【Sys】Windows Server 2008系统管理

 

Windows Server 2008系统管理

一、安装、部署和升级Windows Server 2008
1、规划Windows Server 2008的安装和升级
规划服务器部署时，必须将那些可能永远不会发生的事情考虑在内，以便该可能永远不会发生的事情
发生时能够快速灵活的做出反应。
1）Windows Server 2008 Standard Edition
目标用户是中小企业
基本特点：
32位版本（X86）最多支持4GB RAM，在SMP配置下最多支持4个处理器
64位版本（X64）最多支持32GB RAM，在SMP配置下最多支持4个处理器
支持网络负载平衡（Network Load Balancing）群集，不支持故障转移群集

规划服务器的部署，为了满足域控制器、文件和打印服务器、DNS服务器、DHCP服务器和应用程序
服务器的作用，可以选择Windows Server 2008 Standard Edition

2）Windows Server 2008 Enterprise Edition
针对大型企业的操作系统，在运行SQL Server 2008 Enterprise Edition和Exchange Server 2007
应用程序的服务器上，应采用Windows Server 2008 Enterprise Edition。这些应用需要Enterprise
Edition支持的额外的处理能力和RAM。其所设计的技术有：
故障转移群集：指在原始服务器方式故障时允许另一个服务器继续为客户请求提供服务。故障转移群集
应部署在关键任务服务器上，以保证服务器上的重要资源即使在一个服务器发生故障时
也可以使用

Active Directory联合身份验证服务（Active Directory Federation Services，ADFS）支持联合身份
验证，通常被那些有很多合作伙伴需要访问本地资源的组织使用

32位（X86）版本在SMP配置下支持最大64GB RAM和8个处理器

64位（X64）版本在SMP配置下支持2TB RAM和8个处理器

3）Windows Server 2008 Datacenter Edition
Windows Server 2008 Datacenter Edition直接针对超大规模的企业。企业部署Windows Server 2008
Datacenter Edition而不是部署Enterprise Edition的关键原因是，Datacenter Edition允许无限制地
使用虚拟映像。如果企业使用虚拟技术来整合现有的服务器，或者只有应用程序服务器才需要相当大的
硬件容量，则Windows Server 2008 Datacenter Edition可能是最佳选择。其特性如下：
32位（X86）版本在SMP配置下支持最大64GB RAM和32个处理器
64位（X64）版本在SMP配置下支持最大2TB RAM和64个处理器
支持故障转移群集和ADFS
无限制的虚拟映像使用权

4）Windows Web Server 2008
Windows Web Server 2008专为Web应用程序服务器而设计，其特性如下
32位（X86）版本在SMP配置下支持最大4GB RAM和4个处理器
64位（X64）版本在SMP配置下支持最大32GB RAM和4个处理器
支持网络负载平衡群集

5）Windows Server 2008 for Itanium-Based Systems
该版本是专为Intel Itanium 64位处理器架构设计的，其既可提供应用程序服务器功能，又提供Web服务
器功能，最大支持在SMP配置下的64个处理器和2TB RAM

6）Windows Server 2008 服务器核心
攻击面减少
硬件需求更低

Netdom join COMPUTERNAME /domain:CONTOSO /userd:Kim_Akers /passwordd:*
服务器核心版本不能直接支持PowerShell，但通过WMI可以对服务器核心远程运行一些PowerShell命令。
在服务器核心安装版本上可以图形化运行几个重要工具，包括Regedit（注册表编辑器）和Notepad(记
事本)，还可激活“日期和时间”控制面板和“区域和语言选择”控制面板，分别使用control timedate.cpl
和 control intl.cpl 命令激活。

oclist.exe提供服务器上当前安装的所有服务器角色的列表以及哪些角色可以安装。
ocsetup.exe命令可以添加和删除某些特征。ocsetup IIS-WebServerRole | ocsetup.exe /uninstall
IIS-WebServerRole命令用来删除Web服务器角色。

7）如果用来安装Windows Server 2008的计算机上没有DVD-ROM驱动器，则有两种解决方法：
在支持PXE（Preboot Execution Environment，预启动执行环境）的网卡，可以对Windows不上服务进行配
置，作为一种通过网络部署Windows Server 2008的方法

如果服务器没有支持PXE的网卡，可以使用Windows PE（Windows Preinstallation Environment，Windows
预安装环境）进行引导，然后使用网络共享资源中的操作系统文件以执行网络安装

8）升级和安装要点：
升级必须在Windows Server 2003中启动；而安装可以从Windows中开始，也可以从安装媒体开始
与干净安装相比，升级要求安装Windows Server 2003的卷上有更多可用空间
如果需要大量的自定义工作，并且不能通过恢复备份的数据并将应用程序安装到新的Windows Server 2008
上来实现，最好使用升级。
在一台升级自Windows Server 2003的计算机上实现BitLocker非常困难。

2、BitLocker部署规划
1）Windows BitLocker和驱动器加密BitLocker是Windows Vista Enterprise和Ultimate版本中首次推出的特征，
并在Windows Server 2008的所有版本中都可用。

BitLocker两大作用：
通过完全的卷加密保护服务器数据；
提供完整性检查机制，以保证引导环境没有被窜改。

使用BitLocker的缺点：如果服务器的BitLocker密钥丢失，并且引导环境被破坏，则服务器上存储的数据将
无法恢复。

2）BitLocker组策略
计算机配置->策略->管理模板->Windows组件->BitLocker驱动器加密
启用到Active Directory域服务的BitLocker备份：启用该策略，计算机的恢复密钥存储在AD中，并可以由
授权的管理员恢复
控制面板设置：配置恢复文件夹->设置默认的文件夹为存储计算机恢复密钥的文件夹
控制面板设置：配置恢复选项->用来禁用恢复密码和恢复密钥
配置加密方法：规定用来保护硬盘驱动器的AES加密方法的属性
禁止在重启时覆盖内存：该策略加快启动速度，但增加了暴露BitLocker机密的危险
配置TPM平台验证配置文件：配置TPM安全硬件如何保护BitLocker加密密钥

3）加密文件系统与BitLocker
加密文件系统（Encrypting File System,EFS）用来加密单个文件和文件夹，并且可以为不同的用户对这些
项目进行加密，提供一种不透明的加密方法

BitLocker加密整个硬盘驱动器，提供一种透明的加密方法

关闭BitLocker方法：禁用BitLocker或解密卷

4）实验
diskpart
select disk 0
create partition primary size=1500
assign letter=S
active
create partition primary
assign letter=C
exit

format c: /y /q /fs:NTFS
format s: /y /q /fs:NTFS
exit

3、自动化服务器部署
1）Windows Server 2008应答文件
Windows Server 2008应答文件通常称为autounattended.xml
管理员使用Windows系统映像管理器（Windows SIM）工具来创建应答文件。Windows自动安装工具包（Windows
AIK或WAIK）带有WindowsSIM工具

2）使用Windows系统映像管理器创建一个应答文件步骤：
1.启动Windows系统映像管理器。该应用程序包含在Windows自动安装工具包（WAIK）中，可以从微软网站下载
http://go.microsoft.com/fwlink?LinkId=79385
2.将Windows Server 2008安装媒体上的\Sources\install.win文件复制到已经安装了Windows AIK的Windows
Server 2008计算机上的一个临时目录中。
3.单击“文件”菜单，然后选择“选择Windows映像”。导航到复制了install.win文件的临时目录，并选择该文件
该文件包含了可以从安装媒体安装的Windows Server 2008的所有版本。
4.提示在Windows映像文件中选择一个映像。选择Server Enterprise，然后单击“确定”按钮。
5.在提示创建一个目录文件时，单击“是”按钮。出现“用户账户控制”对话框，单击“继续”按钮。目录文件将被创建
6.从“文件”菜单中选择“新建应答文件”
7.通过在Windows映像中选择合适的组件，可以配置该组件的属性
8.保存应答文件时，自动根据已经加载的操作系统映像进行验证

如果使用位于网络共享中的安装文件进行安装，将有必要引导进入Windows PE，连接到该网络共享，然后发出命令
setup.exe/unattend:x:\autounattend.xml（这里的x:\是autounattended.xml文件的路径）

3）Windows部署服务
Windows部署服务是一个可以添加到Windows Server 2008计算机上的角色，支持远程部署Windows Server 2008和
Windows Vista。使用Windows部署服务（WDS）也可以部署Microsoft以前版本的操作系统
WDS要求客户端计算机有一块PXE兼容的网卡。如果客户机没有PXE兼容的网卡，就要使用Windows PE的网络安装等方法。

只有满足下列条件才能把“Windows部署服务”安装到Windows Server 2008计算机上：
部署了WDS的计算机是Active Directory域的成员，DNS服务器是必不可少的，虽然该域的存在隐含了这一点
网络上有一个授权的DHCP服务器
一个可用于存储操作系统映像的NTFS分区

如果在WDS服务器上运行了DHCP服务器，则必须对WDS进行配置，使其不侦听端口67.如果不这么做，WDS和DHCP将会
发生冲突。配置WDS服务器以添加选项标记#60也是重要的，使得PXE客户能够检测到WDS服务器的存在。

WDS服务器的属性对话框的“客户端”选项卡用于为没准体系结构规定一个默认的无人参与的安装文件

4）通过配置WDS服务器设置，还可以配置PXE响应策略，首先配置的设置是“PXE响应延迟”。如要规定WDS服务器响应PXE
请求顺序，请配置该设置。配置三个PXE响应设置：
不响应任何客户端计算机。WDS不响应PXE请求
仅响应已知客户端计算机。如果已在Active Directory中预安排了客户端，则使用该选项
响应所有（已知和未知）客户端计算机。该设置有一个附加选项，允许管理员人工核准未知的客户端。

多播允许组织更有效地利用网络带宽，该方法通过网络发送一次就把操作系统映像发送到多个安装客户端，仅在路由器
支持多播传输的网络环境中才支持多播部署。

预定部署即在预定的时间传输安装映像文件

自动传输表示只要有客户请求安装映像就启动多播传输，其适合于一次性的部署，不适合大规模部署。

预定在半夜进行的部署需要一个应答文件，否则，部署过程将在需要管理员输入时停止

5）Windows部署服务映像
Windows部署服务使用两种不同类型的映像：安装映像和启动映像
安装映像是将被部署到Windows Server 2008或Windows Vista客户端计算机上的操作系统映像，默认的安装映像位于
Windows Vista和Windows Server 2008安装盘的\Sources目录中。

如果使用WDS将Windows Server 2008部署到具有不同处理器体系结构的计算机上，将要为每种体系结构添加单独的安装
映像到WDS服务器。

启动映像用来在安装操作系统映像之前启动一台客户端计算机。Windows Server 2008boot.wim文件支持高级部署选项

捕获映像是启动WDS捕获实用程序的启动映像

发现映像用来将映像部署到未启用PXE的计算机或不允许PXE的网络上的计算机。

默认地实现安装的端到端加密的需求

更好地支持数据的实时传送的需求

6）WDS和产品激活
虽然不需要在实际安装过程中激活产品，但打算使用WDS来自动部署的管理员还应考虑使用Volume Activation进行自动
激活。Volume Activation为管理员提供了一种简单的集中激活方法，用于激活大量已经部署的服务器。

Volume Activation允许使用两种密钥和三种激活方法。
两种密钥：多次激活密钥（Multiple Activation Key，MAK）和密钥管理服务（Key Management Services，KMS）密钥
多次激活密钥允许激活指定数量的计算机，每次成功的激活都将消耗激活池。
多次激活密钥可以使用MAK代理（MAK Proxy Activation）和MAK独立激活（MAK Independent ACtivation）方法
MAK代理激活法使用一个代表多个产品的集中激活请求，只需要使用到Microsoft的激活服务器的一个单独连接。
MAK独立激活要求每台计算机各自根据Microsoft的激活服务器进程激活

密钥管理服务密钥适合于激活托管环境中的 计算机，不需要各计算机单独连接到Microsoft
KMS密钥启用一个服务器上的密钥管理服务，而托管环境中计算机连接到该KMS主机执行激活。使用KMS的组织应部署两个
KMS服务器，其中一个将作为备份主机以确保冗余。KMS激活要求至少连接25台计算机，并且每隔180天必须连接到KSM服
务器进行续订。

7）回滚准备
在将计算机从Windows Server 2003升级到Windows Server 2008之前，需要预防措施：
执行Windows Server 2003计算机的自动系统恢复备份
执行所有数据的完整备份，包括系统状态数据
制定一个在升级出错时的回滚计划

如果需要从一台升级自Windows Server 2003的计算机上删除Windows Server 2008，则恢复先前功能的最快方式是应用
Windows Server 2003 ASR备份，恢复系统和用户数据，然后重新安装所有附件的应用程序。

二、配置网络连接性
1、RFC（Request For Comment，请求注解）
DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）
APIPA（Automatic Private IP Addressing，自动专用IP寻址）
CIDR（Classless Interdomain Routing，无类域间路由）
IANA（Internet Assigned Numbers Authority，Internet号码分配机构）

IPv4替换需求：
IPv4地址空间可能会耗尽
维护Internet主干路由器的大量路由表
更简单且更自动化地配置IP地址以及其他配置设置不依赖于DHCP的需求

1）解决IPv4缺陷引起的问题
IPv6使用128位，提供足够多的地址，使每个需要一个地址的设备公用IPv6地址。IPv6地址的64位主机部分（接口ID）
可以根据网络适配器硬件自动生成。

APIPA的自动配置适用于不路由到其他网络的孤立子网。IPv6满足更简单且更自动化的地址状态地址配置又支持无状态
地址配置。

状态地址配置使用DHCPv6，如果使用无状态地址配置，一个链路上的主机自动地使用该链路的IPv6地址和从本地路由器
通告的前缀派生的地址来配置自己。

2）标头大小和扩展标头
IPv4和IPv6的标头是不兼容的，因而主机或路由器必须同时使用IPv4和IPv6的实现，以便识别和处理两种标头
保持IPv6的标头大小在合理的界限内，不重要自动和可选字段移到IPv6标头后面的扩展标头中。

路由表大小：Internet的IPv6网段上使用的IPv6全局地址旨在根据多级Internet服务提供商（ISP）的共同特征，创建一
个有效的、有层次且可概括的路由基础结构。在Internet的IPv6网段上，主干路由器大大减少使用路由聚合的路由表，并
对应于顶层聚合器的路由基础结构

路由聚合将流量从较小前缀的网络路由到较大前缀的网络。即允许将许多毗邻的地址块合并起来，汇成一个更大的地址块
路由聚合减少了大型网络上的通告路由数。路由聚合在大型ISP有一个连续的IP地址范围要管理是使用。
可聚合地址：能汇总的地址

网络级安全性：Internet的专用通信需要对数据进行加密以防传输时被他人看见或修改，Internet安全（IPSec）提供该
功能，但IPv4没有强制要求使用它。IPv6强制要求使用IPSec，为网络安全需求提供标准解决方案，增强不同IPv6实现之
间的互操作性。

实时数据传输：
服务质量（Quality of Service，QoS）存在于IPv4中，因而可以保证网络上实时流量（视频或音频传输）所需的带宽。
IPv4实时流量支持依赖于服务类型（Type of Service，ToS）字段和负载标识，通常使用用户数据报协议（User Datagram
Protocol，UDP）或传输控制协议（Transmission Control Protocol，TCP）端口。

IPv4 ToS字段具有有限的功能，如果IPv4数据包负载被加密了，则不能使用TCP和UDP端口标识负载。负载标识包含在IPv6
标头的流标记（Flow Label）字段，因而负载加密不影响QoS操作。

消除广播流量：
IPv4依赖于地址解析协议（Address Resolution Protocol，ARP）广播将IP地址解析为网络接口卡（NIC）的MAC地址。广播
增加网络流量，并且效率低下，因为每个主机都要出来它们。

IPv6的ND（Neighbor Discovery，邻居发现）协议使用一系列IPv6的Internet控制消息协议（ICMPv6），ICMPv6管理同一
链路上的节点（相邻节点）的交互。ND用有效的多播和单播ND消息取代ARP广播、ICMPv4路由器发现和ICMPv4重定向消息。

2、IPv6地址
1）IPv6地址语法
IPv6 128位地址沿着16位边界分隔，每个16位块转换为一个4位的十六进制，并通过冒号进行分隔，该表示形式称为冒号十
六进制。

全局单播IPv6地址：21cd:0053:0000:03ad:003f:af37:8d62
简化IPv6地址，通过删除每个16位块中的前导零。但每个块必须至少包含一位
简化后IPv6地址：21cd:0053:0:03ad:003f:af37:8d62

在冒号十六进制格式下，一连串设置为0的16位块可以压缩为：：
即：21cd:0053::03ad:003f:af37:8d62

2）IPv6地址前缀
前缀是地址的一部分，指示具有固定值或反映子网标识的位。IPv6前缀的表示方式与CIDR IPv4表示法（松散表示法）相同。
一个IPv6子网前缀（子网IP）被分配给一个单独的链路。多个子网ID可以分配给相同的链路，该技术成为multinetting。
IPv6只支持前缀长度表示法，不支持IPv4点分十进制子网掩码表示形式。

3）IPv6地址类型
IPv6地址三种类型：多播、单播和任意播
单播：单播标识单播地址类型的作用域内的单个接口，发往单播地址的数据包将传输到单个接口。
多播：多播标识多个接口。发往多播地址的数据包将传输到该地址标识的所有接口。
任意播：任意播地址标识多个接口。发往任意播地址的数据包将传输到地址标识的最近接口。

3、IPv6单播地址
IPv6支持5种类型单播地址：
全局单播地址
链路本地地址
站点本地地址
特殊地址
NSAP（Network Services Access Point，网络服务接入点）和IPX（Internet work Packet Exchange，互联网数据包交换）映射
的地址

1）全局单播地址
IPv6全局单播地址等效于IPv4公用地址，并且可以在IPv6 Internet上全局路由和访问，这些地址可以被聚合以产生一个有效的
路由基础结构，称为可聚合的全局单播地址。可聚合的全局单播地址在整个IPv6 Internet上是唯一的。

6、配置DNS
1）DNS（域名系统）主要将IP主机名解析为IP地址，也可以在反向查找DNS区域中将IP地址解析为主机名。
分区是AD DS中的数据容器，容纳复制数据。分区有助于确保只有DNS区域的更新部分被复制到其他DNS服务器。

文件支持的DNS服务器是不与AD DS集成的DNS服务器，网络中任何一台独立的计算机上都可以安装文件支持的DNS服务器。
文件支持的DNS服务器在外围区域中使用，在这些区域中使用成员服务器（尤其是域控制器）可能被认为有安全威胁。

Windows Server 2008 DNS支持存根区域。存根区域是只包含标识该区域授权的DNS服务器所需的资源记录的区域的副本。使用
存根区域确保宿有一个父区域的DNS服务器可以确定其子区域的授权DNS服务器，从而帮助维持有效的DNS名称解析。

2）区域复制
为实现故障转移功能以及提高DNS名称解析的效率，在DNS服务器之间复制DNS区域。区域传送实现了区域复制和同步。
如果把一个新的DNS服务器添加到网络并把 它配置为一个现有区域的辅助DNS服务器，它将执行完整的区域传送以获得该区域的
资源记录的只读副本。在Windows Server 2003之前，为了将授权的DNS区域中的任何变更复制到复制DNS服务器，必须传送整个
区域。

增量传送使辅助服务器能够只取出将区域的副本与源区域进行同步所需的那些区域变更，源区域可以是另一个DNS服务器所维护
的区域的主要或次要副本。

3）DNS转发器
如果一个DNS服务器的数据库中没有客户端请求中指定的远程主机条目，可以用一个更有可能具有该信息的DNS服务器的地址来响
应客户端，也可以查询其他DNS服务器。
其他DNS服务器向其转发请求的DNS服务器称为转发器。
Windows 2008 DNS服务器服务通过使用条件转发器拓展了标准转发器配置。
条件转发器是一个根据查询中的DNS域名转发DNS查询的DNS服务器。

4）管理DNS
DNS管理器MMC管理单元GUI用来管理和配置DNS服务器服务。
使用命令 dnscmd 工具可以配置和管理IPv4和IPv6记录。
ipconfig /displaydns | flushdns | renew

7、检查DNS的新功能和增强功能
后台区域加载
支持只读域控制器（PODC）
全局单一名称（GlobalNames）
IPv6支持

1）后台区域加载
后台区域加载的实际作用是：重新启动的DNS服务器更快上线，以分担满足客户端请求的负载。

2）支持RODC
RODC提供了域控制器的只读副本，并且不能直接配置它，使其不易被攻击。Microsoft建议在不能保证域控制器安全性的地方使用RODC。

3）使用GlobalNames DSN区域
WINS使用TCP/IP上的NetBIOS（NetBT），Microsoft将其描述为即将过时的服务。然而其用单标签名称提供静态的全局记录，且仍然得
到广泛使用。

Windows Server 2008 DNS引入GlobalNames区域来存储单标签名称，该区域的复制范围通常是整个森林，保证该区域能够提供在森林中
唯一的单标签名称。

GlobalNames区域为一组有限的主机名（通常是集中管理的公司服务器和网站）提供单标签名称解析，并且不用于对等名称解析，同时也
不支持客户端工作站名称解析和动态更新。

8、DNS基础结构规划
1）规划DNS命名空间
可以在网络的内部和外部都使用公司命名空间。需要确保合适的记录存储在内部和外部DNS服务器上，并且内部网的安全性得到保护。
可以使用委派的命令空间来标识组织的内部网络。命名客户委派的缺点是FQDN可能变得非常长，FQDN的最大长度是255字节，而DC的FQDN
限于155字节。
可以对外部和内部命名空间使用不同的命名空间

dnscmd glasgow /ZoneAdd 0.c.e.f.ip6.arpa /DsPrimary

2）关键术语
地址空间（Address Space）
任意播地址（Anycast Address）
BootP启用的（BootP-enabled）
正向查找区域（Forward lookup zone）
多播地址（Multicast Address）
反向查找区域（Reverse lookup zone）
路由聚合（Route aggregation）
作用域（scope）
单播地址（unicast address）
三、Active Directory和组策略
1、目录服务器角色
1）新功能
只读域控制器
新的和增强的工具和向导
细化的安全策略
可重启的AD DS
AD DS数据挖掘工具
审核功能增强

2）RODC只读域控制器
RODC提供增强的安全性，使登录更快速并允许更有效访问本地资源，RODC管理可以委派给在该域中没有管理权限的用户或组
一个拥有委派的安装和管理权限的用户，通过允许dcpromo/UseExistingAccount:Attach，可以在指定服务器上创建一个RODC。
Windows Server 2008允许规定多元密码策略，可以规定多个密码策略，并对单个域中的不同用户组应用不同的密码限制和账
户锁定策略。

Windows Server 2008的AD DS架构包含两个新对象类：密码设置容器和密码设置
密码设置容器（PSC）对象类默认在域的System容器下创建，它存储该域的密码设置对象（PSO）。不能重命名、移动或删除
该容器。通过把设置参数（如密码长度）保存一个以.ldf为扩展名的文本文件中，并从命了控制台使用ldifde命了，可以创
建一个PSO。还可使用ADSI Edit MMC管理单元。

作为规划多元密码和账户锁定策略的第一步，需要决定需要多少个不停的密码策略，通常策略可以包含至少3个但绝不能多于
10个PSO。至少要配置如下项目：
一个具有严格设置的管理级密码策略
一个用户级密码策略
一个服务账户密码策略

不能直接将PSO应用于组织单元（OU），如果用户被组织到OU中，则考虑为这些OU创建影子组（Shadow Group），然后对它们
应用新定义的多元密码和账户锁定策略。
影子组是在逻辑上对应于一个OU的全局安全组，以实施多元密码和账户锁定策略。

在默认情况下，只有Domain Admins组的成员才能创建PSO，以及将一个PSO应用于某个组或用户。
多元密码策略只能应用于用户对象和全局安全组。

2、数据挖掘工具的使用
1）数据挖掘工具（dsamain.exe）使被删除的AD DS或AD LDS数据能够以卷影复制服务（Volume Shadow Copy Service，VSS）备份
的AD DS快照形式进行保留。使用轻型目录访问协议（Lightweight Directory Access Protocol，LDAP）工具可以查看快照中的
只读数据。

系统访问控制列表（SACL）
通过AD DS对象的属性对话框的安全选项卡上，可以设置SACL。

Windows Server 2008提供具体控制，审核内容：
DS访问、DS改变（旧值和新值）、DS复制

审核DS复制被进一步细分，提供两个审核级别的选择：正常和详细

2）域功能级别考虑因素
在Windows Server 2008 AD DS中，存在的域功能级别有：
Windows 2000 纯模式
Windows server 2003
Windows Server 2008

林功能启用级别考虑因素：
Windows 2000
Windows Server 2003
Windows Server 2008

提升林功能级别时，运行早期操作系统的域控制器不能被引入到该林中。
域功能级别不能小于林功能级别

3）规划林级信任
林信任（即林级信任）允许一个林中的每个域信任另一个林中的每个域。林信任于Windows Server 2003引入，可以是单向传入
信任、单向传出信任或双向信任。
林信任可能构成并购或接管战略的组成部分。

最常见的跨林运作的信任的类型是林信任。
林信任类型包括：
快捷方式信任。林信任将使一个林中的任何域信任另一个林中的任何域。
外部信任。如果林中的一个域需要与一个不属于林的域建立信任关系，则建立一个域信任。通常，从Windows NT域迁移资源时
使用外部信任。
领域信任。如果一个UNIX领域使用Kerberos身份验证，则可以在Windows域和UNIX领域之间建立领域信任。

Windows Server 2008 引入新的AD FS功能：
改进的应用程序支持
改进的安装
改进的信任策略

3、Windows Server 2008 组策略
1）GPMC组策略管理控制台
服务器管理器中，使用“添加功能向导”，可以安装GPMC
使用GPMC可以有效地实现安全设置，实施IT策略，以及一致地在站点、域和oU中分发软件。
管理模板（Administrative Template，ADM）文件是在Windows NT4中引入的，用来描述基于注册表的组策略设置。在Windows
Server 2008（以及Windows Vista）中，ADM文件被替换为XML格式的ADMX文件。

2）新的Windows Server 2008组策略设置
允许远程启动未列出的程序
使用TS RemoteApp管理器工具可以创建程序列表，默认情况下，用户在远程会话期间只能启动“RemoteApp程序”列表中的程序。
允许时间区域重定向
在连接时始终显示桌面
磁盘诊断：配置自定义警告文本

远程桌面连接：Remote Desktop Connection
磁盘自动监测分析及报告技术：Self-Monitoring，Analysis，and Reporting Technology，SMART

安装”桌面体验“：打开“服务器管理器”，在功能摘要部分单击添加功能，选中桌面体验复选框，单击下一步，然后单击安装按钮
磁盘诊断：配置执行级别；决定基于SMART的磁盘诊断的执行级别，诊断策略服务（Diagnostic Policy Service，DPS）将检测
SMART错误，并在错误发生时记录到事件日志中。
不允许剪切板重定向
登录时不自动初始配置任务窗口
登录时不显示服务器管理器界面
实施远程桌面墙纸的删除
组策略管理编辑器
组策略Starter GPO编辑器
仅重定向默认的客户端打印机（用户）
仅重定向默认的客户端打印机（计算机）
设置密码同步服务器的重试次数
设置密码同步服务器的重试间隔
设置从属NIS服务器的更新间隔
使用TS Session Broker负载平衡
Turn On Extensive Logging For Password Sync Services（打开密码同步服务器的扩展日志）
Turn On Extensive Logging For Domain Controllers Running Server For NIS（打开运行NIS服务器的域控制器的扩展日志）
Turn On The Windows To NIS Password Sync For Migrated Users For Password Sync Servers
Use Terminal Services Easy Print Driver First（User）
Use Terminal Services Easy Print Driver First（Computer）

4、规划和管理组策略
1）规划组策略的部分工作是规划组织结构
组策略在客户端如何处理两阶段：
核心处理；确定是否可以达到一个DC、是否有GPO被修改以及哪些策略设置必须处理
客户端扩展（CSE）处理：组策略设置放在各个不同的分类中，管理模板、安全设置、文件夹重定向，磁盘配额和软件安装

基于XML的ADMX文件定义基于注册表的策略设置，在组策略对象编辑器中，其位于“管理模板”分类下面。
管理模板文件使用基于XML的文件格式，描述基于注册表的组策略，ADMX文件分为语言中立资源（.admx文件）和语言特定的
资源（.adml文件）

Windows Server 2008中，组策略对象编辑器不把ADMX文件复制到每个编辑的GPO，其提供从DC的单个域级位置读取ADMX文件
的功能，如果中心存储位置不可用，组策略对象编辑器将从本地管理（Windows Vista）工作站读取。

Microsoft建议在域上的主要DC上创建中心存储位置——主要DC是域中配置的第一个Windows 2008 DC。通过使用分布式文件
系统复制（Distributed File System Replication，DFSR）可以更快把文件复制到域中的所有其他DC。

2）ADMX文件
ADMX文件是作为一个语言中立文件（.admx）和一个或多个语言特定文件（.adml）创建的，XML文件区分大小写。
语言中立的ADMX文件包含的要素有：
XML声明：确认一个文件是否基于XML的文件所需的，包含版本和编码信息
PolicyDefinition元素：包含.admx文件的所有其他元素
PolicyNamespaces元素：定义文件的唯一命名空间，提供外部文件命名空间的映射
Resources元素：规定语言特定资源的需求
SupportedOn元素：规定对本地化文本字符的引用，定义受某个特定策略设置影响的操作系统或应用程序
Categories元素：指定在组策略对象编辑器中显示的文件的策略设置分类
Policies元素：包含个策略设置定义

语言特定ADMX文件包含的元素：
XML声明：确认一个文件是否基于XML的文件所需的，在.admx和.adml文件中是相同的
PolicyDefinitionResources元素：包含语言特定的ADMX文件的所有其他元素
Resources元素：包含指定语言的一个StringTable元素和一个Presentation Table元素

调试组策略的第一步通常是检查正确地规划和实现了域基础结构
WMI（Windows Management Instrumentation）筛选器、阻断继承设置、不覆盖设置、回送处理和低速链路设置
GPResult.exe验证对某个特定用户或计算机起作用的所有策略设置。GPResult.exe是一个资源工具包，检查域的每个DC上
的GPO一致性

使用日志调试组策略：
事件日志可以帮助隔离出组策略问题，包括组策略操作日志，通过打开“事件查看器“，展开”应用程序和服务日志“，展开
Microsoft，展开Windows，然后展开Group Policy可以访问该日志。

3）解决核心处理问题
如何核心处理没有快速而有效地发生，CSE处理可能无法开始，而组策略得不到应用。
GPO没有应用于用户或计算机的最常见原因之一是，GPO没有链接到用户或计算机的站点、域或OU。GPO根据计算机和已登录
用户的站点和OU成员关系发送到客户端。
导致核心处理问题的原因还有复制还没有发生

4）关键术语
功能级别（Functional level）
组策略对象（Group Policy Object，GPO）
组策略设置（Group Policy setting）
组织单元（Organizational Unit，OU）
密码设置容器（password Settings Container，PSC）
密码设置对象（Password Settings Object，PSO）
只读域控制器（Read-only Domain Controller，RODC）
影子组（Shadow Group）
两段式安装（two-stage installation）
卷影复制服务（Volume Shadow Copy Service，VSS）

四、应用程序服务器和服务
1、应用程序服务器
1）应用程序可用性的规划
为LOB业务流（line of business）应用程序提供支持的组件为”应用程序服务器“
应用程序服务器提供的功能：
安装向导
核心运行库：支持高性能LOB应用程序的部署和管理
.NET Framework：一种开发环境，为基于服务器的应用程序提供高效编程和执行模型
Web服务：.NET Framework会启动Web服务，这种机制将新的应用程序、现有的应用程序以及服务器基础设施集成在一起。

2）应用程序服务器采用的技术：
Microsoft .NET Framework 3.0和2.0
Internet信息服务7（IIS 7）
消息队列
Microsoft分布式事务协调器（MS DTC）
使用Windows Communication Foundation（WCF）构建的Web服务

应用程序服务器基础（Application Server Foundation，ASF）角色服务功能：
ASF
Web服务器
COM+网络访问
Windows进程激活服务（WAS）
Net.TCP端口共享
分布式事务管理

.NET Framework 3.0包含的组件：
.NET Framework
WCF
Windows Presentation Foundation（WPF）
Windows Workflow Foundation（WF）

IIS7通过”应用程序服务器“来承载内部和外部包含静态和动态内容的网站或服务，支持能够通过Web浏览器访问的ASP.NET
应用程序，也支持通过WCF或ASP.NET构建的Web服务。

3）COM+网络访问
该选项会为基于COM+和由COM+承载的应用程序组件添加”COM+网络访问“角色服务，使这些组件能够进行远程访问。亦称
企业服务组件。

Windows进程激活服务：
IIS7使用WAS来实现HTTP上基于消息的激活。WCF通过WAS支持的F非HTTP协议（TCP、消息队列和命名管道）来提供基于消息
的激活。

Net.TCP端口共享服务使多个应用程序能够使用单个TCP端口来接收传入的通信，端口共享（多路复用）一般用在防火墙或
网络约束只允许有限数目的开放端口，或者多个WCF应用程序实例需要同时运行的情况下。

分布式事务：
ACID属性：原子性（Atomicity）、一致性（Consistency）、独立性（Isolation）和持久性（Durability）

WCF和WF主要用在服务器的应用程序中，而WPF主要用在基于客户端的应用程序中
WCF是一套Microsoft编程模型，用于构建面向服务的用于程序，这些用于程序使用Web服务来进行彼此间的通信。开发者使用
WCF来构建安全的、可靠的、基于事务的应用程序，其能够集成不同平台，使现有的系统和应用程序能够进行互操作。

WF是一套Microsoft编程模型，用于构建Windows Server 2008上基于工作流的应用程序，其支持不同环境下的系统（system）
工作流和有人参与的（human）工作流。

WPF是一种Microsoft编程模式，开发者使用其来构建Windows智能客户端（smart-client）应用程序。

4）确保应用程序的可用性
Microsoft对应用程序的可用性定义是：应用程序（和其下运行的服务）为处理用户请求并及时、准确地响应做好准备。
应用程序可用性规划：
特定组织希望雇员使用何种应用程序，基于服务器的还是基于客户端的

直接可访问性（Direct Accessibility）为使软件的可用性更高，应使其能够被尽可能多的人使用，而不需要特殊的适
应性软件或硬件。

应用程序的可复原性指的是：如果已安装的应用程序受损或可执行文件被删除，应用程序能够自动重新安装。

5）System Center Configuration Manager 2007
System Center Configuration Manager的软件更新管理是在Windows Server Update Service（WSUS）的基础上构建的
WSUS能够提供更新的速度和效率，有助于减少漏洞并提供计划的更新。

System Center Configuration Manager 2007提供的功能：
粒度控制：服务级别协议（Service Level Agreement，SLA）调整维护时段的出现频率和持续时间。
自动化的漏洞评定
基于Internet的客户端管理：公钥基础结构（PKI）和安全套接字层（SSL）
LAN唤醒：使更新在上班时间过后执行
与网络访问保护（NAP）集成
灵活的报表生成

System Center Essentials 2007是一套统一的工具，提供的功能与System Center Configuration Manager类似，包括
应用程序更新和复原功能，面向中型网络，具有30台服务器或500台客户机的限制。

WSUS管理基础设施包括Microsoft Update网站（http://update.microsoft.com）和安装WSUS服务器的Windows Server
2008计算机。WSUS服务器使我们能够使用WSUS 3.0”管理控制台“（Update Services）来管理和分发更新，可以在管理
工作站安装该软件来远程管理WSUS 3.0服务器。

自动更新（Automatic Update）是内建于客户端和服务器操作系统的客户端组件，使网络上的计算机能够直接从Microsoft
Update接收更新，也可以从运行WSUS的服务器获取。

WSUS 3.0提高：
改进的部署策略
易用性
性能与带宽的优化
支持复杂的服务器层次结构
改进的API

2、应用程序的部署
1）规划应用程序的部署
System Center Configuration Manager 2007使用WIndows Installer 4.0提供的工具来实现包含规划、测试、部署、分析和
优化应用程序的综合解决方案。该解决方案应实现对所有计算机（包括服务器、客户端和手持设备）进行商业应用程序的无
缝部署。

System Center Essential 2007为管理服务器、客户端、硬件、软件和IT服务提供了一个统一的控制台，使体验更为一致。
该工具构建于WSUS 3.0之上，要求访问SQL Server数据库，如组织中没有SQL Server数据库且无法指定，则默认安装带有报表
服务的SQL Server 2005 Express。

System Center Configuration Manager 2007安装先决条件：
System Center Configuration Manager 2007服务器必须是Windows2000或2003 Active Directory域的成员服务器。
网络上必须安装IIS6.0或更高版本
为配置使用BITS来进行带宽控制的Configuration Manager分发点系统，要求后台智能传输服务(Background Intelligent
Transfer Service，BITS)2.0或更高版本
所有网络服务器必须按照Internet Explorer（IE）5.0或更高版本
管理System Center Configuration Manager 2007的服务器或管理工作站必须安装“Microsoft管理控制台”（Microsoft
Management Console，MMC）3.0
承载System Center Configuration Manager 2007的服务器必须安装.NET Framework 2.0
SQL Server 2005 SP2是唯一支持System Center Configuration Manager 2007数据库的SQL Server 版本

2）为支持System Center Configuration Manager 2007的以下功能，必须安装IIS（6.0或更高版本）
基于BITS的分发点：WebDAV=Web分布式与版本控制扩展（Web Distributed Authoring And Versioning）
管理点
报告点
软件更新点
服务器定位符号

3）规划System Center Configuration Manager 2007部署
预规划：掌握并记录当前计算环境，确定组织的目标，分析风险，创建项目计划文档，建立实验网络以便完成实验项目。
规划：完成项目规划文档，记录内容包括规划的System Center Configuration Manager 2007层次结构、试验项目要求、
该工具的部署计划、其功能的使用方式以及安全与恢复计划。
部署：首先在实验网络上部署该工具，验证设计，然后将System Center Configuration Manager 2007部署到主站，配置
安全和站点设置，建立站点的层次结构，并为其他站点部署该工具（如必要），还包括System Center Configuration
Manager 2007客户端软件的部署。
规划创建清单：部署清单、为软件分发软件更新和操作系统部署创建管理员工作流。

4）System Center Configuration Manager 2007的功能
System Center Configuration Manager 2007为设置的更改和配置提供了统一的工具，使能够通过单个MMC管理单元快速且
高效地为用户提供相关的软件和更新。其提供的功能有：
软硬件清单
分发和安装软件应用程序
分发和安装软件更新（如安全补丁）
部署操作系统
指定期望的客户端配置，并监视客户端对该配置的符号情况
如果某个计算机不符合配要求，则限制其网络访问权限
检测软件使用情况
远程控制计算机以提高故障排除支持

System Center Configuration Manager 2007是基于站点的，能够将以下要求相近的客户端集中为可管理的单元：功能集合、
带宽、连通性、语言和安全性。

System Center Configuration Manager 2007工具提供许多用于管理客户端计算机和设备的功能，当该工具在网络计算机上
安装并配置完毕后，可完成如下任务：
收集软硬件信息
通过Internet管理客户端
分发软件
部署更新：软件更新由元数据和更新文件构成；元数据是有关软件更新的信息，存储在站点服务器数据库中，更新文件是客
户端下载并允许以安装软件更新的文件。
部署操作系统：操作系统部署功能可以捕获和部署映像，通过用户状态迁移工具（User State Migration Tool，USMT）3.0
来实现用户状态迁移，并允许我们控制操作系统映像部署的任务序列。
管理移动设备
管理所需的配置
检测软件使用情况
进行远程管理
限制网络访问
将客户端从休眠状态唤醒

5）LAN唤醒
为使System Center Configuration Manager 2007的“LAN唤醒”生效，必须在客户端计算机上安装System Center Configuration
Manager 2007客户端软件，客户端的网卡必须支持魔术包（magic packet）格式，并且必须配置客户端的BIOS，使网卡接受唤醒
数据包。

System Center Configuration Manager 2007客户端报表能够帮助我们管理客户端和排除故障，通过报表来收集、组织和显示有
关用户、软硬件清单、软件更新、站点状态和其他System Center Configuration Manager 2007操作。

五、终端服务及应用程序和服务器虚拟化
1、终端服务是一种技术，可让相对性能较差的客户端计算机在远程服务器上直接运行要求较高运算量的应用程序，但表现的就好像这些
程序直接在本地计算机上运行的。

终端服务会话Broker（TS Session Broker）服务可简化大量负载平衡终端服务器的设置工作，而终端服务网关（TS Gateway）服务使
得授权用户可通过Internet直接连接到终端服务器，不需要配置VPN服务器。
RemoteApp功能使得可以直接将特定应用程序（而非整个远程桌面）部署给网络中的客户端。

1）规划终端服务器基础架构
终端服务器可为客户端提供通过远程方式访问的桌面。计算机只需要安装有兼容的远程桌面协议（Remote Desktop Protocol，RDP）
客户端，即可连接到承载其他内容的终端服务器。

使用终端服务好处：
使用工作站直接运行最少量的软件，并且只需要很少的维护。
用户数据永远保存在中央位置，而不需要保存在用户的工作站上，可以简化数据的备份和恢复工作。
反间谍和反病毒软件的安装和更新都在终端服务器上进行，可确保所有定义文件都是最新的。
该种情况下不需要更新安装在每位用户工作站上的应用程序，可以集中进行更新。

2）终端服务授权
连接到终端服务器的所有客户端都需要一种称为终端服务客户端访问许可（TS CAL）的特殊授权。该授权是通过TS许可证服务器管理的
，该服务器属于一种角色服务组件，可作为终端服务器部署工作的一部分进行安装。

规划TS许可证服务器的部署时，需要考虑的因素有：
许可证服务器的作用域是怎么的
如何激活许可证服务器
需要多少台许可证服务器
需要部署哪种类型的授权

3）许可证服务器作用域
许可证服务器的搜索范围决定了哪些终端服务器和客户端可以自动发现该许可证服务器，许可证服务器的作用域是在安装TS许可证服务
器角色服务时配置的。

搜索范围有三个选项：此工作组、此域、林
此工作组：该搜索范围通常用在许可证服务器和终端服务角色处于同一台计算机的情况下，这样同一个工作组中的终端服务器和客户端
就可以自动发现许可证服务器。
此域：域搜索范围使得 同属于该域的终端服务器和客户端可以自动申请TS CAL，如果TS CAL需要以整个域为基础购买，则适合使用该选项。
林：搜索范围使得位于同一个Active Directory林中的终端服务器和客户端都可以自动申请TS CAL，但不足之处是，在具有太多域的大型林
中，可能需要频繁申请TS CAL。

许可证服务器的激活：
在TS许可证服务器颁发CAL之前，还必须使用类似Windows产品激活的机制，将该服务器激活。在激活过程中，会获得由Microsoft颁发的数
字证书，以验证服务器的所有权，以及安装在TS许可证服务器上的标示符。

许可证服务器有三种激活方式：
自动连接（推荐）：要求服务器必须使用SSL连接直接访问Internet，在某些防火墙配置下可能无法使用。
通过Internet浏览器：用于在许可证服务器外的其他计算机上操作，适合网络基础架构无法直接从内部网络向外部网络创建SSL连接的环境。
电话联系Microsoft Clearinghouse中心

4）终端服务客户端访问授权
Windows Server 2008 TS许可证服务器可颁发两种类型的CAL：每设备CAL和每用户CAL。
TS 每设备CAL：可以让特定计算机或设备连接到终端服务器
TS 每用户CAL：可以让特定用户账户，用任何一台计算机或设备，连接到启用内的任何终端服务器。

备份和恢复许可证服务器：
要备份TS许可证服务器，需要备份计算机的系统状态数据，以及保存TS授权数据库的文件夹。

要恢复许可证服务器，请重建服务器，重新安装TS许可证服务器角色，恢复系统状态数据，然后恢复TS授权数据库。如果要恢复到其他计算机，
则无法恢复未颁发飞授权，需要重新联系MicrosoftClearinghouse以获得该授权。

加密级别选项可用于保护终端服务器的内容不被第三方窃听，该功能的三个选项：
高：加密使用128位密钥，可被RDP 5.2客户端所支持
符号FIPS标准：该级别使用联邦信息处理标准（Federal Information ProcessStandard）140-1所认可的加密方法，被政府机构使用。
客户端兼容：该方法会通过与客户端进行协商，确定并使用客户端可支持的最强密码。
低：从客户端发往服务器的数据被使用56位密钥加密，从服务器发往客户端的数据完全不被加密。

TS Web访问：
终端服务Web访问（TS Web访问）使得客户端可通过网页链接连接到终端服务器，而不需要在“远程桌面连接”客户端软件输入终端服务器的地址。

5）终端服务器会话Broker
终端服务器会话Broker（TS 会话Broker）角色服务可简化扩容导致的麻烦，并使得负载可在一组终端服务器之间进行平衡，并将客户端重新连
接到组中原有会话所在的服务器上。在TS 会话Broker术语中，一组终端服务器称为一个“场”。

TS会话Broker服务包含一个数据库，其中会记录终端服务器的会话信息。TS会话Broker可配合DNS循环或网络负载平衡功能使用，以便将可获得
分散到不同的终端服务器。

配合负载平衡功能使用时，TS会话Broker服务会监控组中的所有终端服务器，并将新客户端分配到具有最多可用资源的终端服务器上。
如果配合DNS循环使用，客户端依然可用被分散，但其主要优势在于TS会话Broker会记住客户端连接到的目标，断开的会话可用直接重新连接进
行正确的连接，而不需要在其他终端服务器上重新创建会话。
TS负载平衡方式不足之处是只能用于Windows Server 2008终端服务器，Windows Server 2003终端服务器无法参与TS会话Broker场。

管理和监控终端服务器资源的工具：系统监控器和Windows系统资源管理器
系统监控器：需要两类计数器位于Terminal Services和Terminal Services Sessions类别下。
Terminal Services类别的计数器监控的是活动会话和不活动会话的数量以及总数
Terminal Services Sessions类别的计数器监控的是不同资源的使用情况。

Windows系统资源管理器：
Windows系统资源管理器（Windows System Resource Manager，WSRM）是Windows Server 2008上一个可安装的功能，该功能可控制资源的分配情况。
WSRM包含4个默认策略，也可创建自己的策略。其中有两个策略对需要负责规划和部署终端服务基础架构的人比较有用，分别是Equal_Per_User(每用
户均等)和Equal_Per_Session(每会话均等)

6）终端服务网关
TS网关可让Internet客户端用安全、加密的方式访问位于企业防火墙内部的终端服务而不需要部署虚拟专用网络（VPN）解决方案。可让用户在自己
家里就与企业桌面或应用程序进行交互，而不需要麻烦地配置VPN，也不需要使用来自不同供应商的网络地址转换（NAT）网关或防火墙。
TS网关需要通过RDP协议使用安全超文本传输协议（HTTPS）
TS网关服务器可使用连接授权策略和资源授权策略仅配置，主要取决于不同的终端服务器访问方式以及网络资源的具体情况。
连接授权策略可实现基于管理员预先指定的条件进行访问，而资源授权策略可根据用户账户属性将访问分配给指定的指定服务器资源。
连接授权策略特殊之处在于TS网关服务器还可配合网络访问保护（Network Access Protection，NAP）功能一起使用。

2、服务器和应用程序虚拟化
1）Hyper-V
Hyper-V是Windows Server 2008中的一项功能，让我妈在x64架构的Windows Server 2008中运行虚拟化的计算机。Hyper-V较Virtual Server 2005 R2
是直接作为角色内建于操作系统中的，在操作系统看来，并不是一个应用程序，还可让我们运行64位虚拟机。

通过Hyper-V在Windows Server 2008上实现的虚拟化和传统方式相比，有如下优势：
硬件资源的使用效率更高：充分利用服务器的处理器和内存资源
可用性更高：将服务整合到一套硬件平台上，可以降低成本和维护费用。通过冗余技术（群集或可热交换硬件，如处理器、内存、电源和硬盘）可以用
低成本实现更高级别的可靠性。
只需要偶尔提供的服务：企业CA
角色沙盒：沙盒是一个用于描述服务器资源划分的术语。通过划分，同一台服务器上的不同用于程序或服务之间就不会产生影响。将服务器用于程序和
角色运行在各自独立的虚拟化环境中，确保一个进程出错不会影响其他进程。
更大的容量：通过给宿主服务器添加处理器和内存，即可提升容量，可以在虚拟服务器要求增加时，为其分配更多资源。
更好的可移植性：
更简单的备份和恢复：卷影复制，System Center Virtual Machine Manager使得我们可以在存储区域网络（SAN）中来回移动虚拟机，甚至可以在宿主
之间迁移虚拟机。

2）创建虚拟机
为虚拟机指定名称和位置：避免将虚拟机放在宿主操作系统所在的卷上。
指定内存分配情况：所有活动虚拟机所分配的内存总数以及宿主操作系统占用的内存数量的总和不能超过宿主计算机的物理内存数。
指定网络设置：
指定虚拟硬盘：虚拟机使用平坦文件存储硬盘数据
指定操作系统安装选项：映像文件、光驱安装或WDS

Windows Server 2008 Datacenter Edition（x64）包含不限数量的虚拟宿主授权
Windows Server 2008 Enterprise Edition（x64）只包含4个授权

3）对现有服务器进行虚拟化
对传统硬件上安装的服务器进行虚拟化处理的工具：
Virtual Server Migration Toolkit（VSMT）
System Center Virtual Machine Manager
这两个工具都兼容Hyper-V和Virtual Server 2005 R2

如果只有很少数量的服务器需要虚拟化，适合使用VSMT，是一个命令行工具，并使用XML文件存储迁移过程在用到的配置数据，但VSMT工具不能用于管理
虚拟化的服务器，是一个功能单一的工具，只适合将原有服务器迁移到虚拟化的环境。

如果需要在一个位置管理大量虚拟机，考虑使用System Center Virtual Machine Manager，进行大量的基础架构投入，并且其主要功能是管理大量虚拟
化服务器的部署，而不仅仅是管理分支办公室的虚拟化服务器环境。

System Center Virtual Machine Manager可完整集成于Windows PowerShell，无论是管理物理还是虚拟的环境，都可实现更大的灵活性。
System Center Virtual Machine Manager要求提供SQL Server数据库连接，System Center Virtual Machine Manager需要使用数据库存储虚拟机的配置
信息。

System Center Virtual Machine Manager还可实现功能：
监控环境中的所有虚拟化服务器
监控环境中所有Hyper-V宿主
如果连接到光纤通道SAN环境，还可将虚拟化的服务器从一台Hyper-V宿主移动到另一台宿主中
将虚拟化的服务器在库之间移动
委派权限，没有管理权限的用户也可以创建和管理自己的虚拟机

4）管理虚拟化的服务器
Hyper-V的管理是通过Hyper-V管理器控制台进行的，该控制台可用于管理虚拟网络，编辑和查看磁盘，抓起快照，恢复到快照，删除快照以及编辑每个
虚拟机的设置，将虚拟硬盘加载为宿主服务器上的卷。

快照：虚拟机的时间点备份，该功能使得我们可将操纵系统用其他技术无法比拟的速度快速回滚为以前的状态。
授权：
修改硬件设置：集成服务使得信息和数据可以直接在宿主和虚拟机之间交换

使用相对权重方式进行限制的优势在于，不需要在给宿主添加或删除虚拟机后重新调整分配的百分率。只需要添加新的虚拟机，分配相对权重，随后
Hyper-V即可自动决定虚拟机可使用的系统资源的百分率。

5）终端服务RemoteApp
RemoteApp和普通的终端服务会话有所不同，因为前者不需要连接到用于显示远程计算机的桌面的窗口，而是可直接显示在终端服务器上执行的应用程序。
该技术主要优势在于，应用程序需要的所有内存、磁盘和处理器资源都是由承载该应用程序的终端服务器提供的，而不是由客户端计算机提供。这样需要
大量内存和CPU资源才能运行的应用程序就可以在硬件配置不足，无法按照传统方式安装和运行的客户端计算机上更迅速运行。

RemoteApp优势：
应用程序的更新更易于部署
应用程序的升级路径更简单

三种方法将TS RemoteApp部署给企业中的客户端：
创建RDP快捷方式文件，并将该文件分发给客户端计算机
创建并分发Windows Installer包
让客户端连接到“TS Web访问”网站，从页面上的链接启动RemoteApp应用程序

使用TS Web访问方式部署RemoteApp应用程序不足之处在于，TS Web访问网站必须位于承载了该 应用程序并且为用户提供服务的终端服务器上，才能接受访问
无法兼容通过TS会话Broker管理的终端服务器场。TS Web访问非常适合单台终端服务器的部署环境，不适合负载平衡终端服务器组。

RemoteApp用户依然必须是终端服务器上Remote Desktop Users组的成员，如果RemoteApp需要被部署到同时承载了域控制器的服务器上，则需要修改“允许通过
终端服务登录”策略，以启用RemoteAPp访问。

6）微软应用程序虚拟化
Hyper-V可为整个操作系统以及系统承载的不同应用程序和服务创建独立的分区空间，而应用程序虚拟化技术还可实现更强大的应用。为特定应用程序创建分区
空间。微软应用程序虚拟化（Microsoft Application Virtualization）=之前的SoftGrid

虚拟化的应用程序需要在客户端计算机上执行，这种执行需要在名为silo的专用虚拟化空间中进行，而且和在本地执行的应用程序之间是完全分割的。
RemoteApp则是在宿主终端服务器上执行应用程序，并使用远程桌面技术将应用程序的执行结果显示在本地计算机上。

六、文件和打印服务器
1、管理文件和打印服务器
对于计算机网络，企业中的用户最关心的是两个功能：创建文件，并将其保存在易于访问的位置的能力；以及轻松简单的文件打印能力。
1）规划“文件服务”服务器角色
文件服务器可提供集中的网络位置，供用户存储文件，并与网络上的其他用户共享文件。
为实现集中管理、备份和恢复，以及实施卷影副本功能，需要将用户的文件保存在文件服务器上，而非某台计算机中，不过用户通常还需要用于脱机使用自己
文件的工具。

文件服务服务器提供角色服务有：
共享和存储管理（由二五年级服务提供）
分布式文件系统（DFS）
文件服务器资源管理器（FSRM）
网络文件系统服务（NFS）
Windows搜索服务
Windows Server 2003文件服务
Windows Server Backup
SAN存储管理器
故障转移群集
多路I/O(输入/输出)功能

2）共享和存储管理
共享和存储管理使用Microsoft服务消息块（SMB）2.0协议共享文件夹内容，并管理共享的文件夹。
通用Internet文件系统（Common Internet File System）

通过使用“设置共享文件夹向导”，可实现如下功能：
指定要共享的文件夹或卷，或新建要共享的文件夹
指定用于访问该共享资源的网络共享协议
为要共享的文件夹或卷更改本地NTFS权限
配置共享访问权限、用户限制以及对共享资源的脱机访问
将共享资源发布到分布式文件系统（DFS）命名空间

网络文件系统（NFS）服务：针对共享资源指定基于NFS的访问权限
文件服务器资源管理器：为新的共享资源应用存储配额，并限制可在共享中保存的文件的类型

只有可用的磁盘或存储子系统，就可以使用“设置存储向导”实现操作：
选择要创建的磁盘
指定卷的大小
分配驱动器号或装载点
格式化卷

3）LUN
LUN代表存储子系统的分区，可包含磁盘、磁盘中的区域、整个磁盘阵列或磁盘阵列中的区域。
LUN通过逻辑标示符简化存储的管理，通过LUN即可分配访问和控制权。

如果要在磁盘存储子系统上创建LUN，需要满足条件：
存储子系统支持VDS
服务器上安装了该存储子系统的VDS硬件提供支持
子系统中有可用存储空间
存储子系统直接连接到服务器，或可通过网络访问。

4）分布式文件系统（DFS）
DFS在Windows Server 2008中，该功能包含两个技术，即DFS命名空间和DFS复制，这些功能提供容错性
灵活性更高的文件共享和复制服务。

DFS命名空间可供将位于不同服务器（以及多个站点）中的多个共享文件夹组成一个或多个具有逻辑结
构的命名空间。该结构提供容错机制，比能在可用时自动将用户连接到本地共享文件夹，而不需要提供
广域网连接进行路由。

DFS复制提供一种多主机复制（Multimaster Replication）引擎，可供跨越本地或WAN连接，对多台服务
器的文件夹进行辅，该功能使用远程差分压缩（RDC）协议，只更新自上次复制后被修改过的文件。

文件服务器资源管理器（FSRM）
FSRM包含的工具可供查看、控制以及管理服务器上数据存储的总量和类型，可使用FSRM为文件夹和卷设
置配额，定义文件屏蔽，并生成存储报告。

5）网络文件系统（NFS）服务
NFS为混合包含Windows和UNIX的企业环境提供了文件共享解决方案。NFS服务 使得我们可在运行Windows
Server 2008和UNIX操作系统的计算机之间使用NFS协议传输文件。NFS服务改进：
Active Directory查询
64位支持
增强的服务器性能：包含文件筛选器驱动，可大幅度降低服务器文件访问的延迟
UNIX特殊设备支持：NFS服务可根据mknod（创建目录、特殊文件和普通文件）功能对UNIX特殊设备提供支持。
增强的UNIX支持

Windows Server 2003文件服务：
文件复制服务（FRS） 和 索引服务

6）可选功能
Windows Server Backup可用于备份和恢复操作系统、应用程序以及服务器上存储的文件和文件夹（cmd->hh backup.chm）
SAN存储管理器可用于对SAN上的一个或多个光纤通道或iSCSI存储子系统设置存储（hh sanmgr.chm）。
故障转移群集：使得多台服务器可以配合工作，提高服务器和应用程序的可用性。如果群集服务器中一个成员故障，其他
节点可通过故障转移提供所请求的服务。
MPIO：可在文件服务器和存储设备之间提供多重数据路径（多重路径）支持，提高数据可用性，需要提供到存储子系统的
冗余连接，多路径可对通信实现负载平衡，并改善系统和应用程序的性能。

2、管理访问控制
访问控制是指允许用户、用户组或计算机访问网络或计算机上对象的操作，该操作涉及权限、权限继承、对象所有权、用户权利
和审核。

访问权限项（ACE）
访问控制列表（ACL）

用户权利的分配决定了用户和安全组所具有的特殊特权以及登录权利，可以为组账户或特定用户账户分配特殊权利。
用户权利和权限有所不同，用户权利会应用给用户账户，而权限会附加到对象。
建议将用户权利应用给安全组，而非具体的用户。通过本地安全策略MMC管理单元调整用户权利。
访问控制项（ACE）会同时在共享层面（共享权限）和文件系统层面（NTFS权限）应用，需要记得在两个位置修改权限

3、使用FSRM配置配额和文件屏蔽策略
Windows Server 2008提供了更好的配额管理功能，不仅可对文件夹应用配额，还可对卷应用，同时可以使用配额模板，
用更快速简单的方法创建配额，创建自定义配额，或根据现有模板应用配额。

配额模板内容：
100MB限制：硬配额，如果达到100%的配额限制，则会给用户和特定管理员发送电子邮件，，并将事件写入事件日志。
针对用户的200MB限制报告
200MB限制，50MB扩展
250MB扩展限制
监视200GB卷的使用情况：软配额
监视500MB共享：软配额

管理文件屏蔽：该功能控制用户可以保存的文件类型，并会在用户尝试保存不允许类型的文件时方式通知。扩展文件
屏蔽规则灵活性。

管理存储报告：FSRM提供一个”存储报告管理“，可以生成合存储有关的报告，安排创建周期性的存储报告，更好地判
断磁盘使用的趋势，并监控有关保存未经授权文件的企图。

4、打印服务
行式打印机后台程序（Line Printer Daemon，LDP）
打印设备是指用于将内容打印出来的物理设备，而打印机是指用于控制打印设备的工具。

1）管理打印机实体
打印队列：是打印设备的具体呈现，通过打印队列，可以看到活动的打印作业以及作业的状态。
打印池服务：打印服务器只有一个打印池服务，该服务即可管理服务器上的所有打印作业和打印队列。

十一、群集和高可用性
1、当今业务环境要求能够对关键业务应用程序实现不间断访问：如数据库、Web应用程序、电子邮件和通信系统以及Internet访问
导致服务器出现故障并造成应用程序最终用户停机的因素有：网络连接、数据安全性以及环境因素
Windows Server 2008构建于Windows Server 2003的高可用性框架之上，并提供了用于增强服务器以及服务器上运行的关键业务
应用程序可用性的工具。

1）Windows Server 2008支持两种主要的群集方法：网络负载平衡（NBL）和服务器群集
第三种方法：DNS循环或通过DNS记录提供额外的可用性。

通过DNS循环和NBL用多台服务器分担应用程序负载以及增强可用性的方法。
减少单点故障是提供可用性的关键，但导致很高的成本
提供冗余的路由器和交换机通常并不需要太多钱，但需要提供冗余热交换站点或具有冗余数据存储的物理位置，则成本将飙升。
使用专用WAN链路通常可在主站点和热交换站点直接提供足够的带宽，对数据进行实时复制，同时需要用计划中和计划外的灾难
模拟，对备份和冗余策略进行测试。
创建步骤完备的灾难恢复规划也是应对可能发生的故障的关键。

2）规划可用性策略
DNS循环和NLB是确保应用程序可用性的两项技术。
如果能将请求分散到多台服务器，则任何特定服务器的负载都可以降低。
DNS循环和NLB都可用于具有自己的数据存储的应用程序。每台参与此类群集的服务器（或主机）需要使用自己的数据集，而故障
转移群集则需要使用共享的数据集。
某些应用程序，如Internet信息服务（IIS）以及代理服务器非常适合使用DNS循环或NLB，因为这些服务主要负责为一次性请求
提供，而不需要由同一台服务器处理整个会话的所有请求。

故障转移群集：原称服务器群集，可创建一组计算机，所有计算机都能访问相同的数据存储或磁盘资源或网络共享。
运行在故障转移群集上的应用程序必须能支持群集。

DNS循环可由一台DNS服务器为同一个主机名的解析提供不同的IP响应。
DNS循环技术即掩码排序（netmask ordering）用于为查询客户端提供IP地址。如果启用掩码排序，DNS服务器将尝试返回与查询
客户端在同一个子网内的主机的IP地址。

3）启用DNS循环和掩码排序：
管理工具->DNS管理器->DNS服务器属性对话框->高级->选中“启用循环”和“启用网络掩码排序”
Run->cmd->nslookup www.contoso.internal localhost

使用DNS管理器创建DSN循环配置：
DNS管理器控制台是在Windows Server 2008中对DNS执行日常管理工作的主要工具。
DNS循环项的创建需要两条或多条记录，通常是A记录，并且需要使用相同的主机名。

2、配置Windows网络负载平衡
1）DNS循环是一种简单的分散请求方法，但Windows Server 2008 NLB更强大，可以为应用程序提供更好的可用性。通过使用NLB，管
理员可以配置多台服务器以群集的方式工作，并用近乎实时的方式控制群集的使用。

NLB的运行和DNS循环有所不同，NLB需要在每台主机上使用虚拟网络适配器。该虚拟网络适配器有一个IP和一个介质访问控制（MAC）
地址，并且需要由负责平衡群集中的每台主机共用。从NLB群集请求的客户端需要将请求发往虚拟适配器的IP地址，随后该请求可被
群集中任何一台服务器处理。

如果在群集中添加或删除了节点，NLB会自动重新进行必要的配置。管理员可以通过“NLB”管理器界面或命令行工具添加或删除节点。
NLB群集内的服务器互相之间需要保持不间断的通信，这样才能决定哪台服务器是可用的，该过程称为心跳检测（heartbeats）和收
敛。加入NLB群集的服务器需要持续发送心跳信号，这些信号将发往NLB群集中的下一台服务器。如果有连续的5个（默认值）心跳信
号丢失，则就会开始收敛。收敛是指其余主机确定群集状态的过程。

在收敛过程中，其他主机会监听服务器的心跳信号，以确保最高优先级的主机，随后该主机就会充当NLB群集的默认主机。一般来说，
有两种情况会触发收敛操作：第一个是丢失心跳信号；第二个是管理员在群集中删除或添加了额外的服务器。通过收敛，心跳信号会
减半。另一种不常见的收敛原因是主机配置被更改（调整主机优先级）。

2）向NLB群集添加主机
NLB需要通过“网络负载平衡管理器”MMC管理单元进行配置。网络负载平衡管理器可以使用“服务器管理器”的添加功能命令安装。
通过使用网络负载平衡管理器，即可向NLB群集中添加主机，另外在每次使用NLB管理器群集后，需要确保刷新群集信息，因为群集的
相关信息都会在上一次使用NLB管理器连接到群集后缓存起来，而这些信息可能已经过期。在给群集添加新主机后，只有在配置信息传
播到群集中所有其他主机中之后，该主机才能在群集中处于联机状态。
http://technet.microsoft.com/zh-cn/library/cc753744.aspx

在管理NLB群集以及添加主机时，必须使用Administrators组成员账户登录，或至少需要针对该群集被委派了相应的权限。
主机列表是一种纯文本文件，其中用列表形式列出了所有群集主机，每个主机用一行显示。
群集参数 包括群集IP地址、子网掩码、Internet名称以及操作模式。

群集操作模式：
NLB群集操作模式有两种:单播和多播。群集中所有服务器必须使用相同的操作模式，即NLB群集中不能混合包含两种不同模式。
单播：为虚拟网络适配器创建的MAC地址会被群集中所有参与者共享。在单主服务器（只有一块网卡的服务器）中，该群集的
虚拟MAC地址在逻辑上取代了该服务器上物理网卡的MAC地址，因此服务器依然可以保留原有的IP地址，但会将该地址解析为新
的虚拟网络适配器的MAC地址。意味着只有和该服务器在同一个子网内的计算机才能与该服务器通信，无法与群集中的其他服务
器通信，解决该问题，可以在主机上安装两块网卡，并使用单播模板。第一块网卡参与群集，另一块则用于管理和服务器间通信。

多播：在NLB多播模式中，服务器会保留自己原有的MAC地址以及原有IP地址，同时还保留为群集创建的虚拟MAC地址和虚拟IP地址。
到原服务器的通信依然可以进行，而多播将用于群集通信。某些网络设备，如交换机基础架构，必须能够支持多播模式的多播MAC
地址，才能使用多播模式的NLB。

IGMP多播：在IGMP多播模式中，将使用Internet组管理协议。IGMP多播可以改善网络性能，并使得多播客户端可以向IGMP多播服
务器注册。在该操作后，多播通信就可以只转发到连接到其他多播客户端的交换机端口或干路，可以改善网络通信的性能，IGMP
多播可确保交换机不被通信所淹没。

不同操作模式区别：单播和多播两种模式主要不同在于，要使用多播模式，所有网络设备必须能够支持多播MAC地址。其他不同则
包括，多播模式下，服务器会保留原有的IP地址和MAC地址，而单播模式下，服务器之间无法直接通信。

NLB端口规则：用于控制特定端口的通信是如何被群集处理的。端口规则在NLB群集内所有主机上必须一致，通常NLB管理器可以直
接设置该选项，然而某节点企图加入群集，并使用了不同的规则，该节点将无法加入。

在创建NLB群集端口规则时，必须配置恰当的筛选模式，配置该模式使得我们可以指定是否只有群集中的一个节点、某些节点或所
有节点需要在会话中响应来自某一客户端的请求。

3）三种筛选模式：
单一主机：如果配置使用单一主机筛选模式，所有发往群集IP地址的通信只要匹配端口规则，就会有群集中固定的一台主机进行处理。
禁用此端口范围：该选项可用于告诉群集不要响应到这些端口的通信。由客户端发往群集这些端口的通信将被自动丢弃。
多个主机：多个主机筛选模式使得群集中所有节点可以处理发往群集的通信。多个主机筛选模式有三个选项：
无：所有请求平均分配给整个群集，哪怕客户端已经建立了会话。
网络：该方式类似掩码排序，会将客户端导向以子网计算最近的节点。
单一：在客户端发出请求后，该会话中所有后续请求都将导向群集的同一个节点。。某些要求有态数据的会话，如SSL Web
应用程序或终端服务器会话等即可使用群集，同时也是端口规则的默认筛选模式。

3、DNS循环和网络负载平衡的比较
1）和网络负载平衡相比，DNS循环的不足：
无法对负载的分散进行控制：因为无法控制客户端如何使用DNS查询，无法对使用DNS循环的服务器有效均衡负载。
DNS的存活时间（TTL）可能导致的停机时间
DNS循环无法实现容错：DNS循环无法自动抵消由于DNS循环主机退出导致的中断。
DNS循环不适合用于会话

2）同时使用DNS循环和网络负载平衡
将负载分散到位于不同地理位置的不同数据中心内的过个NLB群集上，是减少群集中出现单点故障问题的方法之一。

4、Windows Server 2008群集工具
无论是DNS循环还是NLB，都需要让应用程序使用独立的数据存储，而Windows Server 2008的故障转移群集可以让分散在不同系统中的同一个
应用程序使用共享数据。

故障转移群集也称服务器群集，可用于Windows Server 2008 Enterprise和Datacenter Edition，不能用于Standard和Web Edition
服务器群集的主要特点是，可使用共享存储的应用程序数据。服务器群集比NLB功能更强，通过使用服务器群集，数据可在所有参与者之间共
享，而NLB群集的每个参与者只能使用独立的数据副本。

典型配置的群集可使用共享磁盘技术，如RAID（独立磁盘冗余阵列）或SAN（存储区域网络）保存共享的数据存储。，该种方式群集通常需要
在物理上处于同一个位置。跨越广域网（WAN）实现实时数据复制的成本实在太高。

1）RAID是一种非常成熟的方法，可实现数据保护，并可使得多个物理磁盘组合成一个更大的逻辑磁盘，同时使用。RAID有多种不同级别，每
种级别RAID需要进行不同配置。

RAID 0 ->该级别需要将两块或更多磁盘组合成一个大的单元，无法提供冗余和数据保护，RAID 0中一块磁盘的故障将导致所有数据的丢失。
RAID 1 ->通称镜像，需要使用两块或更多磁盘，并在每块磁盘上保存数据完全一致的副本，RAID 1集的空间大小等于组成集的所有成员中
有可用空间最小的磁盘。
RAID 5 ->使用条带技术将校验信息分散保存在组成集的每块磁盘上。RAID 5最少需要使用三块磁盘，并且提供比RAID 1更好的容错特性，
因为就算集中有一块磁盘出现故障，阵列依然可以正常使用。很多RAID控制器可使用热备份磁盘，可以使用4块或更多磁盘，一
旦一块磁盘出现故障，不会造成停机，备份磁盘可立刻接手工作。
RAID 6 ->提供两套校验信息，而非仅仅提供一套，因为就算两块磁盘同时出现故障，阵列依然可以正常使用。
RAID 10->结合RAID 1的镜像以及RAID 0的条带特性，可创建容量更大但依然提供冗余的阵列，因此如果可使用该模式，就不用继续使用
RAID 1阵列保护数据。

在配置实现冗余的RAID阵列时要注意，RAID 1只需要两块磁盘即可使用，而RAID 5至少需要三块。RAID 1主要用于系统卷，可为操作系统
提供最基本的冗余，而RAID5或6主要用于数据卷。

2）考虑故障转移群集时，需要考虑使用的故障转移模式、要部署的应用程序的类型以及群集策略。
要部署的应用程序类型：单实例和多实例
单实例应用程序：一次只能在一台服务器上运行
多实例应用程序：可共享数据或数据分区，群集中的一个节点就可提供数据的一部分高级数据库服务器以及某些电子邮件服务器可以通过
该方式使用。

3）为确保某个应用程序可在群集中正常使用，必须满足如下要求：
群集应用程序必须使用基于IP的协议
需要访问本地数据库的应用程序必须允许配置数据的存储位置
如果无论在群集的哪个节点允许应用程序，该程序都必须访问数据，则需要将这些数据保存到共享的磁盘资源中，并且必须能够使用Services
And Application组进行故障转移。
如果某应用程序只能在本地系统或引导盘上运行和存储数据，则应当选择“节点多数仲裁”或“节点和文件共享多数仲裁”模式，同时还需要
对应用程序数据应用独立的文件复制机制。
如果应用程序遇到网络中断或故障需要转移到其他群集节点，客户端会话必须重新建立连接。除非应用程序重新上线，否则在故障转移过
程中，无法建立客户端连接。如果在网络中断后客户端软件不进行重新连接，而直接超时，则这样的应用程序就不适合使用故障转移（NLB）群集。

5、理解群集概念
Windows Server 2008要求使用相同的处理器架构：同为32位或64位，在一个群集中，无法混用这两种架构。
硬件配置：Microsoft建议对群集的所有节点使用完全相同的硬件配置。
可以使用“卷影副本”服务为群集创建备份，新增的仲裁模式还可改善可用性。
1）群集仲裁模式
仲裁功能可用于决定在群集停止工作之前，可容许的故障数量，该功能主要是为了保护数据完整性，以及防范因为节点间通信故障或失败导
致的问题。

仲裁决定了群集以及其中保护的有关群集组件（网络适配器、存储以及服务器本身）配置方面的信息。
仲裁以注册表中数据库的形式出现的，并被保存在见证磁盘或见证共享中。见证磁盘或共享记录了此类配置数据的副本，这样服务器就可以
随时加入群集，获得该数据的副本，随后成为群集的一部分。
在任何特定时间，都只有一台服务器管理仲裁资源数据，但所有参与服务器都有该数据的副本。

2）在Windows Server 2008故障转移群集中，可以使用四种仲裁模式：
节点大多数（Node Majority）：Microsoft建议在包含奇数个群集节点的故障转移群集中使用该仲裁模式，“节点大多数”群集用在地理位置
或网络位置分散的群集节点中，为成功使用该模式的群集，要求节点间使用非常可靠的网络连接，并需要使用高质量硬件，需要第三方机制
进行后端数据复制。

节点和磁盘大多数（Node and Disk Majority）：在包含偶数个群集节点的群集中使用该仲裁模式，只要有可用见证磁盘，并且半数以上节
点可用，“节点和磁盘大多数”就可正常工作。群集仲裁被保存在所有群集节点都可访问的群集磁盘中，节点需要通过共享存储设备，使用串
行附加SCSI（SAS）、光纤通道或iSCSI连接进行访问。可配合共享存储使用，所有设备需要连接到同一个网络，并且要求使用偶数个节点。

节点和文件共享大多数（Node and File Share Majority）：该模式的仲裁保存在网络共享，非见证磁盘中。可用于奇数个节点，且不使用
共享存储的环境。

无大多数：仅磁盘（No Majority：Disk Only）：建议不要在生产环境中使用该模式，因为包含仲裁的磁盘将面临单点故障问题。适合对
Windows Server 2008内建的或自定义的服务和应用程序进行部署测试时使用，只有见证磁盘可用，哪怕所有节点都出现故障，只有一个节点
正常，群集依然保持正常。

3）使用群集满足业务需求
将服务和应用程序部署到故障转移或NLB群集的主要原因是，此类服务和程序对于业务运作非常关键。群集可提高可靠性，提高容错，并增强
数据已经关键业务操作的可用性。最起码群集本身是非常可靠的，不会导致任何单点故障问题的发生。

故障转移群集用于如下服务器：文件服务器、打印服务器、数据库服务器和后端信息系统

6、配置故障转移群集
1）考虑因素：
排除单点故障问题
并行SCSI设备无法用于存储，建议对群集分区使用NTFS文件系统，同时见证磁盘要求必须使用NTFS文件系统。
任何使用多路径IO的存储设备必须与供应商确认，以确保支持Windows Server 2008的故障转移群集。

验证工作需要进行4类测试：
清单测试：创建节点的组件和设备清单
网络测试：确保网络上何种满足群集要求
存储测试：检查存储设备与群集的兼容性
系统配置测试：验证所有服务器的系统设置

明确支持高可用性的服务和应用程序包括：
DFS命名空间服务器
DHCP服务器
分布式事务处理协调器（DTC）
文件服务器
Internet存储命名服务（iSNS）
消息队列
其他服务器
打印服务器
WINS服务器

2）命令行操作群集
cluster CONTOSO-CLUSTER node MONTREAL /pause | /resume

十二、备份与恢复
1、备份数据
1）共享文件夹的卷影副本
对共享文件夹实施卷影副本可大幅度减少管理员的文件还原工作量，因为如果用户误删除、修改或损坏了文件，几乎可以不再需要管理员的
参与就能恢复。

对于Windows Server 2008中的备份，需要注意的重要特征：
Windows Server Backup无法写入磁带
计划的备份无法保存到网络位置或光存储介质中
使用Windows Server Backup可备份的最小对象是卷
只有本地的格式化为NTFS文件系统的卷才可以被备份
Windows Server Backup备份的文件会被保存为VHD（虚拟硬盘）文件，VHD文件可使用一些软件进行挂载，并直接通过软件读取，或通过虚拟
机软件，如Hyper-V读取

一个卷最多只能保存512个备份
Windows Server Backup的一个重要局限是，只能安排一个机会作业。

2）在进行手动备份时，必须选择使用下来两种卷影复制服务备份类型：
VSS副本备份：如果有其他备份产品也被设置为对当前备份的卷上的应用程序进行备份，使用该选项。保留应用程序日志文件。
VSS完整备份：如果没有使用其他备份产品备份宿主计算机，则使用该选项。更新每个文件的是备份属性，并清空应用程序日志文件。

给“服务器核心”模式的服务器安装wbadmin工具，需要使用命令：
ocsetupp windowsServerBackup
wbadmin enable backup 该命令可用于创建和管理计划备份
wbadmin start systemstatebackup 执行系统状态备份
wbadmin start backup 启动手动一次性备份
wbadmin get versions 查看已经获取的备份的详细信息
wbadmin get items 决定特定备份映像中包含了哪些内容
.
wbadmin start backup -backuptarget:\\Glasgow\Store -include:E:,F:,G: -user:tom@WIN2008.hnhp.com -password:123456@hp.com
echo wbadmin start systemstatebackup -backuptarget:\\Server\Share -user:RemoteUser -password:RemotePassword -quite>>C:\\
scripts\ssbackup.bat

echo wbadmin start systemstatbackup -backuptarget:\\Server\Share -user:RemoteUser -password:Remotepassword -quiet >>
c:\\scripts\ssbackup.bat

在wbadmin工具中，-quiet选项是必需的，因为我们不希望计划的任务因为等待用户的输入而中断。
计划任务必须使用Administrator账户运行，因为wbadmin.exe必须使用管理员特权
如果计划任务需要写入网络共享，则需要将访问网络所需的凭据放置在脚本中，并供计划任务调用脚本。使用EFS将文件加密
通过脚本方式进行备份的主要不足在于，如果目标位置空间不足，备份将失败

2、备份服务器角色和应用程序
1）备份特定服务器角色
唯一可以仅备份系统状态数据的方法是使用wbadmin.exe工具以及start systemstatebackup选项，但有一个很重要的局限，系统状态数据只能
被写入本地卷中，哪怕执行的是手动备份也是如此。
wbadmin start systemstatebackup -backuptarget:F -quiet

组策略对象的备份需要使用“组策略管理”控制台，因此恢复误删除的GPO时，也应该使用该控制台，而不是使用目录服务还原模式。

2）计算机远程备份
计算机远程备份，创建连接的用户在所连接到的Windows Server 2008计算机上必须是Backup Operators组或本地Administrators组成员。
本地Backup Operators组的成员用户无法使用计划备份，只能执行计划外备份，如果用户同时属于本地服务器以及使用Windows Server
Backup控制台连接到的远程服务器的本地Administrators组成员，则可以执行所有备份任务。

3）备份规划的更多考虑因素
使用Windows Server Backup可备份的最小对象是卷，这一限制极大影响了部署之前服务器的配置工作。
备份规划问题对特定卷以怎样的频率进行备份。通过使用“存储报告”功能，可以了解每个卷上文件被修改的频率。
制定妥善的非现场策略，可以确保如果承载服务器的大楼因为火灾、洪水或地震被毁，启用依然可以恢复丢失的数据。

规划非现场备份策略时，注意如下问题：
非现场备份必须保存在安全的位置，应尽量避免员工将备份内容带回家，因为家庭环境并不安全
确保如果数据被加密，解密密钥也包含在非现场备份数据中
确保在恢复站点有足够的设备，这样需要时就可以异地恢复服务器

3、System Center Data Protection Manager
1）System Center Data Protection Manager 2007（DPM 2007）是Microsoft提供的一个高级备份解决方案。主要面向的是更复杂的备份场合
（对生产环境的Exchange Server 2007服务器或SQL Server 2008实例进行备份）

DPM 2007主要优势：
提供字节级备份。在字节级备份中，只有在上次备份后有变化的字节才会写入备份中，极大降低备份数据占据的存储空间

可用于为Exchange、SQL Server以及Office Sharepoint Server提供完全不丢失数据的恢复。该功能借助内含的时间点数据库备份功能以及
应用程序日志功能实现该目的。在配合使用后，应用程序数据可精确恢复到发生故障前那一刻的状态下，而不仅仅是上一次备份的状态下。

可在分支办公室服务器上安装代理软件，将备份数据通过WAN链路转发。代理软件可用于将备份数据通过WAN链接转发，可以将远程备份集中
保存到本地介质。

支持备份到直接附加存储、光纤通道SAN以及iSCSI SAN设备，不支持USV和IEEE 1394设备

完善的报告功能，包括保护的成功和失败以及备份介质的使用率。

可用于System Center Operations Manager 2007的管理包。该功能可以集中管理多台DPM 2007服务器，以及安装了DPM 2007代理的其他服务器
的数据保护和恢复状态。适合在包含大量DPM 2007服务器以及客户端的环境中使用。

4、灾难恢复
1）如果要使用Windows Server Backup工具执行恢复工作，用户账户必须属于Backup Operators或Administrators组的成员，或必须被委派相应的
权限。使用ntbackup.exe进行的备份无法使用Windows Server Backup或wbadmin.exe进行还原。

虽然在备份时，服务器可能受到BitLocker的保护，但在执行卷、操作系统或整个服务器的恢复工作时，BitLocker设置并不会被恢复，必须在
恢复完成后重新应用BitLocker，以确保卷的加密。

2）恢复文件或文件夹
虽然Windows Server Backup只能在卷的层面上进行备份，我们可以使用该工具对文件和文件夹进行恢复。
在恢复文件或文件夹时，需注意的问题：
文件或文件夹的备份日期
文件或文件夹的位置
是否恢复文件或文件夹的安全设置
希望将文件或文件夹恢复到的位置
如果恢复到的位置存在相同文件，如何处理

3）恢复应用程序和应用程序数据
与特定程序有关的恢复可恢复应用程序、设置以及相关的应用程序数据，通过使用Windows Server Backup，只能对以及在该程序中注册过的应用
程序进行恢复，而注册工作是在安装该应用程序的时候自动进行的。

恢复卷：卷的恢复会直接恢复卷上的所有内容，适合用于因为磁盘故障丢失了整个卷，但不希望进行完整操作系统或服务器恢复工作的情况。在执
行恢复时 ，最重要的一个问题是，执行恢复后，目标位置是所有数据将丢失，同时在卷恢复过程中，可一次恢复一个或多个卷。

wbadmin get versions
wbadmin Start SystemStateRecovery -version:MM/DD/YYYY -HH:MM

如果域中只有一个DC，就不需要进行授权还原，因为不存在Active Directory数据库的其他副本。

4）引导到目录服务还原模式
启动过程中按下F8键，选择目录服务还原模式
使用管理员身份打开命令提示符窗口，运行命令：Bcdedit /set safeboot dsrepair
删除该引导选项：Bcdedit /deletevalue safeboot
管理工具->系统配置->选择“Active Directory”->安全启动选项->输入DSRM密码（安装域控制器时设置的密码）

如果已忘记，则通过以下步骤重设：
使用属于Domain Admins组成员的账户登录
用管理员身份打开“命令提示符”窗口，并运行ntdsutil
随后在DSRM提示符下，进行下列操作
重设本地DC的DSRM密码，运行reset password on server null命令，输入并确认新密码
为其他DC重设DSRM密码，运行reset password on server servername命令，其他servername是要重设密码的服务器的FQDN名称
在DSRM提示符下，输入q。在ntdsutil提示符下，输入q退出。

在将DC重启到DSRM模式，并使用管理员账号和DSRM密码登陆后，要执行非授权还原，只需要使用wbadmin工具还有系统状态数据。
如果希望对SYSVOL执行授权还原，则可以使用-AuthSysVOL选项进行系统状态还原。该选项只能在需要将SYSVOL回滚到创建备份时的状态时使用

在恢复完系统状态后，需要使用ntdsutil工具进入授权还原模式，在该模式下，即可通过引用可分辨名称的方式还原对象。还原某对象使用命令
Restore Object；还原某容器使用命令Restore Subtree

Restore Subtree "OU=Platypus,DC=Tailspintoys,DC=COM" ->恢复Tailspintoys.com域中名为Platypus的OU以及其中的所有内容。
如果对象有后部连接（back link），在执行授权还原操作时，还会在目录中生成一个LDIF文件。
在恢复被删除的对象时，必须在每个包含该组件对象的域中运行该LDIF文件
Ldifde -I -k ldif.Filename

5）恢复被删除的组策略对象
授权还原无法恢复被删除的GPO，GPO必须使用“组策略管理”控制台进行恢复。打开GPMC，右击“组策略对象容器”，选择“管理备份”

Active Directory数据库挂载工具（dsamain.exe）可用于创建和查看保存在Active Directory目录服务中的数据，而不需要将域控制器重启到“
目录服务还原模式”。通过使用dsamain.exe工具，可将Active Directory的当前状态和不同快照的状态进行对比，而不需要使用任何设备进行
恢复。如果需要判断Active Directory的某个特定备份是否包含需要还原的对象，则可以使用该工具。

6）关键术语
授权还原（authoritative restore）
裸机恢复（bare metal recovery）
目录服务还原模式（directory services restore mode）
系统状态备份（system state backup）