Windows Server 2008白皮书(三)

部署与管理

在远程地点管理服务器、服务以及安全对IT专业人士而言总是挑战。Windows Server 2008简化了远程部署与各个分支办公室服务器的持续管理。Windows Server 2008的许多新特点以及改进直接解决了分支办公室的需求与担心，包括：

• 增强Active Directory®目录服务的可管理性
• 引入只读域控制器（RODC）
• BitLocker
• 角色分离（Role Separation）
• 服务器核心（Server Core）

增强的活动目录可管理性

Windows Server 2008包括活动目录域服务 (AD DS)的改善，简化了域服务管理，为管理员解决分支办公室需求提供更大灵活性。部分主要管理改善包括：

• 更新后的AD DS安装压缩包，简化AD DS安装程序
• 将所使用的Microsoft Management Console改为管理AD DS
• 为域控制器带来新的安装选择
• 提高AD DS界面与管理选择
• 通过企业改善工具，寻找域控制器

Windows Server 2008中AD DS界面改善将简化初始配置并简化分支办公室中的服务器管理，为IT管理员节省时间

新的活动目录域服务安装压缩包
为简化安装，Windows Server 2008包含了新的安装压缩包。例如，在新的压缩包中，所有本地网络的错误检查设置，如TCP/IP以及域命名系统（DNS）客户设置均在一起。只与创建新域相关的功能，如NetBIOS命名以及匿名访问许可，都位于新域附近的部分。

Active目录域服务安装压缩包包括压缩包中欢迎页面的选择，这种欢迎页面可作为运行带有"/adv" 交换的dcpromo（如dcpromo /adv），增强了Advance模式。Advance模式带有额外选择，使更多高级配置成为可能，并为经验丰富的用户提供更多操作控制，包括：

• 创建新的域树
• 在相同的域中从已有域控制器，减少与初始复制相关的网络流量，调节备份媒体
• 为安装选择资源域控制器
•  (RODC)为只读域控制器（RODC）定义密码复制政策

除上述变化外，Active目录域服务安装包裹还有新的对话框页面，在下表中列出：

表 10: AD DS 安装压缩包选择

其他改善减少了AD DS安装过程中发生错误的机会。例如，在安装额外域控制器时，用户可以从域树浏览中选择域名，而不必键入域名。

可以在Windows Server 2008中运行AD DS无人值守安装。Windows Server 2008中的无人值守安装与Microsoft Windows Server 2003操作系统中的无人值守安装不同，前者从不需要对用户界面提示（如提示重启域控制器）做出反应。由于Windows Server 2008新的按装选择不提供用户界面选择，如互动Active目录域服务器安装压缩包，所以这在Windows Server 2008的 Server Core安装中按装AD DS是必须的。

只读域控制器（RODC）
只读域控制器（RODC）是Windows Server 2008操作系统中新型的域控制器。RODC使分支办公室配置域控制器更加安全，这些分支办公室要求有快速、可靠、强健的证明服务。

RODC主要为分支办公室中而配置。通常情况下，分支办公室中的用户数量不多，所以物理安全可能比较低，连接到网络中心站点的带宽情况不十分理想，本地IT知识了解甚少。物理安全不足是考虑配置RODC的最常见原因。但是，公司可以为特殊管理需要选择配置RODC。

分支办公室给网络管理员带来的问题，使网络管理员必须向用户提供连接在低速WAN链接的Active目录域服务。如果没有本地域控制器，由于WAN链接的局限性，登陆、处理组群政策、评估网络服务则有可能延误。另外，如果没有本地IT人员在场进行支持，该分支办公室中的物理安全得不到保证，配置与维护分支办公室中的域控制器可能难度较大。RODC拥有如下功能，解决了上述问题：

• 只读Active目录数据库
• 单向复制
• 身份缓存
• 管理员角色分离
• 新的MMC snap-in功能

只读活动目录数据库
除了帐户密码，RODC拥有可写域控制所拥有的全部活动目录对象及属性，但是，不能对存储在RODC上的复制进行更改。这防止在分支办公室进行的更改破坏林。要求访问域的读取路径的本地应用可以获得该路径。要求写入路径的轻量级目录访问协议（Lightweight Directory Application Protocol， LDAP）应用接收LDAP referral响应，LDAP referral响应指导这些应用至可写域控制器，可写域控制器一般位于集线器网络中。

单向复制
由于更改不能直接写入RODC，所以RODC不会发生更改。因此，作为复制参与者的可写域控制器不必更改RODC，这减少了网络集线器中的桥头服务器的工作量，也减少了监控复制。RODC单向复制适用于AD DS以及Distributed File System (DFS)复制。RODC为AD DS以及DFS复制更改进行入站复制。由于分支办公室依赖于WAN链接，才能连接到中央服务器，因此，这也是Windows Server 2008优化分支办公室与集线器网站之间带宽使用的另一种办法。

身份缓存
身份缓存是用户或计算机身份的存储。身份是密码中很小一部分，密码与security principals（用户及计算机帐户）有关。默认的RODC不存储用户或计算机身份，但是RODC的计算机帐户和每个RODC都拥有的特殊Kerberos Ticket-Granting-Ticket (krbtgt)帐户例外。

RODC作为密钥分发中心（KDC）为分支办公室刊登。相比KDC在可写域控制器上签发或加密Ticket-Granting Ticket (TGT)请求，RODC签发或加密Ticket-Granting Ticket (TGT)请求时，使用不同的krbtgt帐户与密码。

成功鉴别帐户后，RODC尝试联系集线器网站中的可写域控制器，要求得到所需身份的复制。可写域控制器识别来自RODC的这一要求，并为RODC参考密码复制政策。

密码复制政策决定是否可以从可写域控制器中向RODC复制用户或计算机的身份。如果密码复制政策允许，可写域控制器向RODC复制环存在RODC上的用户或计算机身份。

完成在RODC上的身份缓存后，RODC可以直接对用户登录要求进行服务直到身份改变。RODC的Krbtgt帐户完成TGT签发后，RODC识别已缓存的身份复制。如果另一个域控制器已经签发TGT，则RODC会将请求转给可写域控制器。

通过将身份缓存限制在RODC已认证的用户，由损害RODC引起的身份暴露也得到限制。因为通常情况下域用户的一小部分子集将身份缓存在任何制定的RODC中，如果RODC受到损害，只有这些缓存在此的身份可能也受到损害。

使身份缓存处于不能使用状态可能进一步限制损害，但是可能引起将全部认证请求转发给可写域控制器，后者常常与较慢的WAN连接相连。管理员可以更改默认密码复制政策，以便允许用户身份缓存在RODC中。

RODC配置后，将成为复制参与者的密码复制政策必须配置在可写域控制器中。密码复制政策可作为访问控制列表（ACL）工作，决定RODC是否应该得到允许以缓存密码。RODC得到经认证的用户或计算机登录请求后，将引用密码复制政策以便决定用户密码是否应该缓存。相同帐户此后登录的许可可以效率更高。

密码复制政策列出了得到缓存允许的帐户以及明确否认缓存许可的帐户。可以缓存的用户以及计算机用户列表并不意味着RODC一定为这些帐户进行密码缓存。例如，管理员可以预先指定RODC需要缓存的任何帐户，这样，（一旦这些帐户的身份得到缓存），即使连接到集线器网站的WAN处于脱机状态，RODC就可以对这些帐户进行鉴别。

管理员角色分离
本地RODC的管理员角色可以指派给任何域用户，无须准许该用户拥有该域或其他域控制器的用户权利，这样可以准许本地分支用户登录RODC并执行服务器的维护工作，如驱动升级。但是分支办公室中的用户不能登陆任何其他域控制器，也不能在该域上执行任何其他管理任务。这样，分支办公室中的用户可以获得有效管理该分支办公室中RODC的能力，无须损害其他域的安全。管理角色分离提供了灵活的管理模式，同时增强安全，特别是该分支办公室中需要部分本地控制或维护，但是中央网络以及服务器必须得到保护。

MMC snap-in功能
Windows Server 2008中的活动目录网站以及服务snap-in包括工具栏和Action menu中的查找命令。查找命令帮助查找带有域控制器的网站，能够在分支办公室的域控制器与网络集线器之间发现并修理故障复制问题。

为帮助管理RODCs，域控制器Properties sheet带有密码复制政策标签。管理员可以点击标签上的Advanced键，查看：
• 密码已经发给RODC
• 密码当前存在RODC上
• 帐户已经得到RODC鉴别，包括当前在安全组中拒绝的帐户，安全组允许或拒绝复制---管理员可以查看谁在使用RODC并决定是否允许或拒绝密码复制。

只读域命名系统
只读域命名系统（DNS）服务器服务可以安装在RODC中。RODC能够复制所有DNS使用的应用目录分区，包括ForestDNSZones 和 DomainDNSZones。如果DNS服务器安装在RODC上，客户可以像在任何其他DNS服务器上一样查询命名决议，这使分支客户可以解决本地高速LAN中的命名问题，无须通过低速WAN连接发送命名查询。

但是，RODC上的DNS服务器并不直接支持客户更新，因此，RODC不能替任何为之做主机的活动目录集成区注册命名服务器（NS）资源进行注册。如果客户尝试用RODC更新DNS记录，服务器将referral返回给可写域控制器。客户可以尝试更新referral中提供的DNS服务器。在后台，RODC中的DNS服务器将尝试复制从DNS服务器上已经过更新的的记录，DNS实现更新。复制请求仅仅针对单一目标，即DNS记录。在这一特殊复制单一目标请求中，整个更改后的区域或域数据列表不会被复制。

可重新开始的活动目录域服务(AD DS)
管理员可以使用Microsoft Management Console (MMC) snap-ins或命令行，停止并重启Windows Server 2008中活动目录域服务（AD DS）。可重启的AD DS减少执行某些操作的时间，如更新服务器。管理员可以停止AD DS以便执行任务，如脱机对活动目录数据库进行磁盘碎片整理，无须重新启动域控制器。运行在服务器上以及不依赖于AD DS进行查找的其他服务，如动态主机配置协议（Dynamic Host Configuration Protocol ，DHCP），在AD DS停止时依然可以满足客户请求。

尽管停止AD DS与在目录服务恢复模式登陆类似，可重启的AD DS为域控制器运行Windows Server 2008提供独特状态，即AD DS停止状态。为域控制器运行Windows Server 2008的三种可能状态为：

• AD DS开始：在这种状态中，AD DS已经开始。对客户以及运行在服务器上的其他服务而言，运行这种状态的Windows Server 2008域控制器与运行Windows 2000 Server或Windows Server 2003的域控制器是一样的。
• AD DS停止：在这种状态中，AD DS已经停止。尽管这种状态十分独特，服务器已经具有目录服务恢复模式中的域控制器以及域联合成员服务器的部分特点。
o 拥有目录服务恢复模式，活动目录数据库(Ntds.dit)为脱机。同样，如果另一个域控制器不能进行登陆联络，目录服务恢复模式的密码可以用于本地登陆。
o 拥有会员服务器，服务器与域相连。用户可以交互式登陆或使用网络中另一个域控制器进行域登陆。但是，域控制器不应该为拓展期保留这种状态，因为不能完成登陆请求，也不能复制其他域控制器。当客户更新DC的关联时，如果原始DC已经备份而且正在运行，则将回复至该联合(association)
• 目录服务恢复模式：这一模式（或状态）与Windows Server 2003中的一样。

下面的流程图显示运行Windows Server 2008的域控制器可以在上述三种可能的状态之间转换。

   

新的安装选择，如RODC，帮助压缩包和改进的管理界面以及工具，Windows Server 2008中的Active Directory®目录服务建华乐远程配置和正在进行的域控制器管理以及分支办公室中的域服务。

视窗服务器虚拟化 (WSv)
Microsoft Windows Server 2008包含视窗服务器虚拟化（WSv），后者是一款强大的虚拟化以及网络管理技术，使业务可以利用虚拟化的优势，又无须购买第三方软件。虚拟机提供前所未有的强大能力，调节可使用的软件。微软及其合作伙伴为多操作系统（Windows, Linux, 以及Xen-enabled Linux）的协同工作能力问题提供一站式支持，IT部门可以使用同样类似的管理工具管理虚拟以及物力资源。

WSv使公司可以整合服务器，并通过最大化硬件使用、整合工作量以及减少管理成本，从而减少拥有服务器的成本。视窗服务器虚拟化可以整合运行应用服务器以及分支机构基础设施服务至更少、甚至单一物理服务器，同时维持不同操作系统环境相互独立。虚拟服务器可以使用IT专业人士熟悉的同样的管理界面，远程管理中央集线器网络。更多详细信息，请参阅第二章：虚拟化。