windows server 2003 daniel wessels [email protected] msp uni bremen, mvp sps

Windows Server 2003

Daniel [email protected] Uni Bremen,MVP SPS

02.06.2004

Windows Server 20032

Agenda

• Backup- und Restore-Mechanismen– Automated System Recovery (ASR)– Dateisicherung– Schattenkopien

• Update-Management– Software Update Services (SUS)– MS Baseline Security Analyser (MBSA)

• Softwareverteilung• Konfigurationsmanagement

02.06.2004


Agenda

• Internet Information Server 6.0 (IIS 6)– Architektur– Zuverlässigkeit– Skalierbarkeit– Sicherheit– Administration

02.06.2004


Agenda




02.06.2004


Backup und Restore

• Automated System Recovery

Retail Media

ASR B/U Media ASR Floppy

ASR Floppy

Data backup Media

On-Line

Windows CD

02.06.2004


Backup und Restore

• Sicherung geöffneter Dateien• Hintergrundsicherung • Schattenkopien

– Datenträgerabbild– Zeitgesteuert– Zustand eines beliebigen Zeitpunktes

wieder herstellbar

02.06.2004


DEMO

• Schattenkopien

02.06.2004


Agenda




02.06.2004


Update-Management

• Software Update Services (SUS)– Eigener Windows Update Server– Admin gibt einzelne Updates frei– Spart Bandbreite

– http://www.microsoft.com/windowsserversystem/sus/default.mspx

02.06.2004


Update-Management

• Microsoft Baseline Security Analyzer (MBSA)– Überprüft

• installierte Updates (Windows, Exchange, SQL)

• Systemeinstellungen• Benutzereinstellungen

– http://www.microsoft.com/technet/security/tools/mbsahome.mspx

02.06.2004


DEMO

• Software Update Services (SUS)

02.06.2004


Agenda




02.06.2004


Gruppenrichtlinien

• Softwareverteilung– Rechnerbezogen– Benutzerbezogen

• Konfigurationsmanagement– Rechnerbezogen– Benutzerbezogen

02.06.2004


Gruppenrichtlinien

• Group Policy Object (GPO)• Konfiguration über Active Directory

– Komfortablere Alternative: Group Policy Management Konsole

• Pro Organisationseinheit (OU)

02.06.2004


DEMO

• Gruppenrichtlinien

02.06.2004


Agenda




02.06.2004


Agenda

• Internet Information Server 6.0 (IIS 6)– Architektur– Zuverlässigkeit– Skalierbarkeit– Sicherheit– Administration

02.06.2004


Architektur

• Ziel: Bessere Isolation der Prozesse

• Ergebnis:Webdienst teilt sich in drei Bereiche:– HTTP.SYS– Web Admin Service– Worker Prozesse

HTTP.SYSHTTP.SYS

WebWebAdmAdmSvcSvc

WorkerWorkerProcessProcess

web web appapp

02.06.2004


Architektur

• HTTP.SYS - Kernel-Mode HTTP Listener– Läuft immer: kein 3rd Party Code– Request Queue Management– Kernel Mode Cache

• Web Admin Service– Läuft immer: kein 3rd Party Code– Config Manager: konfiguriert HTTP.SYS– App Manager: Verwaltet die Lebensdauer der Worker

Prozesse

• Worker Prozesse– Lädt ISAPI Extensions und Filter– Mini-W3SVC’s

02.06.2004


Architektur

• 2 Betriebsmodi– „Standard Application Mode“

• Wie IIS 5• 100% kompatibel zu IIS 5• Nutzt neue Architektur

– „Dedicated Application Mode“• Stärkere Isolation• Bessere Monitoring-Funktionen• Nutzt neue Architektur

02.06.2004


„Standard Application Mode“

OOPOOPappapp

OOPOOPappapp

InetinfoInetinfoWorker Worker ProcessProcess

In-procIn-procappapp

metabasemetabaseFTP, SMTP,FTP, SMTP,And NNTPAnd NNTP

W3SVCW3SVC

WASWAS

Co

nfi

g M

gr

Co

nfi

g M

gr

Ap

p P

oo

l M

gr

Ap

p P

oo

l M

gr

HTTP.SYSHTTP.SYS

ListenerListener CacheCache SenderSender

UserUser

KernelKernel

02.06.2004


„Dedicated Application Mode“

WASWASC

on

fig

Mg

rC

on

fig

Mg

r

Ap

p P

oo

l M

gr

Ap

p P

oo

l M

gr

InetinfoInetinfo

FTP, SMTP,FTP, SMTP,And NNTPAnd NNTP

MetabaseMetabase

Web ServerWeb Server

WorkerWorkerProzessProzess

ISAPI FilterISAPI Filter

ISAPI ExtensionISAPI Extension

SingleSingleAppApp

MultipleMultipleAppsApps




WebWebGardenGarden

ISAPI FiltersISAPI Filters

ISAPI ExtensionsISAPI Extensions

SingleSingleAppApp

WebWebGardenGarden

ISAPI FiltersISAPI Filters

ISAPI ExtensionsISAPI Extensions

SingleSingleAppApp

WebWebGardenGarden



SingleSingleAppApp

UserUser

KernelKernelHTTP.SYSHTTP.SYS


02.06.2004


HTTP.SYSHTTP.SYS


„Dedicated Application Mode“

WASWASC

on

fig

Mg

rC

on

fig

Mg

r

Ap

p P

oo

l M

gr

Ap

p P

oo

l M

gr

InetinfoInetinfo


MetabaseMetabase









SingleSingleAppApp





UserUser

KernelKernel

02.06.2004


Zuverlässigkeit

• Alles ist “Out of Process”– Worker Prozess Fehler führt nicht zum Web Server

Fehler

• WAS Health Monitoring– Crash Detection– Hang Detection

• Prozess Recycling– Zeit– Request– Interval– Speicherbelastung

02.06.2004


Zuverlässigkeit

HTTP.SYSHTTP.SYS


WASWASC

on

fig

Mg

rC

on

fig

Mg

r

Ap

p P

oo

l M

gr

Ap

p P

oo

l M

gr

InetinfoInetinfo


MetabaseMetabase









SingleSingleAppApp





UserUser

KernelKernel

ZZzz..ZZzz..………………




SingleSingleAppApp









Web Dienst läuft immer!!Web Dienst läuft immer!!

02.06.2004


DEMO

• Prozess Recovery Optionen• Prozess Recycling Optionen

02.06.2004


Skalierbarkeit

• “Scale Up”– Skaliert auf MultiProzessor Maschinen (32P)– Nutzung von Prozessor Affinitäten (Web Gardens)

– 64-bit Option

• “Scale Out”– Management multipler Systeme– Support von >1000 Sites per Rechner

• Hosting Solution– Scalable Hosting Solution (SHS)

http://www.microsoft.com/technet/iis/shsover.asp



02.06.2004


Sicherheit

• IIS wird standardmäßig nicht mitinstalliert• IIS Lockdown integriert

– URL Analyse– Access Control Lists (ACLs)– Bessere Kontrolle über Erweiterungen

• Unterstützung von sicheren Authentifizierungen– Backend Server Anmeldung

02.06.2004


Passthrough Authentication

Web Web ClientsClients

InternetInternet

\\SitesDir1 \site1\site1 \site2\site2 \site3\site3 … …

NAS Back-endNAS Back-endServerServer

Front-end Front-end WebserverWebserver

www.site101.com (user: site101_user)(user: site101_user)www.site102.com (user: site102_user)(user: site102_user)www.site103.com (user: site103_user)(user: site103_user)……

www.site1.com (user: site1_user)(user: site1_user)www.site2.com (user: site2_user)(user: site2_user)www.site3.com (user: site3_user)(user: site3_user)……

11

1.1. Client meldet sich am FE Webserver anClient meldet sich am FE Webserver an2.2. Webserver fordert Kerberos Ticket für den User anWebserver fordert Kerberos Ticket für den User an3.3. Kerberos Ticket wird an den Webserver übergebenKerberos Ticket wird an den Webserver übergeben4.4. Webserver reicht das Ticket an den Remote Server Webserver reicht das Ticket an den Remote Server

durchdurch

22

33

KerberosKerberosTicketTicket

44KerberosKerberos

TicketTicket

Site1_UserSite1_UserSite2_UserSite2_UserSite3_UserSite3_User

AD DomäneAD Domäne

http://www.site101.com/






02.06.2004


Sicherheit

• Konfigurierbare Worker Prozess Identität

• Digest Authentifizierung• Möglichkeit WebDAV Publishing zu

deaktivieren• Überprüfen von Extensions• SSL

– Erweiterbarkeit durch Beschleuniger-Hardware

02.06.2004


Administration

• Neue Metabase– Plain-Text (XML)– Scripting-fähig– Änderungen im laufenden Betrieb– Historie / Versionierung– Rollback

02.06.2004


Zusammenfassung

• Backup und Recovery– Schattenkopien

• Update-Management– SUS

• Gruppenrichtlinien (GPOs)– Benutzer- und

Rechnerkonfiguration

• IIS 6– Neue Architektur– Erhöhte

Zuverlässigkeit und Sicherheit

– Metabase• XML• Versionierung• Rollback

02.06.2004


02.06.2004


Weitere Informationen

Windows Server 2003• http://www.microsoft.com/windowsserver2003

Internet Information Services 6.0 (IIS 6.0)

• http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/webapp/iis/default.mspx

Software Update Services (SUS)• http://www.microsoft.com/windowsserversystem/sus/default.mspx

Microsoft Baseline Security Analyzer (MBSA)• http://www.microsoft.com/technet/security/tools/mbsahome.mspx

windows server 2003 daniel wessels [email protected] msp uni bremen, mvp sps

Documents

windows server

mspx folie

demo schattenkopien

demo gruppenrichtlinien

listener cache sender

mvp sps folie

backup und

agenda backup und