作者:张栋,刘晓辉等
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
Windows Server 2008组网技术详解(系统与安全篇)试读:
前言
2008年2月27日,Microsoft公司正式发布Windows Server 2008。Windows Server 2008内置的虚拟化、网络访问保护、服务器管理器、高级安全Windows防火墙、IPSec策略等新鲜功能,令众多网络用户眼前一亮。在很短的时间内,许多用户开始尝试并将这些新功能应用到生产环境。尽管Windows Server 2008提供了如此强大的网络功能,但美中不足的是管理方式仍未能摆脱常规服务器管理的“复杂”模式,简便易用未能得到充分体现。2009年10月22日,Microsoft公司正式发布了Windows Server 2008 R2。Windows Server 2008 R2相对于Windows Server 2008而言,看似仅增加了一个“R2”包,其实并非仅仅是对Windows Server 2008 系统功能的扩展,更重要的是管理方式的变革。自从 Microsoft 的Windows 7操作系统推出测试版以来,许多用户尝到了甜头,于是步步紧跟,从Beta版到RC版,再到RTM版,原因很简单——比其他操作系统易用。Windows Server 2008 R2正式借鉴了Windows 7“简便易用”的特点,在Windows Server 2008的基础上进行了升级,因此,也可以将Windows Server 2008 R2成为Windows 7 Server。无论是Windows 7还是Windows Server 2008 R2都只发布了64位版本,更是性能升级的重要体现。“信息安全”是一个包罗万象的广义概念。系统安全只是其中之一。在此之前,可能仍有许多人认为Windows操作系统是不安全的,其实并非如此。从Windows Server 2008开始,无论是从安全性还是可靠性方面都得到了广大用户的认可。Windows Server 2008 R2的推出更是体现了Microsoft在系统安全领域的重视程度和取得的成果。系统安全涉及多个方面,仅有系统本身超强的安全功能是不够的,更重要的是取决于管理员的维护和管理。本书以Windows Server 2008 R2操作系统的安全配置和管理为基础,配合大量的操作演示,从多个角度揭开Windows Server 2008 R2系统神秘面纱。全书重点介绍了Windows Server 2008 R2系统特有的新功能,如Active Directory域服务新功能、控制台管理、远程桌面网关、组策略管理等。除此之外,还介绍了Microsoft提供的一些功能强大的网络管理工具,包括SCCM、SCOM等。本书由张栋、刘晓辉编著,马倩、白华、李海宁、田俊乐、陈志成、王延杰、刘红、赵卫东、刘淑梅、杨伏龙、李文俊、王同明、石长征及郭腾等也参与了部分章节的编写工作。笔者长年从事系统管理、局域网搭建与配置工作,具有较高的理论水平和丰富的实践经验。曾经出版过数百部计算机类图书,均以易读、易学且实用的特点受到众多读者的一致好评。本书是笔者的又一呕心沥血之作,希望对大家的操作系统安全配置与维护工作能有所帮助。由于作者水平有限,并且本书涉及的知识点很多,书中难免有不足之处。如果您对本书有任何问题、意见或建议,可发邮件至guopengfei@phei.com.cn与我们联系。笔者2009年11月第1章 Windows 管理控制台Windows管理控制台是一个框架,通过提供在不同工具间通用的导航栏、菜单、工具栏和工作流,来统一和简化Windows操作系统中的日常系统管理任务。使用Windows管理控制台中的管理单元,可以集中有效地管理网络、计算机、服务、应用程序和其他系统组件。控制台本身不执行管理功能,但承载了能够执行管理功能的各种Windows管理单元和非微软管理单元,例如服务、磁盘管理、设备管理器、事件查看器等。1.1 Microsoft管理控制台模块化管理是Windows Server 2008系统的显著特点之一,Microsoft管理控制台(MMC, Microsoft Management Console)自然也就成了系统管理的主要方式。默认情况下,系统已经集成了一些常用的管理控制台,如计算机管理、服务器管理器、高级Windows防火墙等。用户也可以根据需要,添加相应的管理单元,创建新的管理控制台。1.1.1 MMC控制台MMC用于创建、保存并打开管理工具,以便使用这些管理工具来管理硬件、软件和Windows 系统的网络组件。MMC可以运行于各种 Windows 9x 和 Windows NT 操作系统上,以及 Windows XP Home Edition、Windows XP Professional 、Windows Server 2003和Windows Server 2008家族的操作系统上。在Windows 2000以前版本中的管理工具都是一些可执行的程序,只能在安装了相应产品的计算机上执行相应的管理功能。Windows 2000及以后的应用程序(如Microsoft Exchange、Microsoft ISA Server、Windows XP等)都支持MMC。使用MMC,除了有统一的、标准的管理界面之外,还可以在一个MMC的管理界面中管理所有的、本地的或远程的计算机上的相应信息。如图1-1所示为包括了常用管理程序的MMC的管理界面。MMC有统一的管理界面,MMC控制台由三个窗格组成。左边窗格显示控制台树。控制台树显示控制台中可以使用的项目。中间的窗格包括详细信息窗格,详细列出这些项目的信息和有关功能。随着单击控制台树中的不同项目,详细信息窗格中的信息也将变化。详细信息窗格可以显示不同的信息,包括网页、图形、图表、表格和列。当选中某个项目时,在右侧空格中可以对该项目进行相应的操作。每个控制台都有自己的菜单和工具栏,与主 MMC 窗口的菜单和工具栏分开,这有利于用户执行任务。Windows Server 2008系统的MMC控制台版本为3.0,如图1-2所示。图1-1 集成了常用管理工具的MMC图1-2 控制台版本1.1.2 管理单元管理单元是MMC控制台的基本组件,只能在控制台中使用管理单元,而不能脱离控制台运行管理单元。安装与管理单元关联的组件时,任何在此计算机上创建控制台的人员,都可以使用此管理单元(除非受到用户策略的限制)。1. 管理单元和管理单元扩展MMC支持以下两种类型的管理单元:独立管理单元和管理单元扩展。可以将独立管理单元(通常称为管理单元)添加到控制台中,而无须预先添加其他项目。可以将管理单元扩展(通常称为扩展)添加到树中已存在的管理单元或其他管理单元扩展中。启用管理单元的扩展时,其扩展操作为管理单元控制的对象,如计算机、打印机、调制解调器或其他设备。将管理单元或扩展添加到控制台时,管理单元可能显示为树中的一个新项,或者可能将快捷菜单项、附加工具栏、附加属性页或向导添加到已安装在控制台中的管理单元。2. 将管理单元添加到控制台管理员可以根据需要,将单个或多个管理单元以及其他项添加到控制台。此外,还可以将一个特定管理单元的多个实例添加到同一个控制台,以便管理各个计算机或修复损坏的控制台。每次向控制台添加新的管理单元实例时,在配置该管理单元之前,该管理单元的所有变量都按默认值设置。例如,如果将一个特定的管理单元配置为管理远程计算机,然后又添加该管理单元的第二个实例,则不会自动将第二个实例配置为管理远程计算机。通常情况下,只能添加创建控制台的计算机上安装的管理单元。但是,如果计算机是域的一部分,则可以使用MMC下载尚未本地安装、但可用于Active Directory中的所有管理单元。3. 管理单元控制台访问模式建立自定义管理单元控制台时,可以为控制台分配以下两种访问选项中的一种:作者模式或用户模式。每种模式的具体内容如下。● 作者模式:启用管理单元控制台的完全自定义功能,其功能包括添加或删除管理单元、创建新窗口、创建收藏夹和任务板,以及访问“自定义视图”和“选项”对话框中的所有选项。● 用户模式-完全访问:除用户无法添加或删除管理单元、无法更改管理单元控制台选项、无法创建收藏夹或任务板外,此模式的功能与作者模式相同。● 用户模式-受限访问、多窗口:仅提供对保存控制台文件时,树中可见部分的访问权限。用户可以创建新窗口,但不能关闭任何现有窗口。● 用户模式-受限访问、单窗口:仅提供对保存控制台文件时,树中可见部分的访问权限。用户不能创建新窗口。1.1.3 控制台选项MMC控制台是Windows系统中最常用的管理方式之一。如果管理员需要经常调用某项管理任务的控制台,即可将其保存为控制台文件(*.msc),只需执行此文件即可快速运行所需的管理控制台。除此之外,管理员还可以根据需要设置名称、运行模式等相关控制台选项。需要注意的是,修改控制台选项时必须以作者身份或管理员身份进行。第1步,以作者模式打开保存的控制台文件。右键单击已经保存的控制台文件,在快捷菜单中选择“作者”命令,打开控制台窗口,如图1-3所示。此处以“Hyper-V管理器”为例。也可以通过执行如下命令行,以作者模式打开控制台文件。mmc path\filename.msc /a第2步,单击“文件”菜单,选择“选项”命令,显示“选项”对话框,默认显示如图1-4所示的“控制台”选项卡。在文本框中键入新的标题,即可更改控制台名称;单击“更改图标”按钮,即可更改当前控制台的图标,建议根据不同的管理任务,设置不同的控制台图标,以便区分;在“控制台模式”下拉列表中,可以设置当前控制台的默认运行模式,包括“作者模式”、“用户模式-完全访问”、“用户模式-受限访问,多窗口”、“用户模式-受限访问,单窗口”。如果用户选择用户模式中的某种控制台模式,则还可以设置“不要保存对此控制台的更改”和“允许用户自定义视图”选项。图1-3 以作者模式打开控制台文件第3步,单击“磁盘清理”标签,切换至如图1-5所示的“磁盘清理”选项卡。控制台文件的每个用户首选项都保存在配置文件中。由于这些更改聚集在一起,因此占用了大量的磁盘空间。单击“删除文件”按钮,即可删除相关文件,释放磁盘空间。图1-4 “控制台”选项卡图1-5 “磁盘清理”选项卡1.1.4 MMC控制台的应用使用MMC控制台管理本地或远程计算机时,需要有相应管理权限。使用MMC的插件管理远程计算机,就像管理本地的计算机一样方便。需要注意的是,并不是所有的MMC插件,都可以用来管理远程计算机上的所有服务,有些服务则只能在本地计算机上进行管理。1. 添加管理单元使用MMC控制台,可以管理本地或远程计算机的一些服务或应用,这些与安装在要管理的计算机上的程序相关。例如,想管理一台计算机的磁盘,可以在MMC控制台中添加磁盘管理单元,具体操作步骤如下:第1步,依次选择“开始”“运行”,打开“运行”对话框,在“打开”文本框中,键入mmc,如图1-6所示。图1-6 “运行”对话框第2步,单击“确定”按钮,显示如图1-7所示MMC管理控制台主界面。图1-7 MMC管理控制台主界面第3步,依次选择“文件”“添加/删除管理单击”,或者按“Ctrl+M”组合键,显示如图1-8所示的“添加或删除管理单元”对话框。第4步,在左侧“可用的管理单元”列表中,选择欲添加的管理单元,单击“添加”按钮,添加管理单元。如果添加的插件只能管理本地计算机,管理插件会自动添加到MMC控制台中;如果添加的插件也可以管理远程计算机时,则会显示相应的选择界面。这里以添加“计算机管理”为例进行介绍,显示如图1-9所示的“计算机管理”对话框。在该对话框中,可以设置是管理本地计算机,还是管理远程计算机,如果选择“本地计算机”单选按钮,则可以添加管理本地计算机的管理单元,如果选择“另一台计算机”单选按钮,并键入远程计算机的名称或IP地址,可管理远程计算机。这里选择“本地计算机”单选按钮。图1-8 “添加或删除管理单元”对话框图1-9 “计算机管理”对话框第5步,单击“完成”按钮,即可将该管理单元添加到右侧“所选管理单元”列表,如图1-10所示。重复操作,可添加多个管理单元。第6步,单击“确定”按钮,完成并关闭“添加或删除管理单元”对话框,返回MMC控制台,成功添加相应的管理单元,如图1-11所示。图1-10 完成管理单元添加图1-11 添加完所有管理插件的MMC控制台2. 管理本地计算机任务使用MMC可以简化本地计算机的管理。例如,如果管理DHCP服务器,需要从“管理工具”中运行“DHCP”;如果需要管理DNS服务器,就需要运行DNS;如果需要管理证书服务,就需要运行证书服务。在管理多个服务时,需要频繁地从多种服务中进行切换,而使用MMC,则可以将常用的管理服务添加到一个MMC管理界面中,也可以把本地计算机上的所有管理都添加到一个管理界面中。第1步,运行MMC,将本地计算机上的所有欲管理的MMC插件添加到一个MMC控制台中,如图1-12所示。图1-12 添加MMC控制台第2步,依次选择“文件”“保存”,显示如图1-13所示的“保存为”对话框。根据需要设置保存的路径和名称即可,这里将其保存在“管理工具”文件夹下,保存名称为“本地计算机管理”。图1-13 “保存为”对话框第3步,下次使用时,可直接从“管理工具”中运行“本地计算机服务.msc”来管理本地服务。如图1-14所示为管理域用户。图1-14 从MMC控制台中管理域用户3. 使用MMC管理远程计算机的相关服务使用MMC,还可以管理网络上的其他计算机,但必须满足以下两个条件:● 本地计算机和远程计算机必须位于同一个域,并且拥有欲管理计算机的相应权限。● 在本地计算机上已安装了相应的服务或组件。这里以管理网络上的另一台计算机的“计算机管理”为例进行说明。第1步,打开MMC控制台,按下“Ctrl+M”键,显示如图1-15所示的“添加或删除管理单元”对话框。图1-15 “添加或删除管理单元”对话框第2步,在“可用的管理单元”列表中,选中“计算机管理”,单击“添加”按钮,显示如图1-16所示的“计算机管理”对话框。选择“另一台计算机”单选按钮,并在文本框中键入远程计算机的名称或IP地址。图1-16 “计算机管理”对话框第3步,单击“完成”按钮,返回“添加或删除管理单元”对话框。单击“确定”按钮,完成管理单元的添加,如图1-17所示。如果远程计算机开启了防火墙功能,可能会无法正常管理远程计算机。需要在远程计算机防火墙中,将MMC控制台添加到例外中。此时,即可使用MMC控制台管理远程计算机,其操作与管理本地计算机相同,这里就不再赘述。如果在管理远程计算机的时候,出现“拒绝访问”或“没有访问远程计算机的权限”对话框。则说明是当前登录的账户,没有管理远程计算机的权限。此时,可以先保存当前控制台,然后右击控制台文件,在快捷菜单中选择“运行方式”选项,并根据提示键入有相应权限的管理员账户即可。图1-17 管理远程计算机如果希望借助MMC管理远程服务器上的服务器角色,则本地计算机上必须先安装相应的功能组件,“可用管理单元”列表中才会出现对应的管理单元。在“添加功能向导”的“选择功能”对话框中,依次展开“远程服务器管理工具”→“角色管理工具”节点,选择与远程服务器上运行的服务器角色对应的管理工具即可,如图1-18所示。图1-18 “选择功能”对话框1.2 服务器管理器Windows Server 2008 R2操作系统集成了功能强大的服务器管理器控制台,缓解了企业管理和保护多个服务器角色所面临的压力。通过服务器管理器控制台可以管理的内容包括服务器的标识及系统信息、显示服务器状态、标识服务器角色配置问题,以及管理服务器上已安装的所有角色。默认情况下,服务器管理器以随系统自动安装,只需使用本地计算机上Administrators组的成员登录系统即可使用。1.2.1 服务器管理器功能概述服务器管理器是扩展的Microsoft管理控制台(MMC),允许查看和管理影响服务器工作效率的几乎所有信息和工具。使用服务器管理器中的命令可以安装或删除服务器角色和功能,通过添加角色服务增强服务器上已安装的角色。服务器管理器允许管理员使用单个工具就可完成以下任务:● 查看和更改服务器上已安装的服务器角色及功能。● 执行与服务器的运行生命周期相关联的管理任务,如启动或停止服务以及管理本地用户账户。● 执行与服务器上已安装角色的运行生命周期相关联的管理任务。● 确定服务器状态,识别关键事件,分析并解决配置问题和故障。● 使用Windows命令行安装或删除角色、角色服务和功能。1.2.2 角色服务器角色说明服务器的主要功能。管理员可以选择整个计算机专用于一个服务器角色,或在单台计算机上安装多个服务器角色。每个角色可以包括一个或多个角色服务,更好的说法是作为角色的子元素。以下服务器角色在Windows Server 2008 中可用,可以使用服务器管理器进行安装和管理。如图1-19所示是服务器管理器中的“角色”主页。图1-19 “角色”主页1. Windows Server 2008 R2中的角色Windows Server 2008 R2系统中包含的服务器角色如表1-1所示。表1-1 Windows Server 2008 R2系统支持的服务器角色2. 添加服务器角色在Windows Server 2008 R2中,默认没有安装任何网络服务组件,只提供了一个用户登录的独立的网络服务器,所有的角色都可以通过“服务器管理器”添加。第1步,在“服务器管理器”窗口的“角色”主页中,单击“添加角色”超级链接,启动“添加角色向导”,首先显示如图1-20所示的“开始之前”对话框,列出可以完成的工作,以及操作之前的注意事项。图1-20 “开始之前”对话框也可以在“初始配置任务”窗口中单击“添加角色”超级链接,同样可以启动“添加角色向导”。第2步,单击“下一步”按钮,显示如图1-21所示的“选择服务器角色”对话框,在“角色”列表框中列出了所有可以安装的网络服务。如果需要安装哪种服务,只需选中相应的复选框即可。第3步,单击“下一步”按钮,即可开始安装所选择的服务。根据系统提示,部分网络服务安装过程中可能需要提供Windows Server 2008安装光盘。有些网络服务可能会在安装过程中调用配置向导,作一些简单的服务配置,但更详细的配置通常都借助于安装完成后的网络管理实现。3. 删除服务器角色服务器角色的删除同样可以在“服务器管理器”窗口中完成,不过建议删除角色之前确认是否有其他网络服务或Windows功能需要调用当前服务,以免删除之后造成服务器瘫痪。试读结束[说明:试读内容隐藏了图片]