概览:
Windows Server 版本
价值 5 美元的教程
Windows PowerShell 2.0 和 WinRM 2.0
Core Parking
有关 Active Directory 更改的路线图
分支缓存
现在,您已听说、甚至可能已安装 Windows Server 2008 R2,在本文中我通常将其简称为 R2。因为 R2 是增量版本,因此您对 Windows Server 2008 和 Windows 7 已了解的许多信息都适用于它。Windows Server 2008 R2 基于 Microsoft 在 Windows Server 2008 中提供的增强功能构建,此外,它还与 Windows 7 具有相同内核。由于 R2 和 Windows 7 具有相同内核,它们也就具有很多相同的功能和组件,因此,无论您在使用 Windows 7 还是 R2,都可以用大致相同的方式管理这些功能和组件。
和 Windows Server 2008 一样,R2 继续使用模块化技术,以实现语言独立和磁盘映像。Microsoft 使用 Windows 映像格式 (WIM) 磁盘映像在介质上分发 Windows Server 2008 R2。和 Windows 7 一样,R2 使用 Windows 预安装环境 3.0 (Windows PE 3.0) 提供预安装服务,并使用引导管理器提供预引导服务,您可通过该管理器选择运行一个引导应用程序来加载操作系统。在具有多个操作系统的系统上,请使用早期操作系统条目访问引导环境中 Windows Vista 之前的操作系统。
Windows Server 2008 R2 的安装程序同时会在您的服务器上安装 Windows 恢复环境 (Windows RE)。您可通过 Windows RE 访问命令行来进行故障排除、基于系统映像重新进行安装和执行内存诊断。
与 Windows 7 不同,Windows Server 2008 R2 并不包括 Windows Aero 增强功能(Aero Glass、Flip 和 3D Flip 等)、Windows 边栏、Windows 小工具或其他外观增强功能。但是,您可安装桌面体验功能,向服务器增加 Windows 7 桌面功能。增加的 Windows 7 功能包括字符映射、桌面主题、磁盘清理、截图工具、录音机、同步中心、Windows 视频(AVI 支持)、Windows Defender 和 Windows Media Player。虽然服务器具备这些功能使之可像桌面计算机一样使用,但是这些功能会降低服务器的整体性能。
R2 版本简介
除了核心相同之外,Windows R2 与 Windows 7 有很大的不同。对于初学者而言,R2 是 Microsoft 目前所发布的***款只支持 64 位系统的操作系统。具体来说,R2 支持针对 x64 体系结构设计的 64 位系统。对 Itanium 64 位 (IA-64) 处理器的支持不再是 Windows 操作系统中的一项标准。Microsoft 已针对基于 Itanium 的计算机开发了一个单独的 R2 版本。
R2 系列操作系统包括以下版本:
- Windows Server 2008 R2 Foundation Edition,为小型企业提供经济高效的入门级基础。此版本不支持 Active Directory 联合身份验证服务 (ADFS) 或 Hyper-V。它可用于部署证书颁发机构,但是无法承载其他相关服务。此版本支持其他所有角色,但有一些限制。此外,也不支持 DirectAccess 管理和故障转移群集功能。Foundation Edition 支持最多 8GB 的 RAM 和 1 个基座分离的处理器。
- Windows Server 2008 R2 Standard Edition 向网络上的其他系统提供必要的服务和资源。此版本支持 Hyper-V,对其他服务有一些限制,但是不支持 ADFS。它可用于部署证书颁发机构,但是无法承载其他相关服务。此外,也不支持故障转移群集功能。Standard Edition 支持最多 32GB 的 RAM 和最多 4 个基座分离的处理器。
- Windows Server 2008 R2 Enterprise Edition 提供企业级别的可伸缩性和可用性。此版本支持所有服务器角色,并且没有 Foundation Edition 或 Standard Editon 的限制,它还增加了对其他功能(包括故障转移群集)的支持。Enterprise Edition 支持最多 2TB 的 RAM 和最多 8 个基座分离的处理器。
- Windows Server 2008 R2 Datacenter Edition 提供全局数据中心级的可伸缩性和可用性,并且具有支持热添加内存、热添加处理器、热更换内存和热更换处理器的增强功能。Datacenter Edition 支持最多 2TB 的 RAM 和最多 64 个基座分离的处理器。
- 适用于基于 Itanium 的系统的 Windows Server 2008 R2 提供企业级的平台,用于承载关键业务应用程序和实现大规模虚拟化解决方案。此版本并不是为了提供核心服务而设计,它仅支持应用程序服务器和 Web 服务器 (IIS) 角色以及故障转移群集功能。在撰写本文时,尚不支持其他角色。此版本支持最多 2TB 的 RAM 和最多 64 个基座分离的处理器。
- Windows Web Server 2008 提供用于部署网站和基于 Web 的应用程序的 Web 服务。此版本仅包含 Microsoft .NET Framework、IIS、ASP.NET、应用程序服务器和网络负载平衡功能,以及 DNS 服务器、Windows Server Update Services 和 Media Services。此版本支持 32GB 的 RAM 和最多 4 个基座分离的处理器。
至此,我已简要介绍了这个产品系列,下面让我们了解一下 R2 如何工作以及它提供了哪些新功能。
参加价值 5 美元的课程
操作中心(如图 1 所示)是与安全性和维护相关的所有功能的中心。如果内置的诊断功能检测到问题,在操作中心可以找到有关这些问题的信息,并且可以选择获取有关每个问题的更多信息。通常,当您获得有关某个问题的更多信息时,您将同时获得一个可能的解决方案。在图 1 所示的示例中,服务器的声卡和 Intel 主动管理设备有问题。单击“查看消息详细信息”按钮将显示详细的消息,并提供链接以便下载更新的驱动程序,如图 2 所示。
内置的诊断功能并不是总能找到问题或提供解决方案,但是与较早的实现相比,相关流程已有改进。在“维护”面板上,您还可单击“检查解决方案”链接以检查是否有尚未自动识别的问题。
网络和共享中心继续用作配置网络的中心。对于 Windows Server 2008 R2,网络划分为以下类别:
- 域网络
- 工作网络
- 公共网络
每个网络类别都有一个关联的网络配置文件。R2 分别为每个网络类别保存网络发现、共享和防火墙设置,这样,服务器就可以对每个网络类别使用不同的网络发现和共享设置。Windows 防火墙还对每个网络配置文件单独处理入站规则、出站规则以及安全性规则,根据服务器所连接的网络,R2 可有多个活动的防火墙配置文件。
像 Windows Server 2008 一样,R2 支持 TCP 烟囱卸载功能,这样,只要网络适配器支持 TCP/IP 卸载处理,联网子系统就能够将 TCP/IP 连接处理从服务器处理器卸载到其网络适配器上。TCP/IPv4 连接和 TCP/IPv6 连接都可卸载。默认情况下,TCP 连接会卸载到 10Gbps 的网络适配器上,但是不会卸载到 1Gbps 的网络适配器上。您可使用 Netsh 调整相关设置。
Windows Server 2008 R2 添加了对 DNS 安全扩展 (DNSSEC) 的支持。Windows 7 和 R2 的 DNS 客户端都可发送查询,这些查询表示对 DNSSEC 的支持、处理相关记录并确定 DNS 服务器是否代表它自身验证了记录。由于支持 DNSSEC,您的 DNS 服务器就可安全地对区域签名和承载 DNSSEC 已签名的区域。此外,DNS 服务器还能处理相关的记录以及对记录进行验证和身份验证。
R2 使用称为“远程桌面服务”的已更新和增强的产品取代了终端服务和所有相关组件。用户通过远程桌面服务可访问基于会话的桌面、基于虚拟机的桌面以及远程服务器承载的应用程序。在 R2 中,所有远程桌面服务角色服务都已重命名,并且具有相关的管理工具。图 4 提供了每个角色服务以前的名称和新名称。图 5 提供了每个管理工具以前的名称和新名称。
以前的角色服务名称 | 新角色服务名称 |
终端服务 | 远程桌面服务 |
终端服务器 | 远程桌面会话主机(RD 会话主机) |
终端服务授权(TS 授权) | 远程桌面授权(RD 授权) |
终端服务网关(TS 网关) | 远程桌面网关(RD 网关) |
终端服务会话代理(TS 会话代理) | 远程桌面连接代理(RD 连接代理) |
终端服务 Web 访问(TS Web 访问) | 远程桌面 Web 访问(RD Web 访问) |
对于 R2,Active Directory 身份验证服务 (AD CS) 添加了几个功能和服务,这使得部署公共密钥基础结构 (PKI) 更为方便,并对网络访问保护 (NAP) 提供了更好的支持。证书注册 Web 和证书注册策略 Web 服务支持通过 HTTP 和跨林注册证书。这样,就可以在多林部署中合并证书颁发机构 (CA),并减小了某些 NAP 部署的 CA 数据库大小。
Windows AppLocker 取代了软件限制策略功能。AppLocker 可帮助管理员控制用户访问和使用文件(如可执行文件、DLL、脚本以及 Windows Installer 文件)的方式。AppLocker 之所以能实现这一功能,是因为您可通过它定义规则来指定允许运行哪些文件。未包含在规则中的文件将不允许运行。
旧工具名称 | 新工具名称 |
终端服务管理器 | 远程桌面服务管理器 |
终端服务配置 | 远程桌面会话主机配置 |
TS 网关管理器 | 远程桌面网关管理器 |
TS 授权管理器 | 远程桌面授权管理器 |
TS RemoteApp 管理器 | RemoteApp 管理器 |
R2 Enterprise Edition、Database Edition 以及用于 Itanium 的版本都支持故障转移群集。故障转移群集是一组独立的服务器,这些服务器协同工作以增强应用程序和服务的可用性。可配置该群集中的每个服务器(称为“节点”)以接管群集中其他服务器上发生故障的应用程序或服务。R2 为故障转移群集添加了 Windows PowerShell cmdlet,改进了群集的验证过程和对群集虚拟机(受 Hyper-V 支持)的管理,这些虚拟机现在可使用群集共享卷。
除了以前可在故障转移群集中配置的服务和应用程序外,现在,您还可配置远程桌面连接代理,以实现负载平衡和在负载平衡的远程桌面服务器场中重新连接会话。您还可配置 DFS 复制,以通过带宽有限的网络连接在服务器之间保持文件夹同步。您可将所有成员服务器都聚集在复制组中。
除了我提到的群集,R2 还针对负担繁重的硬件和数据中心解决方案添加了一些新功能,包括 iSCSI 软件发起程序和多路径 I/O (MPIO)。您可使用 Microsoft iSCSI 软件发起程序通过以太网网络适配器将 Windows 服务器连接到基于 iSCSI 的外部存储阵列。在 R2 中,重新设计了 iSCSI 发起程序用户界面,以便用户更轻松地访问最常用的设置,此外还添加了几个新功能,包括“快速连接”,使用此功能,单击一次便可连接到基本存储设备。iSCSI 引导支持使用多达 32 个路径来进行引导,R2 现在还支持循环冗余校验头和数据摘要卸载。
MPIO 支持与存储之间的多个数据路径,并提高了存储连接的容错能力。R2 提供经过改进的 MPIO 运行状况报告,并且现在还提供配置报告。通过这两项更改,可以更方便地获取路径数据。此外,您也可使用 MPClaim 命令行实用工具配置负载平衡策略。
Hyper-V 也已有很大程度的改进。对 Hyper-V 的改进包括新的实时迁移功能,对动态虚拟机存储的支持、增强的处理器支持以及增强的网络支持。
在本简明课程的***,我将重点介绍的 Active Directory 管理中心。这款新工具提供了面向任务的界面,用于管理 Active Directory。使用此工具可以执行以下任务:
- 连接到一个或多个域
- 创建和管理用户帐户
- 创建和管理组
- 创建和管理组织单位
- 执行 Active Directory 全局搜索
Active Directory 管理中心使用 Windows PowerShell 来执行管理任务,并依赖于 Microsoft .NET Framework 3.5.1。因此,必须安装并正确配置这两个功能,才能使用 Active Directory 管理中心进行管理。此外,Active Directory 管理中心还使用 Active Directory Web 服务 (ADWS) 所提供的 Web 服务。要管理的每个 Active Directory 域中至少有一个域控制器必须安装 ADWS 并且在运行相关的服务。默认情况下将通过 TCP 端口 9389 建立连接,且防火墙策略必须将此端口设为例外的端口以对 ADWS 开放。
Windows PowerShell 2.0 和 WinRM 2.0
您是否想了解如何获得所有这些功能强大又好用的 Windows PowerShell cmdlet?默认情况下,大多数 R2 配置中都会安装 Windows PowerShell 2.0。对于完整服务器安装,“快速启动”工具栏中提供了 Windows PowerShell 控制台,您可使用“添加功能”向导安装该图形脚本编写环境。对于核心服务器安装,您现在还可选择安装 Windows PowerShell。
启动 Windows PowerShell 后,可在提示符下输入 cmdlet 的名称,它的运行方式与命令行命令非常相似。您还可从脚本中执行 cmdlet。Cmdlet 的命名采用“动词-名词对”的形式。动词说明 cmdlet 的一般操作。名词说明 cmdlet 的特定操作对象。例如,start-service cmdlet 启动一项 Windows 服务,而 stop-service cmdlet 停止一项 Windows 服务。
此外,还提供了一些有用的 cmdlet 用于增强 Active Directory 管理中心的功能。要使用这些 cmdlet,必须在 Windows PowerShell 提示符下输入 Import-Module ActiveDirectory 来导入 Active Directory 模块。导入该模块后,就可在当前运行的 Windows PowerShell 实例中使用该模块了。下次启动 Windows PowerShell 时,如果要使用该模块的功能,需要再次将其导入。或者,也可在“管理工具”菜单上选择“Windows PowerShell 的 Active Directory 模块”
也可以使用 Windows PowerShell 来进行远程管理。WS-Management 协议和 Windows 远程管理 (WinRM) 服务支持远程处理功能,该服务在 Windows 中实现了 WS-Management。R2 包含 WinRM 2.0。Windows 7 和 Windows Server 2008 R2 均使用 WinRM 提供内置远程管理支持。在 Windows 的较早版本中,可以安装 Windows Management Framework,它包含 Windows PowerShell 2.0 和 WinRM 2.0。
要使用 Windows PowerShell 进行远程管理,就必须以管理员身份将其启动。还需要确保管理计算机和目标服务器上均已正确配置 WinRM。输入 winrm quickconfig 可以检查和更新 WinRM 配置。
只要远程计算机在同一个域中,或者您正在某个工作组中工作并已将某个域中的远程计算机添加为可信主机,就可使用服务器管理器(以及其他 Microsoft 管理控制台)在这些远程计算机上执行一些管理任务。您可连接到运行完整服务器和核心服务器安装的服务器。
对服务器管理器启用远程管理后,可以使用服务器管理器执行远程管理任务,这些任务包括:
- 查看和管理角色、角色服务和功能(但不能对其执行添加或删除操作)
- 查看和管理高级 Windows 防火墙
- 查看和管理 Windows 事件和服务
- 查看和管理性能监视
- 查看和管理计划任务
- 查看和管理磁盘
- 配置错误报告和客户体验状态
- 查看自动更新状态
远程管理使用 Windows PowerShell,并依赖于配置正确的 WinRM。对于完整服务器和核心服务器安装,您都必须专门通过服务器管理器启用远程管理。
对于完整服务器安装,可在本地登录时使用“配置服务器管理器远程管理”选项或使用 Configure-SMRemoting.ps1 脚本。对于核心服务器安装,可使用服务器配置 (Sconfig.exe) 实用工具。
R2 还提供了可用于从 Windows PowerShell 管理组策略的 cmdlet。在 Windows PowerShell 提示符下输入 Import-Module GroupPolicy 即可导入组策略模块。导入该模块后,即可在当前运行的 Windows PowerShell 实例中使用组策略 cmdlet。
在登录、注销、启动和关闭期间也可运行 Windows PowerShell 脚本。如图 8 所示,您可将 Windows PowerShell 脚本配置为先于其他类型的脚本运行。也可选择在其他类型的脚本之后运行 Windows PowerShell 脚本。在脚本中,请不要忘记通过导入所需的所有模块来设置工作环境。
Core Parking 简介
您可能听说过 R2 中的 Core Parking 功能。不过您可能不知道这个功能的来源和工作原理。Core Parking 基于服务器负载限制处理器核心的运行或使之空闲,以减少能耗。该功能是可行的,因为 Windows 7 和 Windows Server 2008 R2 都支持高级配置和电源接口 (ACPI) 4.0 规范(2009 年 6 月制定)。考虑到您不太可能愿意阅读全部 700 多页的正式规范,因此我将为您提供与电源管理相关的一些要点。
Windows 使用 ACPI 来控制系统和设备电源状态转换。Windows 使设备在全功率(工作)、低功率和关闭状态之间转换,从而降低能耗。处于低功率或限制状态时,处理器的操作频率会降低。处于关闭或空闲状态时,会将处理器置于空闲睡眠状态。
服务器的电源设置来自活动的电源计划。Windows Server 2008 R2 中的默认活动电源计划称为“已平衡”,它利用了 ACPI 的增强功能来减少能耗。ACPI 3.0 规范定义了处理器状态的最小值和***值来限制处理器,且该规范仅适用于基座分离的处理器而不适用于逻辑处理器核心。而 ACPI 4.0 恰好提供了一个针对限制的和空闲的逻辑处理器核心的解决方案(此外,还提供了其他一些内容,但这些内容与此无关)。
根据 ACPI 4.0,当您在电源策略中指定处理器状态的***和最小限制时,Windows 就知道将这些状态应用于逻辑处理器核心以及基座分离的处理器。***和最小值定义所允许的性能状态的极限值。例如,如果上限是 100%,下限是 5%,则在工作负载允许的情况下,Windows 可在此范围内限制处理器,以减少能耗。在有多个 4GHz 处理器的计算机中,Windows 会将这些处理器的操作频率调整为 .25GHz 至 4GHz 之间。
是一个处理器限制和空闲的示例,它仅作说明之用。此处,计算机有 4 个基座分离的处理器,每个处理器有 4 个逻辑处理器。当前工作负载不需要的处理器核心处于空闲状态,只需要部分性能的处理器核心则处于限制状态。例如,处理器 1 的逻辑核心 1 以 90% 的性能级别运行,其逻辑核心 2、3 和 4 以 80% 性能级别运行。在一个 4GHz 处理器中,这意味着逻辑核心 1 以 3.6GHz 的频率运行,逻辑核心 2、3 和 4 以 3.2GHz 的频率运行。您还可以看到,处理器 3 和 4 都有完全空闲和处于睡眠状态的核心。
为强制 Windows 保持特定性能状态,可使用相等的***值和最小值。在这种情况下,Windows 不会调整处理器的操作频率。必须指出,处理器固定以一种频率工作会降低此功能的效率,因此,对应用程序配置固定处理设置之前,需要仔细进行计划。
有关 Active Directory 更改的路线图
R2 中的 Active Directory 域服务 (AD DS) 有很多新增功能。如果您要使用 R2,并且已将该操作系统部署在 Active Directory 林中所有域的所有域控制器上,则您的域可在 R2 域功能级别运行,并且该林可在 R2 林功能级别运行。通过这些新的运行级别,可以利用 Active Directory 增强功能来提高可管理性、性能和可支持性。
Active Directory 回收站是最重要的增强功能之一。此功能使管理员能够撤消对 Active Directory 对象的意外删除。当您启用回收站时,将保留所删除对象的所有链接值属性和非链接值属性,因此,您可将该对象还原到被删除前的状态,而无需启动权威性的还原操作。这个方法与以前的实现有着本质上的区别,以前的实现使用权威性的还原来恢复被删除的对象。以前,当您删除对象时,将清除其大部分非链接值属性,并且将删除其所有链接值属性,这意味着,即使能够恢复被删除的对象,也无法将其完全还原到其以前的状态。
托管帐户是另一项重要的增强功能。关键任务应用程序常常使用服务帐户。在本地计算机上,您可将应用程序配置为以内置用户帐户(如 Local Service 或 Local System)身份运行。但是,这些帐户由多个应用程序和服务共享,因而无法在一个域级别进行管理。如果您将应用程序配置为使用域帐户,则可隔离该应用程序的权限,但是,这样一来,您就必须手动管理 Kerberos 身份验证所需要的帐户密码和所有服务主体名称 (SPN)。
为了减少维护服务帐户所需要的开销,R2 支持两种新的托管帐户:
- 托管服务帐户
- 托管虚拟帐户
托管服务帐户是托管服务的一种特殊域用户帐户,通过让 Windows 自动管理这种帐户的密码和相关的 SPN,可减少服务中断和其他问题。托管虚拟帐户是托管服务的一种特殊本地计算机帐户,这种帐户可用来在域环境中通过计算机标识访问网络。
对于托管服务帐户,请创建实际的帐户,这种帐户默认情况下存储在 Active Directory 中的“托管服务帐户 OU”中。接下来,请在本地服务器上安装托管服务帐户,并以本地用户身份将它添加到实际的帐户。***,配置该本地服务以使用该帐户。
使用虚拟帐户,可配置本地服务以在域环境中通过计算机标识访问网络。因为将使用计算机标识,所以无需创建帐户,也无需管理密码。
R2 没有用于创建和管理这些帐户的用户界面。您将需要使用 Windows PowerShell 的 Active Directory 模块来管理它们。
在 R2 中,您还可以使用新的身份验证控制。通过允许管理员基于用户是否使用基于证书的登录方法来控制用户对资源的访问,身份验证机制保证改进了身份验证过程。这样,用户在使用智能卡登录时获得的访问权限与未使用智能卡登录所获得的访问权限不同。
***,在 R2 中可脱机加入域,但是此项功能并不需要提升域或林功能级别。通过脱机加入域,管理员可在域中预先配置计算机帐户,以准备操作系统以便部署。然后,预配置的计算机可加入域,而无需联系域控制器。用于预配置帐户的命令行实用工具名为 Djoin.exe。
分支缓存简介
Windows BranchCache 是一项文件缓存功能,与后台智能传输服务 (BITS) 结合使用。如果在域环境中,桌面计算机运行 Windows 7,服务器运行 R2,则管理员可启用分支缓存,以使桌面计算机能够从本地缓存中检索文档和其他类型的文件,而不必从远程服务器检索文件。
因为分支缓存用于缓存通过 HTTP 和服务器消息块 (SMB) 传输的文件,所以可缓存从 Intranet Web 服务器或内部文件服务器传输而来的文件。基本上,分支缓存的工作方式如下:
- 如果启用分支缓存,当***从 Intranet 网站或文件服务器访问某个文件时,Windows 会从源服务器传输该文件,然后将该文件在本地缓存在分支机构中。
- 然后,当分支机构的同一个用户或其他用户访问该文件时,Windows 在本地缓存中寻找该文件。如果找到该文件,Windows 将查询源服务器,确认该文件自缓存以来是否发生过更改。
- 如果该文件尚未更改,则 Windows 从本地缓存中检索该文件,因而不需要通过广域网传输该文件。如果该文件已更改,则 Windows 从源服务器检索该文件,并在缓存中更新该文件的副本。
通过使用分布式缓存模式或主机缓存模式,可以配置分支缓存。如果使用分布式缓存模式,运行 Windows 7 的桌面计算机将承载分布式文件缓存。因为每个本地计算机都缓存和发送文件,所以不需要分支服务器。如果使用主机缓存模式,分支机构中运行 R2 的服务器承载本地文件缓存。该服务器缓存文件并将文件发送给客户端。可以预料,分支缓存可极大地缩短响应时间,并极大地减少文档、网页和多媒体内容的传输次数。
总结
好了,现在您已了解这些内容:Windows Server 2008 R2 的概述,从可用版本、价值 5 美元的教程、到新功能等等。希望本介绍能为您提供帮助,也欢迎您关注我的新书:《Windows PowerShell 2.0 Administrator's Pocket Consultant》、《Windows 7 Administrator's Pocket Consultant》和《Windows Server 2008 Administrator's Pocket Consultant, 2nd Edition》。
William R. Stanek (williamstanek.com) 是一位领先技术专家,优秀的教育培训者,成功撰写了 100 多本书。他已出版和即将出版的书包括:《Active Directory Administrator's Pocket Consultant》、《Group Policy Administrator's Pocket Consultant》、《Windows 7 Administrator's Pocket Consultant》、《Windows PowerShell 2.0 Administrator's Pocket Consultant》以及《Windows Server 2008 Inside Out》。有关 Stanek 的情况,请访问 Twitter 上的 WilliamStanek。
文章来源:微软TechNet中文网
【编辑推荐】