Windows Server 2008 R2福利管理
Windows Server 2008 R2提供了几个新的好处,帮助组织更好地管理他们的网络环境。这些新特性提供了更好的文件和数据管理,更好的性能监控和可靠性跟踪工具来确定系统问题,主动解决问题,一个新的部署映像工具,和一套全新的组策略对象,帮助管理者更好的管理用户,电脑,和其他活动目录对象。
在组策略管理的改进
Windows Server 2008 R2引入了超过1000个新的组策略对象特定于Windows Server 2008 R2和Windows 7,还有几个新组件扩展核心功能的组策略管理Windows Active Directory 2000/2003的一部分。组策略没有改变的基本功能,因此,组策略对象编辑器(gpedit)和组策略管理控制台(GPMC)是相同的,但有更多可用的选项和设置。
如前所述,组策略管理控制台可以运行作为一个单独的MMC的工具,也可以是服务器管理器控制台的发射特性分支树,如图所示图1.7。集团在Windows Server 2008 R2的政策提供更细粒度的管理本地机器,特别有政策,降低客户端不同的管理员和非管理员用户。
组策略管理控制台。
此外,应用程序现在可以查询或注册一个网络位置感知服务在组策略管理,它提供了一个用户或计算机对象的身份。作为一个例子,可以编写一项政策,允许用户访问应用程序和文件如果局域网段上,但阻止用户访问相同的内容时,他们是在一个偏远的部分原因安全和隐私。这群除了政策增加了第三个维度政策,因此现在管理员不仅可以定义谁和什么有人访问,但也限制其访问基于他们在哪里。
组策略是在27章详细介绍,“网络客户,组策略管理”以及在19章,“Windows Server 2008 R2集团政策和策略管理。”
注意:运行时组策略管理控制台来管理一个Windows Server 2008 R2活动目录环境,运行GPMC工具从Windows Server 2008 R2服务器或Windows 7客户端系统可以访问所有可用的可编辑对象。如果你从Windows 2003服务器运行GPMC工具或Windows XP客户,你不会看到所有的功能也没有完全访问编辑所有对象可用。
这是因为Windows Server 2008 R2现在支持新模板文件格式(ADMX和ADML),只可以从Windows Server 2008, Windows Server 2008 R2, Windows Vista和Windows 7系统。
引入性能和可靠性监控工具
Windows Server 2008 R2介绍新修订的性能和可靠性监控工具旨在帮助网络管理员更好地理解Windows Server 2008 R2的卫生和操作系统。就像组策略管理控制台,新的可靠性和性能监视器显示服务器管理器控制台的功能。通过单击性能诊断控制台,该工具显示在右边的面板中,如图所示图1.8。
Windows的可靠性和性能监视器。
新工具跟踪系统活动和资源使用和显示关键的计数器和系统状态在屏幕上。可靠性监控诊断服务器不稳定的潜在原因并指出上次服务器重启,什么补丁或更新应用,服务失败后的顺序系统,系统故障可以追溯到具体的系统更新或更改之前发生的问题。
结合过去三到四个工具到一个控制台,管理员可以查看系统性能,操作任务和历史事件服务器的信息在他们分析问题或系统操作不稳定。你可以找到更多的细节在34章对性能和可靠性监控。
利用文件服务器资源管理器
文件服务器资源管理器(FSRM)是一个功能部件包插件到Windows 2003 R2和显著提高了Windows Server 2008 R2的释放。FSRM是一个配额管理系统一个企业在网络共享的文件。而不是让员工的全部内容复制他们的笔记本电脑网络,或者可能支持他们的MP3音频文件到一个网络,FSRM不仅能够限制内容存储在网络股票,而且设置配额(或限制存储完全)在特定的文件类型。因此,用户可以限制在网络共享存储200 gb的文件,但限制,只能分配到2 gb MP3文件。
FSRM,所示图1.9,在Windows Server 2008 R2改进允许嵌套的配额,以确保最严格的政策。配额还可以超越子文件夹,创建新的文件夹,或作为各级政策应用在一个文件夹层次结构,政策仍然适用,规则相结合提供不同级别的配额用户数据。此外,配额现在根据实际存储,因此,如果一个文件被压缩存储时,用户将能够储存更多的文件在其分配的配额。
文件服务器资源管理器。
文件服务器资源管理器在28章详细介绍。
利用最佳实践分析
包含在Windows Server 2008 R2分析器是一个内置的最佳实践。发现在服务器管理器控制台工具,最佳实践分析仪运行一系列的测试对活动目录的角色,比如hyper - v的角色,DNS的角色,和远程桌面服务的角色,来评估角色是否被正确地安装和配置和安装比较测试最佳实践。
的一些最佳实践分析的结果可以告诉管理员需要添加更多的内存服务器,角色移动到一个单独的服务器优化改善的作用,或者服务器上的数据库转移到一个不同的驱动器分配磁盘系统上的性能需求。更多细节的最佳实践分析仪在第20章的介绍。
引入Windows部署服务
Windows Server 2008引入了一个新的工具,称为Windows部署服务(WDS),这是有效的更新版本远程安装服务(RIS)已经在过去的几年里。与RIS,主要集中在脚本安装和客户端图像,改进算法在Windows Server 2008 R2可以分发图像Windows 7的客户或Windows Server 2008 R2服务器在一个更灵活和可修改的部署过程。
像RIS, Windows部署服务允许客户端系统启动Preboot执行环境(PXE),有效地“引导”WDS服务器看到的图像列表可以在系统上部署。交替,一个组织可以创建一个Windows PE引导盘和图像从CD或DVD启动。
Windows Server 2008 R2和Windows 7,图像可以在Windows中创建成像(WIM)格式,它允许注入的补丁,更新,甚至新代码WIM文件还没有启动映像文件。这不仅仅为组织提供了静态图像,就像在RIS推出,而是一个工具,提供持续的和可控的图像文件的更新。
改进算法还支持Windows 2003服务器和Windows XP客户端的成像系统以同样的方式,RIS的推出图片或使用一个unattend脚本文件发送图像系统。
Windows部署服务在26日章详细介绍“Windows Server 2008 R2为桌面管理工具。”
Windows Server 2008 R2的改进安全
显著的不仅仅是外观更新添加到Windows Server 2008 R2的安全增强。随着组织正努力确保他们的环境是安全的,员工可以依靠信息隐私,和内容保护法规遵从性的原因;有工具安全环境是至关重要的。
提高Windows Server 2008 R2安全子系统
这本书的第四部分,“安全”,重点是安全不同的核心领域。第十三章地址核心安全子系统的Windows Server 2008 R2,因为它涉及到服务器系统。这包括基本的服务器硬化、修补和更新,还延伸到新服务器安全领域添加到Windows server 2008 R2,如设备控制级安全性、无线接入安全、和活动目录权限管理服务(RMS)。Windows Server 2008 R2继续“缺省安全”主题在微软,不再安装的组件(比如Internet信息服务(IIS)默认情况下。好的部分是组件,没有核心的操作系统上安装的服务器不是;然而,这意味着每一次你安装软件,您需要添加基本的组件和特性。要记住必须安装,配置,或操作是很重要的,服务器正在建设中,添加到Windows Active Directory的环境。
交通安全使用IPSec和证书服务
14章,“传输级安全性,”站点地址和服务器到服务器安全,通过实现IPSec解决加密。不是新的Windows, IPSec终于得到了几个新的组策略管理组件添加到帮助企业中的IPSec的实现和管理。也不是新到Windows,但也有了很大的改进,是微软提供的公钥基础设施(PKI)左右,具体证书服务。似乎安全相关的一切都以某种方式连接到证书,是否使用加密文件加密文件系统(EFS),电子邮件使用S / MIME加密,使用证书访问远程移动设备同步,使用IPSec或运输安全。一切都需要一个证书,一个组织的能力来轻松地创建和管理证书是第14章的重点。
安全策略、策略管理和策略实施的支持工具
全新的Windows Server 2008,在Windows Server 2008 R2中,更新和组织的一个主要焦点是安全政策和策略管理在安全系统。过去我们只会锁定系统,确保他们安全的默认情况下,最好使用我们的判断和最大的努力来保护网络。然而,由于法律法规,甚至人力资源部门参与信息安全,所有IT安全实践的根源落在有设置安全策略定义,以便它可以实现技术来解决组织在信息安全的政策。这是在第十五章详细介绍,“安全策略、网络策略服务器和网络访问保护。”
第15章超越周围的政策和共同的最佳实践策略管理在一个企业,也深入底层技术,帮助企业把安全策略变成it技术服务。网络策略服务器等工具在Windows Server 2008 R2允许定义,政策和网络策略服务器执行这些政策,特别是在远程登录访问,访问通过无线网络连接,或网络访问的集成保护(午睡)查询设备,确保设备(台式机、笔记本电脑或移动设备)最新的补丁,更新,和杀毒软件由管理,确保设备安全。
在Windows Server 2008 R2的移动计算的改进
随着组织发现他们的劳动力越来越移动,微软已经显著改善在Windows Server 2008 R2流动。新技术为用户提供一个更加无缝的体验与笔记本电脑从办公室回家,互联网wi - fi热点和保持连接到网络资源。这些改进需要移动用户运行客户最新的Windows 7操作系统的笔记本电脑系统来获得这些新服务;然而,一旦实现,用户找到功能极大地支持更容易访问网络资源无论用户所在。
Windows Server 2008 R2 DirectAccess
的一个显著增强远程访问Windows Server 2008 R2 DirectAccess技术。DirectAccess提供了一个远程用户访问网络资源的能力,如文件共享,SharePoint股票等无需启动一个虚拟专用网(VPN)获取到网络。
DirectAccess是一个了不起的技术,结合先进的安全技术和基于策略的访问技术来提供远程访问网络;然而,组织确实发现起床速度与所有必要的技术组件DirectAccess工作。所以,尽管许多组织将寻求实现DirectAccess功能,这可能是几个月或几年前的所有技术的组织很容易激活DirectAccess企业环境。
的一些技术要求DirectAccess工作包括以下:
PKI证书- - - - - -DirectAccess利用PKI证书作为一个远程设备的识别方法以及从远程设备和加密通信的基础网络。因此,一个组织需要有一个好的证书服务器和客户端基于证书加密通信基础设施。
Windows 7的客户,DirectAccess仅适用于客户运行Windows 7。加密客户端组件,封装,和政策控制依赖于Windows 7的所有组件一起工作。
IPSec -中使用的策略控制DirectAccess利用IPSec识别目标远程用户应该访问的资源。IPSec可以端点到端点(即从客户机系统到应用服务器)或IPSec可以简化DirectAccess代理服务器的客户端系统中实际的端点应用服务器不需要IPSec启用。在任何情况下,IPSec安全政策的一部分结构确保远程客户端系统只是访问服务器资源,通过政策远程客户端应该访问的一部分DirectAccess会话连接。
IPv6。最后,DirectAccess使用IPv6作为IP会话标识符。虽然大多数企业还没有实现IPv6和大多数的互联网入口点仍然IPv6,隧道完全支持IPv6的Windows 7和Windows Server 2008 R2,可用于过渡到IPv6是完全采用。目前,IPv6是DirectAccess的要求和用作远程访问解决方案的一部分。
提供了更多细节DirectAccess 24章,“远程访问和DirectAccess想一想。”
Windows 7的VPN连接
VPN连接不是一个Windows Server 2008 R2-specific特性而是Windows 7客户端功能;然而,与客户同步版本的Windows 7和Windows Server 2008 R2,值得注意的是这个功能,因为微软兜售技术和网络管理员会想知道他们需要做什么来实现技术。VPN连接只是一个更新在Windows 7中VPN客户端,客户端系统上的VPN会话重新确立时,客户端系统的VPN会话断开连接。
VPN连接有效承认客户VPN会话断开连接和重新确立了会话。许多资深管理员可能想知道为什么这是新的,因为客户机系统在过去(Windows XP, Vista等等)总是有能力重试VPN会话断开。然而,不同之处在于,而不是简单地重试VPN会话和建立一个新的VPN会话,Windows 7的VPN连接特征重建VPN会话与相同的会话识别、有效地允许一个会话接究竟在什么地方。
例如,Windows 7客户端用户可以传输一个文件在有线VPN连接会话然后切换中游wi - fi VPN-connected会话,以及文件传输将继续不间断。
VPN连接利用艾克v2协议在客户端和Windows Server 2008 R2的一面已经建立的会话标识,以便在重新连接,会话ID是相同的。
24章提供VPN连接的更多细节。
Windows 7移动宽带
另一个Windows 7种技术为移动用户是Windows 7移动宽带。再次,无关的东西特别与Windows Server 2008 R2, Windows 7移动宽带是一个更新舰载(例如,AT&T、Sprint, Verizon)在Windows 7中移动连接设备和服务。
在过去,用户在移动宽带卡插入他们的Windows XP或Vista系统,然后不得不启动应用程序如AT&T连接管理器。Windows 7和最新的移动宽带设备的驱动程序和Windows 7,移动宽带卡插入手机的系统会自动将用户连接到互联网。就像如果用户打开无线网络适配器在系统和自动建立与wi - fi接入点连接,移动宽带自动将用户连接到互联网。
当Windows 7移动宽带适配器断开用户的系统,移动宽带会话断开,如果系统有一个无线或有线以太网连接可用,用户的系统会自动连接到另一个连接点。结合移动宽带和VPN连接或DirectAccess和移动用户无缝连接访问回到他们组织的网络。
改进更好的分公司支持Windows Server 2008 R2
Windows Server 2008 R2大大增强的技术产品,提供更好的服务与远程办公机构或分支机构。通常,远程或分公司有限支持网站或者至少需要有相同的功能和可靠性的主要企业或业务办公室,但没有预算,有很多冗余的硬件和设备完整的业务支持。新的Windows Server 2008 R2分公司资源,远程现在可以有很高的安全、高性能、访问数据没有显著延迟,和操作能力,即使远程站点网络下降是由于一个WAN或Internet连接的问题。
新的或改进的工具和技术在Windows Server 2008 R2包括只读域控制器、驱动器加密驱动器加密,分布式文件服务器数据复制和分发管理。
细节上的新技术在Windows Server 2008 R2,建造更好的支持在32章远程和分支机构。
分公司的只读域控制器
在部分”引入只读域控制器“在本章早些时候,RODC提供了活动目录的副本全局编录选择登录身份验证的用户和通信活动目录树没有一个完整的全局编录服务器的安全暴露在远程位置。许多组织关心分布式全局编录服务器选择不是服务器在远程位置,而是保持全局编录和域控制器集中。这意味着远程和分支机构所有登录验证必须在WAN或Internet连接,这可能是非常缓慢的。在WAN或Internet连接失败时,远程或分公司将离线,因为网络用户无法进行身份验证和访问网络资源,直到WAN或Internet连接恢复。
只读域控制器提供了一种组织分发认证和增加安全风险的前提下,活动目录访问目录服务的分布造成的。
BranchCache文件访问
新的Windows Server 2008 R2是一个角色叫BranchCache。BranchCache技术,为用户提供更好的访问文件跨广域网(WAN)。通常情况下,如果一个用户访问一个文件,该文件为用户跨广域网传输,当另一个用户访问同一个文件,相同的文件再次跨广域网传输的其他用户。BranchCache承认一个文件已经被先前的跨广域网传输的用户,而不是跨广域网检索文件,该文件由后续访问本地用户。
BranchCache需要Windows 7在客户端,可以设置文件是有效地检索以对等的方式从另一个Windows 7的客户端,此前访问一个文件。或者Windows Server 2008 R2服务器与BranchCache服务器角色可以在远程位置设置远程访问的文件暂时缓存其他Windows 7客户端用户无缝地访问本地文件而不是下载整个广域网。
BranchCache不需要用户做任何事情是不同的。用户直接访问文件,因为他们通常做的(从Windows文件系统或从一个SharePoint文档库),和Windows 7和Windows Server 2008 R2所有自动缓存。BranchCache证明改善为远程用户访问时间平均30% - -45%,从而提高用户体验和潜在用户生产力在偏远地区更快的获取信息。
驱动器加密服务器安全
磁盘加密技术首次引入与Windows Vista提供一个组织的能力做一个完整的分区加密的文件、文档和信息存储在加密的分区。驱动器加密时首先介绍在Windows Server 2008服务器工具,很难理解为什么一个服务器需要其驱动器卷加密。是有意义的,笔记本电脑将被加密时笔记本电脑被偷,没有人能获得笔记本电脑硬盘上的数据。然而,当考虑到服务器放置在远程locations-many倍不是锁定服务器架在一个锁着的电脑房间,而是坐在壁橱收银机的情况下,甚至一个零售商店服务器充当销售点system-servers与敏感数据在企业环境中很普遍。
因此,磁盘加密提供了加密的Windows Server 2008 R2服务器的体积;组织担心服务器可能是身体被盗窃的服务器或系统的物理攻击,驱动器加密是一个伟大的组件来实现服务器上的系统。
分布式文件系统复制
介绍了Windows 2000,改善在Windows 2003,现在分公司产品的一个核心组件在Windows Server 2008 R2中,分布式文件系统复制(DFSR)允许文件服务器之间复制,有效地在多个位置提供重复的信息。Windows Server 2008 R2具有改进的分布式文件系统多是在Windows 2000/2003。在大多数组织中,文件是分布在整个企业中多个服务器。用户访问文件共享的地理分布也可以访问文件共享网站在几个服务器上坐在在组织内。在许多组织中,文件共享最初创建年前时,服务器的性能,服务器磁盘容量和工作组的特性文件和打印服务器分布环境中创建这些组织对每一个部门和每一个文件共享网站。因此,文件通常被分布在整个组织跨多个服务器。
Windows Server 2008 R2分布式文件系统复制使一个组织能够结合文件共享,减少服务器和创建一个文件目录树不是基于server-by-server或share-by-share基础,而是一个企业级目录树。这允许一个组织有一个从多个服务器整个企业目录生成文件。
因为DFSR目录是一个逻辑目录横跨整个组织有关联的物理数据,实际的物理数据可以移动,而无需更改用户看到的方式逻辑DFS目录。这使得一个组织能够添加或删除服务器,或移动和整合信息,然而,在组织内效果最好。
分支办公室地点,DFSR允许一个文件服务器上存储的数据在一个偏远的位置慢慢地回到英国内政部的夜间备份。而不是远程位置负责数据备份,或者一个组织的要求每个分支机构的磁带驱动器,任何数据保存在分公司可以每股细流复制回总公司的备份和恢复。
如果主要办公室数据,它希望把所有的远程办公,是否模板文件,公司的政策文件,标准公司材料,甚至共享数据工作组的用户需要访问和协作,DFSR能够推动数据网络上的其他服务器。用户与访问权限的数据不再需要穿过一个WAN连接来访问公共数据。信息推送到服务器,本地用户,和用户访问信息的本地副本。如果有任何更改远程或集中的数据副本,这些变化都自动重新分配回卷存储数据的一个副本。