам из одной консоли осуществлять управление, мониторинг и устранение неполадок в работе всех принтеров организации, даже расположенных удаленно.

Консоль управления печатью предоставляет доступ к актуальным сведениям о состоянии всех принтеров и серверов печати. Также служба управления печатью помогает обнаружить принтеры, находящиеся в состоянии ошибки, и может автоматически отправлять уведомления по электронной почте или выполнять сценарии, если необходимо обратить внимание на тот или иной принтер или сервер печати. Если принтер предоставляет дополнительные данные через веб-интерфейс, доступ к этим
данным можно также получить через консоль управления печатью. Это
позволяет даже в случае удаленного расположения принтера получать такие
сведения, как количество тонера или бумаги. Помимо этого, служба управления печатью может автоматически осуществлять поиск и установку сетевых принтеров в локальной подсети локальных серверов печати.

Консоль управления печатью позволяет экономить значительное количество времени при установке принтеров на клиентские компьютеры или при управлении и отслеживании состояния принтеров. Вместо ручной
установки и настройки подключения к принтерам на компьютерах пользователей можно воспользоваться возможностями групповых политик для автоматического добавления этих подключений в папку «Принтеры и
факсы» на этих компьютерах. Это очень эффективный и экономичный
способ добавления принтеров для большого количества пользователей,
которым требуется доступ к одному и тому же принтеру, например для
пользователей из одного отдела, а также для пользователей в филиалах.

Возможности автоматизации и централизованный интерфейс консоли управления печатью позволяют устанавливать принтеры, открывать
общий доступ к ним и управлять принтерами, упрощая администрирование и уменьшая время, затрачиваемое ИТ-персоналом на развертывание
принтеров.





1   ...   14   15   16   17   18   19   20   21   ...   26


написать администратору сайта