Windows Server 2008 R2的好处管理
Windows Server 2008 R2提供了几个新的好处,帮助组织更好地管理他们的网络环境。这些新特性提供了更好的文件和数据管理,更好的性能监控和可靠性跟踪工具来确定系统问题,主动解决问题,一个新的部署映像工具,和一套全新的组策略对象,帮助管理者更好的管理用户,电脑,和其他活动目录对象。
组策略管理的改进
Windows Server 2008 R2引入了超过1000个特定于Windows Server 2008 R2和Windows 7的新组策略对象,以及几个扩展组策略管理核心功能的新组件,这些核心功能已经成为Windows 2000/2003 Active Directory的一部分。组策略的基本功能没有改变,所以组策略对象编辑器(gpedit)和组策略管理控制台(GPMC)是相同的,但是有更多的选项和设置可用。
如前所述,组策略管理控制台可以作为单独的MMC工具运行,也可以从服务器管理器控制台树的Features分支启动,如图1.7.Windows Server 2008 R2中的组策略提供了更细粒度的本地机器管理,特别是对于管理员用户和非管理员用户来说,有不同的下推到客户端的策略。
组策略管理控制台。
此外,应用程序现在可以向组策略管理中的网络位置感知服务查询或注册,该服务提供用户或计算机对象所在位置的标识。例如,如果用户位于本地网段,则允许用户访问应用程序和文件;如果用户位于远程网段,则出于安全和隐私考虑,禁止用户访问相同的内容。对组策略的添加为策略增加了第三个维度,现在管理员不仅可以定义某人可以访问谁和什么,还可以根据他们所在的位置限制他们的访问。
组策略在第27章“网络客户端组策略管理”和第19章“Windows Server 2008 R2组策略和策略管理”中有详细介绍。
注意:当运行组策略管理控制台来管理Windows Server 2008 R2 Active Directory环境时,在Windows Server 2008 R2服务器或Windows 7客户端系统中运行GPMC工具可以访问所有可用的可编辑对象。如果您从Windows 2003服务器或Windows XP客户端运行GPMC工具,您将无法看到所有功能,也无法完全访问编辑所有可用对象。
这是因为Windows Server 2008 R2现在支持新的模板文件格式(ADMX和ADML),这些格式只能在Windows Server 2008、Windows Server 2008 R2、Windows Vista和Windows 7系统中访问。
介绍性能和可靠性监控工具
Windows Server 2008 R2引入了新的和修订的性能和可靠性监控工具,旨在帮助网络管理员更好地了解Windows Server 2008 R2系统的健康和操作。与组策略管理控制台一样,新的可靠性和性能监视器将作为功能显示在服务器管理器控制台中。单击Performance Diagnostic Console,工具将显示在右侧窗格中,如图1.8.
Windows可靠性和性能监视器。
新工具跟踪系统活动和资源使用情况,并在屏幕上显示关键计数器和系统状态。可靠性监控诊断服务器不稳定的潜在原因并指出上次服务器重启,什么补丁或更新应用,服务失败后的顺序系统,系统故障可以追溯到具体的系统更新或更改之前发生的问题。
通过将以前的三到四个工具组合到一个控制台,管理员能够在分析服务器问题或系统操作不稳定性时查看系统性能、操作任务和历史事件信息。您可以在第34章中找到有关性能和可靠性监视的更多细节。
利用文件服务器资源管理器
文件服务器资源管理器(FSRM)是Windows 2003 R2的一个功能包外接程序,随着Windows Server 2008 R2的发布,它得到了显著的改进。FSRM是一个跨企业的网络共享文件配额管理系统。而不是让员工的全部内容复制他们的笔记本电脑网络,或者可能支持他们的MP3音频文件到一个网络,FSRM不仅能够限制内容存储在网络股票,而且设置配额(或限制存储完全)在特定的文件类型。因此,用户可以被限制在网络共享中存储200GB的文件,但在这个限制下,只能分配2GB给MP3文件。
FSRM,所示图1.9,在Windows Server 2008 R2中已经进行了改进,允许嵌套配额,以确保应用最严格的策略。配额还可以超越子文件夹,因此,当创建新文件夹时,或者当在文件夹层次结构的不同级别应用策略时,策略仍然适用,并且组合规则为用户数据提供不同级别的配额分配。此外,配额现在基于实际的存储,所以如果一个文件在存储时被压缩,用户将能够在分配的配额内存储更多的文件。
文件服务器资源管理器。
文件服务器资源管理器将在第28章详细介绍。
利用最佳实践分析器
包括在Windows Server 2008 R2是一个内置的最佳实践分析仪。发现在服务器管理器控制台工具,最佳实践分析仪运行一系列的测试对活动目录的角色,比如hyper - v的角色,DNS的角色,和远程桌面服务的角色,来评估角色是否被正确地安装和配置和安装比较测试最佳实践。
的一些最佳实践分析的结果可以告诉管理员需要添加更多的内存服务器,角色移动到一个单独的服务器优化改善的作用,或者服务器上的数据库转移到一个不同的驱动器分配磁盘系统上的性能需求。关于最佳实践分析器的更多细节见第20章。
Windows部署服务介绍
Windows Server 2008引入了一个名为Windows部署服务(WDS)的新工具,它实际上是过去几年可用的远程安装服务(RIS)的更新版本。RIS主要关注脚本安装和客户端映像,与之不同的是,Windows Server 2008 R2中的WDS可以以一种更加灵活和可修改的部署过程分发Windows 7客户端或Windows Server 2008 R2服务器的映像。
与RIS一样,Windows Deployment Services允许客户端系统启动预引导执行环境(Preboot Execution Environment, PXE),有效地“引导”到WDS服务器,以查看可以部署在系统上的映像列表。另一种方法是,组织可以创建一个Windows PE引导盘,并从CD或DVD中初始化一个映像。
在Windows Server 2008 R2和Windows 7中,映像可以以Windows Imaging (WIM)格式创建,这允许将补丁、更新甚至新代码注入到WIM文件中,而无需启动映像文件。这不仅为组织提供了像RIS中那样推出的静态映像,还提供了一个为映像文件提供持续的、可管理的更新的工具。
WDS还支持Windows 2003服务器和Windows XP客户端系统的映像,与RIS在推出映像或使用自动脚本文件将映像发送到系统方面所采用的方式相同。
Windows部署服务将在第26章“Windows Server 2008 R2桌面管理工具”中详细介绍。
Windows Server 2008 R2安全改进
值得注意的是,Windows Server 2008 R2的安全增强功能不仅仅是外观更新。由于组织正在努力确保他们的环境是安全的,员工可以依赖信息隐私,并且出于法规遵从的原因对内容进行保护;拥有保护环境的工具至关重要。
Windows Server 2008 R2安全子系统增强
本书的第四部分“安全性”主要关注不同核心领域的安全性。第13章介绍了Windows Server 2008 R2的核心安全子系统,因为它涉及服务器系统。这包括服务器加固、补丁和更新的基础,但也扩展到添加到Windows server 2008 R2的新服务器安全领域,如设备控制级别安全、无线访问安全和Active Directory权限管理服务(RMS)。Windows Server 2008 R2延续了微软的“默认安全”主题,不再默认安装互联网信息服务(IIS)等组件。它的优点是,系统中没有安装对服务器操作来说不是核心的组件;然而,这意味着每次安装软件时,都需要添加基本组件和特性。在构建服务器并将其添加到Windows Active Directory环境时,记住必须安装、配置或使其运行是很重要的。
使用IPSec和证书服务的传输安全
第14章“传输级安全”介绍了通过实现IPSec加密实现的点对点和服务器对服务器的安全。IPSec在Windows中并不新鲜,它最终添加了几个新的组策略管理组件,以帮助在企业中实现和管理IPSec。对于Windows来说也不是什么新鲜事,但是微软提供的关于公钥基础设施(PKI)的服务已经得到了极大的改进,特别是证书服务。似乎所有与安全相关的东西都在某种程度上与证书有关,无论是使用加密文件系统(EFS)的文件加密、使用S/MIME的电子邮件加密、使用证书访问的远程移动设备同步,还是使用IPSec的传输安全。所有东西都需要证书,而组织轻松创建和管理证书的能力是第14章的重点。
安全策略、策略管理和策略实施支持工具
全新的Windows Server 2008,在Windows Server 2008 R2中更新,组织的主要焦点是安全政策和围绕安全系统的政策管理。过去,我们只需要锁定系统,确保它们在默认情况下是安全的,然后用我们最好的判断和最大的努力来保护网络。然而,随着法律法规,甚至人力资源部门参与信息安全,所有IT安全实践的根源在于制定安全政策,以便IT能够实施技术来解决围绕信息安全的组织政策。这在第15章“安全策略、网络策略服务器和网络访问保护”中有详细介绍。
第15章超越了企业策略管理的策略和常见的最佳实践,还深入研究了帮助组织将安全策略转化为it管理的技术服务的底层技术。网络策略服务器等工具在Windows Server 2008 R2允许定义,政策和网络策略服务器执行这些政策,特别是在远程登录访问,访问无线网络连接,或网络访问保护的集成(午睡)查询设备,确保设备(桌面,笔记本电脑或移动设备)有最新的补丁、更新和防病毒软件,由管理层决定,以确保设备是安全的。
Windows Server 2008 R2中移动计算的改进
随着组织发现他们的劳动力变得越来越移动,微软已经在Windows Server 2008 R2移动方面做出了重大改进。新技术为使用笔记本电脑的用户提供了更无缝的体验,从办公室到家庭,到互联网Wi-Fi热点,并保持与网络资源的连接。这些改进确实需要移动用户在他们的笔记本电脑上运行最新的Windows 7客户端操作系统,才能访问这些新服务;然而,一旦实现,用户会发现无论用户位于何处,该功能都能极大地支持对网络资源的访问。
Windows Server 2008 R2 DirectAccess
Windows Server 2008 R2中一个重要的远程访问增强是DirectAccess技术。DirectAccess为远程用户提供了访问网络资源的能力,如文件共享、SharePoint共享等,而无需启动虚拟专用网(VPN)来访问网络。
DirectAccess是一项令人惊叹的技术,它结合了复杂的安全技术和基于策略的访问技术,提供对网络的远程访问;然而,组织确实发现要跟上使DirectAccess工作所需的所有技术组件的速度是具有挑战性的。因此,尽管许多组织将寻求实现DirectAccess功能,但要使组织能够在其企业环境中轻松启用DirectAccess,可能需要几个月或几年的时间。
使DirectAccess工作所需的一些技术包括:
PKI证书- - - - - -DirectAccess利用PKI证书作为识别远端设备的方法,以及从远端设备和网络进行加密通信的基础。因此,组织需要有良好的证书基础设施来进行基于服务器和客户端证书的加密通信。
Windows 7的客户,DirectAccess仅适用于运行Windows 7的客户端。用于加密、封装和策略控制的客户端组件依赖于Windows 7,以使所有组件协同工作。
IPSec -DirectAccess中使用的策略控制利用IPSec来标识远程用户应该访问的目标资源。IPSec可以是端点到端点(即,从客户端系统一直到应用服务器),也可以从客户端系统简化到DirectAccess代理服务器,其中实际端点应用服务器不需要启用IPSec。在任何情况下,IPSec都是安全与策略结构的一部分,以确保远程客户端系统只访问远程客户端应该作为DirectAccess会话连接一部分访问的服务器资源。
IPv6。最后,DirectAccess使用IPv6作为IP会话标识符。尽管大多数组织还没有实现IPv6,大多数到互联网的入口仍然是IPv6, IPv6的隧道在Windows 7和Windows Server 2008 R2中完全支持,可以在IPv6完全采用之前的过渡时期使用。目前,IPv6是DirectAccess的一个需求,并被用作远程访问解决方案的一部分。
关于DirectAccess的更多细节在第24章“服务器到客户端远程访问和DirectAccess”中提供。
Windows 7 VPN连接
VPN连接不是Windows Server 2008 r2特有的功能,而是Windows 7客户端功能;然而,随着Windows 7客户端和Windows Server 2008 R2的同步发布,这个特性值得注意,因为微软将吹捧这项技术,网络管理员将想知道他们需要做什么来实现这项技术。VPN重新连接是一个简单的更新到VPN客户端在Windows 7,重新建立一个VPN会话在客户端系统的VPN会话断开。
VPN重新连接有效地确认客户端VPN会话已断开,并重新建立该会话。许多长期的管理员可能想知道为什么这是新的,因为在过去的客户端系统(Windows XP、Vista等)总是有能力在断开连接时重试VPN会话。然而,不同的是,不是简单地重新尝试VPN会话并建立一个新的VPN会话,Windows 7的VPN重连功能以完全相同的会话标识重新建立VPN会话,有效地允许会话在它停止的地方重新开始。
例如,Windows 7客户端用户可以在有线VPN连接会话上传输文件,然后切换到Wi-Fi VPN连接会话,文件传输将持续不间断。
VPN重新连接在客户端和Windows Server 2008 R2端使用IKE v2协议,并建立会话标识,使重新连接时会话标识保持不变。
第24章提供了关于VPN重新连接的更多细节。
Windows 7移动宽带
另一项针对移动用户的Windows 7专用技术是Windows 7移动宽带。同样,这与Windows Server 2008 R2无关,Windows 7移动宽带是对Windows 7中基于运营商(如AT&T、Sprint、Verizon)的移动连接设备和服务的更新。
在过去,用户将移动宽带卡插入Windows XP或Vista系统,然后必须启动一个应用程序,如AT&T连接管理器。在Windows 7和最新的移动宽带驱动程序的支持下,将移动宽带卡插入移动系统就可以自动将用户连接到互联网。就像用户打开系统中的Wi-Fi适配器并自动建立到Wi-Fi接入点的连接一样,移动宽带自动将用户连接到互联网。
当Windows 7移动宽带适配器与用户的系统断开连接时,移动宽带会话将断开连接,如果系统有Wi-Fi或有线以太网连接,用户的系统将自动连接到另一个连接点。将移动宽带与VPN重新连接或DirectAccess结合使用,移动用户就可以无缝连接访问到他们组织的网络。
Windows Server 2008 R2的改进,以更好地支持分支机构
Windows Server 2008 R2极大地增强了技术产品,为拥有远程办公室或分支机构的组织提供更好的IT服务。通常,远程或分支机构的IT支持有限,或者至少站点需要具有与主要公司或业务办公室相同的功能和可靠性,但没有预算,因此需要大量冗余硬件和设备来提供全面的操作支持。使用新的Windows Server 2008 R2分支机构资源,远程位置现在可以具有高安全性、高性能、无显著延迟的数据访问和操作能力,即使远程站点由于WAN或Internet连接问题而退出网络。
Windows Server 2008 R2中新的或改进的工具和技术包括只读域控制器、BitLocker驱动器加密、分布式文件服务器数据复制和分布式管理。
关于Windows Server 2008 R2内置的更好地支持远程和分支机构的新技术的详细信息,请参见第32章。
分支机构的只读域控制器
如本节所述介绍只读域控制器在本章的前面,RODC提供了Active Directory全局编目的副本,用于对选定用户进行登录身份验证和与Active Directory树通信,而不暴露远程位置的完整全局编目服务器的安全性。许多关注分布式全局编目服务器的组织选择不在远程位置放置服务器,而是将它们的全局编目和域控制器集中起来。对于远程和分支机构来说,这意味着所有登录身份验证都必须通过WAN或Internet连接,这可能非常慢。在广域网或Internet连接失败的情况下,远程或分支机构将脱机,因为在广域网或Internet连接恢复之前,用户无法对网络进行身份验证并访问网络资源。
只读域控制器为组织提供了一种方式来分发身份验证和Active Directory访问,而不会因分发目录服务而增加它们的安全风险。
BranchCache文件访问
Windows Server 2008 R2的新角色是BranchCache。BranchCache是一种为用户提供跨广域网(WAN)更好地访问文件的技术。通常,如果一个用户访问一个文件,该文件将通过广域网为该用户传输,然后当另一个用户访问相同的文件时,相同的文件将再次通过广域网为另一个用户传输。BranchCache确认一个文件已被前一个用户跨WAN传输,而不是跨WAN检索该文件,而是由后续用户本地访问该文件。
BranchCache需要在客户端使用Windows 7,并且可以通过设置使文件以点对点的方式有效地从之前访问过文件的另一个Windows 7客户端检索。或者,可以在远程位置设置一个具有BranchCache服务器角色的Windows Server 2008 R2服务器,其中远程访问的文件将临时缓存给其他Windows 7客户端用户,以便在本地无缝访问文件,而不是通过WAN下载。
BranchCache不需要用户做任何不同的事情。用户只需像往常一样访问文件(从Windows文件系统或从SharePoint文档库),Windows 7和Windows Server 2008 R2的组合自动完成所有缓存。BranchCache已经证明可以平均为远程用户提高30%-45%的访问时间,从而通过更快地访问远程位置的信息来提高用户体验和潜在的用户生产力。
BitLocker服务器安全
BitLocker是在Windows Vista中首次引入的技术,它为组织提供了对存储在加密分区上的所有文件、文档和信息进行全分区加密的能力。当BitLocker首次作为服务器工具引入Windows Server 2008时,很难理解为什么服务器需要对其驱动器卷进行加密。在笔记本电脑被盗的情况下,对笔记本电脑进行加密是有道理的,这样就没有人可以访问笔记本电脑硬盘上的数据。然而,当考虑到服务器放置在远程locations-many倍不是锁定服务器架在一个锁着的电脑房间,而是坐在壁橱收银机的情况下,甚至一个零售商店服务器充当销售点system-servers与敏感数据在企业环境中很普遍。
因此,BitLocker提供了Windows Server 2008 R2服务器的卷加密;对于那些担心服务器可能因服务器被盗或系统物理攻击而在物理上受到损害的组织,BitLocker是在服务器系统上实现的一个很好的组件。
分布式文件系统复制
分布式文件系统复制(Distributed File System Replication, DFSR)在Windows 2000中引入,在Windows 2003中得到改进,现在是Windows Server 2008 R2分支机构产品的核心组件,它允许文件在服务器之间进行复制,有效地在多个位置提供重复信息。与Windows 2000/2003相比,Windows Server 2008 R2的分布式文件系统有了很大的改进。在大多数组织中,文件分布在整个企业的多个服务器上。用户可以访问地理上分布的文件共享,但也可以访问组织内站点中多个服务器上的文件共享。在许多组织中,当几年前最初创建文件共享时,服务器性能、服务器磁盘容量以及文件和打印服务器分发的工作组性质创建了这样的环境,在这些组织中,每个部门和每个站点都有文件共享。因此,文件通常分布在整个组织的多个服务器上。
Windows Server 2008 R2分布式文件系统复制允许组织将文件共享合并到更少的服务器上,并创建一个文件目录树,而不是基于逐服务器或逐共享的基础,而是一个企业范围的目录树。这允许组织拥有一个单一目录,跨越企业中多个服务器的文件。
由于DFSR目录是一个逻辑目录,它跨越了整个组织,并链接回物理数据,因此可以移动实际的物理数据,而不必更改用户查看逻辑DFS目录的方式。这使组织能够添加或删除服务器,或移动和合并信息,但它在组织内工作得最好。
对于分支机构位置,DFSR允许将存储在远程文件服务器上的数据滴回总部进行夜间备份。不必让远程位置负责数据备份,也不必要求组织在其每个分支机构中都有磁带驱动器,可以将保存在分支机构中的任何数据缓慢地复制到主办公室的共享中进行备份和恢复。
如果主要办公室数据,它希望把所有的远程办公,是否模板文件,公司的政策文件,标准公司材料,甚至共享数据工作组的用户需要访问和协作,DFSR能够推动数据网络上的其他服务器。拥有数据访问权限的用户不再需要通过WAN连接访问公共数据。信息被推到对用户来说更本地的服务器上,用户访问信息的本地副本。如果对数据的远程或集中副本进行了任何更改,这些更改将自动重新分发回存储数据副本的所有卷。