Windows Server 2025 管理基础：5 向 Windows Server 2025 添加角色

最新推荐文章于 2025-09-19 23:13:41 发布

原创最新推荐文章于 2025-09-19 23:13:41 发布 · 1.2k 阅读

22 ·

CC 4.0 BY-SA版权

文章标签：

#windows

Windows Server 2025 管理基础专栏收录该内容

15 篇文章

订阅专栏

本章旨在帮助您了解影响服务器硬件选择的因素，以及评估服务器性能的最佳实践。理解服务器在网络中的角色及其硬件组件，将使您能够根据需求选择最合适的服务器硬件，并有效解决硬件相关问题。此外，本章还将介绍监控服务器性能的技术与策略。有效的性能监控不仅包括在潜在性能问题升级前进行识别和缓解，还需要主动采取快速响应措施以防止性能进一步下降。建立性能基准——记录服务器在典型工作负载下的表现——对于生成全面性能报告至关重要，并在监控过程中发挥重要作用。本章最后通过一个实践练习收尾，重点分析性能日志并设置警报。

本章我们将涵盖以下主要内容：

理解 Windows 中的服务器角色与功能 Server 2025
探索应用服务器角色及其实现方式
配置 Web 服务及其在 Windows Server 2025 中的角色
设置远程访问角色及其功能特性
为网络环境部署文件和打印服务
安装 Web 服务器( Internet Information Services ( IIS ))和 Print and Document Services ( PDS )角色

技术要求

要使用 Windows Server 2025 在各种服务器上完成本章概述的任务，您需要特定的硬件和软件配置：

您需要一台运行 Windows 11 Pro 的 PC，配备至少 16 GB 内存和 1 TB 硬盘，并具有互联网连接。
此外，您还需要三台 虚拟机 （ VMs ）运行 Windows Server 2025 Standard （桌面体验版）。每台虚拟机至少需要 4GB 内存和 100GB 硬盘空间，并具备互联网访问能力。

这些虚拟机将承担不同角色：一台作为文件服务器，另一台作为 Web 服务器，第三台作为打印服务器。

理解 Windows Server 2025 中的服务器角色和功能

在给服务器分配角色前，必须明确定义其在组织 IT 基础设施中的预期功能。本章全面概述了 Windows Server 2025 中可用的各种角色、角色服务和功能，帮助您就服务器配置做出明智决策。

角色和功能概述

A 服务器角色 定义了服务器在网络中执行的核心功能。例如，若服务器的主要用途是存储和管理共享文件，则会安装"文件和存储服务"角色来履行该职责。同理，被指定托管 Web 应用程序的服务器将配置"Web 服务器(IIS)"角色，以安全处理 HTTP 请求，为互联网和内部网服务提供基础平台。实现安全远程访问的服务器会部署"远程访问"角色，该角色支持诸如 虚拟专用网络 ( VPN ) 和 DirectAccess 等连接解决方案，使用户能够从远程位置安全访问网络资源。

在大多数情况下，为每台服务器分配单一角色是最佳选择，这能确保性能优化并简化服务器管理。但在某些场景中，可能需要在一台服务器上部署多个角色。此类情况下，必须通过周密规划来平衡硬件资源与角色特定需求，从而确保兼容性并避免潜在冲突或性能瓶颈。这种模块化设计使 Windows Server 2025 能够满足组织内的多样化需求，每个角色共同构建起可靠、响应迅速且安全的网络基础架构。

角色服务说明

除了基本角色外，Windows Server 2025 还提供 角色服务 ——这些可选组件能够增强或扩展服务器角色的功能。这些服务使管理员能够根据特定需求定制服务器功能。例如，要实现通过互联网进行远程打印，不仅需要安装 PDS 角色，还需添加 Internet Printing 角色服务。这种分层架构使您能够定制服务器功能以满足精确的操作需求，从而灵活地支持组织的业务需求。

核心原生角色与功能

Windows Server 2025 内置了一系列角色和功能，旨在无需依赖额外应用程序即可满足关键基础设施需求。我们选择重点介绍以下三个特定角色： Active Directory 证书服务 （ AD CS ）、 权限管理服务 （ RMS ）和 网络策略服务器 （ NPS ）——这些选择基于它们与 Windows Server 管理基础要素的关联性：安全性、访问控制和数据保护。这些角色提供了许多组织所依赖的基础架构核心能力，无论是否使用 Exchange 或 SQL Server 等额外应用程序：

AD CS ：该角色提供了一种可扩展的安全方法，用于在组织内颁发和管理数字证书。它对支持安全通信、数据完整性和用户身份验证至关重要。在优先考虑安全性的环境中，它通过实现诸如为网站启用 安全套接字层 （ SSL ）/ 传输层安全 （ TLS ）以及验证用户和设备等任务，发挥着关键作用。
RMS : RMS 通过实施访问和使用限制，对保护信息和保障敏感文档及通信安全至关重要。这确保只有授权用户才能与受保护内容交互，对于处理敏感或受监管数据的行业尤为关键。
NPS : NPS 作为 RADIUS 服务器运行，支持集中式网络访问认证、授权和计费。该功能对于管理安全网络访问极具价值，特别是在需要多站点和云集成的环境中，可为 VPN、无线网络及其他远程访问解决方案提供安全连接。

尽管这些角色至关重要，Windows Server 2025 还包含其他多项值得探索的原生功能：

文件与存储服务 ：作为集中式文件共享、存储管理和数据去重的核心组件，满足网络环境中的关键需求
Hyper-V： 对于采用虚拟化的企业至关重要，既能优化服务器利用率，又能为各类应用提供隔离的虚拟环境
DNS 与 DHCP ：这些基础服务支撑着网络基础设施，提供域名解析和 IP 地址 管理（ IPAM ）
Windows Server Update Services (WSUS) ：补丁管理的关键组件，确保服务器及联网设备能及时获取更新，以维持系统安全与合规性

扩展这些角色的更广泛选择范围，能更全面地展现 Windows Server 原生功能，为管理员管理网络安全、合规性和可访问性奠定坚实基础。这种认知为通过附加应用程序扩展服务器功能奠定了基础，符合技术评审员强调 Windows Server 环境中原生功能重要性的反馈意见。

理解服务器功能

除了角色和角色服务外， 服务器功能是用于支持或增强特定功能的补充组件，这些组件在服务器环境中发挥作用。例如，安装.NET Framework 3.5 功能可能是运行特定应用程序或服务所必需的。相比之下，IPAM 功能则为 DHCP 和 DNS 角色提供了高级管理能力。在需要跨多个子网解析 NetBIOS 名称的环境中，WINS 等功能可能至关重要。通过仔细选择和安装适当的功能，您可以确保服务器完全具备高效处理指定任务的能力，从而有助于提升 IT 基础设施的整体稳定性和性能。

总之，理解并战略性地配置 Windows Server 2025 中的角色、角色服务和功能，是优化服务器性能并满足组织 IT 环境独特需求的关键。本章为您提供了相关知识，帮助您做出明智决策，从而增强服务器部署的功能性和可靠性。

Server Manager 概览

服务器管理器 是 Windows Server 2025 中添加、配置和管理服务器角色的关键工具。该工具最初随 Windows Server 2008 推出，经过持续改进，提供了简化服务器管理的直观流畅界面。无论是操作本地服务器还是管理远程服务器，服务器管理器都能高效完成角色安装与监管。界面分为两大主要部分： 作用域窗格 （显示所有已安装角色）和 详细信息窗格 （为所选角色提供完整信息与管理选项）。这个中央控制台不仅能监控服务器运行状态与性能，还可快速访问角色专属工具与设置。如 图 5 .1 所示，服务器管理器是执行各类管理任务不可或缺的工具，是 Windows Server 2025 管理套件中的重要组件。

图 5.1 – Windows Server 2025 中的服务器管理器界面

通过服务器管理器对服务器角色和功能有了扎实理解后，下一节将深入探讨应用服务器的概念和类型，从而扩展您对服务器基础架构和管理的认知。

探索应用程序服务器角色及其实现方案

本节将深入探讨 IT 运营中不可或缺的各类应用服务器。应用服务器是一种专用网络服务器，旨在为组织内的用户或其他应用程序提供特定服务。它们在处理多样化任务中发挥着关键作用，包括电子邮件通信、网络托管和数据库管理等。以下小节将探讨一些最广泛使用且最新的应用服务器，重点介绍它们的重要性及功能。

我们首先从邮件服务器的实际部署开始探索，这是 IT 基础设施的核心组成部分。邮件服务器管理着互联网上电子邮件的发送和接收，是任何组织内部高效沟通的重要工具。通过学习如何在 Windows Server 2025 上安装和配置邮件服务器，您将获得可直接应用于现实 IT 环境的宝贵技能。

理解 Windows Server 2025 中的邮件服务器

一个 电子邮件服务器 ，通常被称为 邮件服务器 ，在互联网上处理电子邮件的发送和接收过程中起着关键作用。要作为电子邮件服务器运行，服务器必须安装专门的软件。 Exchange Server 是 Windows 系统常用的解决方案。 Exchange Server 提供了一个综合平台，使系统管理员能够配置和管理电子邮件账户，使服务器能够处理发送、接收和存储电子邮件等任务。

支撑电子邮件服务器功能的几个关键组件和通信协议包括：

邮件传输代理（MTA） ：该组件负责在服务器之间传输电子邮件。 MTA 处理从发件人服务器到收件人服务器的邮件路由。
邮件投递代理（MDA） ：当邮件到达目标服务器后，MDA 会接管工作，确保消息被正确投递到指定用户的收件箱。
邮件用户代理（MUA） ：该组件为用户提供编写、发送、接收和阅读电子邮件的界面。 MUA 与 MTA 和 MDA 交互，确保电子邮件通信的无缝衔接。
简单邮件传输协议(SMTP) ：SMTP 是邮件传输代理(MTA)用于在服务器间传递邮件的协议，它运行在 25 号端口，是大多数系统中电子邮件投递的核心。
邮局协议(POP) ：POP 是一种运行在 110 端口的协议，允许用户将邮件从服务器下载到本地设备，实现离线访问邮件内容。该协议适用于邮件本地存储且无需在多设备间同步的场景。
互联网消息访问协议(IMAP) ：IMAP 运行于端口 143 ，相比 POP 协议更为灵活。该协议允许用户从服务器检索电子邮件，并在多个设备间实现同步。使用 IMAP 时，用户无需下载邮件即可从不同位置访问，因为邮件始终保存在服务器上。

尽管 Exchange Server 为组织内部邮件通信管理提供了强大先进的解决方案，但在某些情况下，更简单的配置可能就已足够。例如，若只需建立专注于发送和转发邮件的基础邮件服务，Windows Server 2022 允许您添加 SMTP 服务器功能。这种轻量级方案适用于不需要完整 Exchange Server 功能的环境，即可满足需求。

注意

在组织内部网络中建立电子邮件服务的一个可行选择是即将推出的 Exchange Server 订阅版 （Exchange Server SE），预计将于 2025 年发布。这款微软产品可帮助您根据组织需求设置和管理邮件服务器。要使用其功能，您必须在组织的服务器基础设施上安装并配置 Exchange Server SE。Exchange Server SE 提供全面的功能集，旨在增强整个组织网络中的电子邮件通信与协作能力。

Windows Server 2025 中移除了 SMTP 服务器功能

在 Windows Server 2025 中，SMTP 服务器功能（允许服务器通过互联网发送和转发电子邮件）已被停用。因此，企业需要寻求其他解决方案来管理电子邮件服务。其中一个选择是使用 Exchange Server，这是一个功能全面且先进的电子邮件平台，可为组织内部的电子邮件通信提供广泛的管理功能。Exchange Server 能够处理各种与电子邮件相关的任务，包括托管邮箱、管理日历以及确保通信安全。

对于寻求云端解决方案的用户，Microsoft 365 提供 Exchange Online （其管理中心的界面如 图 5 .2 所示），作为 Microsoft 365 套件的一部分，无需本地基础设施即可提供电子邮件和日历服务。 Exchange Online 运行在由微软托管的云端，免除了企业直接管理物理或虚拟服务器的需求。这种基于云的方法具有减少维护工作和简化升级流程的优势。但相比本地 Exchange 服务器部署，这也意味着会丧失部分配置和系统变更的控制权。

图 5.2- Exchange Online 管理中心

理解 Exchange Server 与 Exchange Online 之间的区别至关重要，这有助于您根据组织需求做出明智选择。 Exchange Server 提供更多控制权和自定义选项，而 Exchange Online 则通过微软的云基础设施实现便捷性和可扩展性。

掌握了电子邮件服务器相关知识及 Windows Server 2025 中的可用方案后，您已为进入下一章节做好准备。本节将介绍数据库服务器及其访问协议，进一步加深您对服务器角色及其在 Windows Server 2025 中实现方式的理解。

理解数据库服务器

A 数据库服务器 是任何 IT 基础设施中的关键组件，旨在高效管理、存储和检索大量数据，同时为授权用户提供安全访问。作为数据管理的核心，数据库服务器集中管理数据，确保其能够在组织网络中轻松备份、维护和共享。这种集中化不仅提高了数据完整性，还通过允许多个用户实时访问和交互同一数据来增强协作。

要将基于 Windows 的服务器配置为数据库服务器，您可以使用 SQL Server 客户端/服务器应用程序 。SQL Server 支持数据库的创建、管理和组织，便于执行查询、报告和分析等复杂数据操作。为实现无缝数据访问和通信，SQL Server 依赖于几个关键协议。这些协议包括以下内容：

数据：数据库服务器管理的核心资产。数据是所有数据库操作围绕的核心要素。若没有数据，服务器的功能与存在意义将不复存在。
数据库应用程序 ：该软件作为用户与数据库服务器之间的中介，支持数据录入、查询及报表生成等交互操作。
用户：访问数据库服务器的个人或系统。用户范围包括管理数据库的管理员，以及为特定目的检索数据的终端用户。
开放数据库互连(ODBC) ：一种广泛使用的协议，允许应用程序与数据库服务器建立连接，而无需考虑所使用的 数据库管理系统 （ DBMS ）类型。
Java 数据库连接(JDBC) ：由 Sun 公司开发的协议，允许 Java 应用程序连接并与数据库服务器交互，确保基于 Java 的解决方案能够无缝访问并操作数据。
对象链接与嵌入数据库(OLEDB) ：微软开发的协议，为应用程序提供访问数据库中存储数据的标准方法，便于在各类微软及非微软系统间进行数据操作与检索。

注意

SQL Server 2022 ( https://www.microsoft.com/en-us/sql-server/sql-server-2022 ) 是微软推出的一款用于在组织内部网络部署数据库服务器的应用程序。要使用 SQL Server 2022 搭建数据库服务器，您需要正确安装并配置该应用程序。

理解这些组件和协议对于管理和优化数据库服务器性能至关重要，它能确保数据保持可访问性、安全性并得到高效处理。掌握了这些知识后，我们现在可以深入探讨协作服务器的角色和功能，这类服务器在提升组织团队协作与沟通方面发挥着关键作用。

理解协作服务器

协作服务器在数字环境中促进团队协作和信息共享，提供支持文档协作、聊天、事件安排、视频会议等功能。对于基于 Windows 的服务器， SharePoint Server 是搭建协作服务器的强大解决方案。 SharePoint Server 允许您在组织内创建、管理和共享网站、库和文件。它利用网络协议提供对这些资源的访问，确保用户之间的无缝协作。

SharePoint 主要提供两个版本： SharePoint Server 和 SharePoint Online （参见 图 5 .3 ）。 SharePoint Server 作为本地部署解决方案，需安装在您的服务器上，可提供高度自定义功能及对环境完全掌控。该版本能深度集成其他本地系统，特别适合那些需要完全掌控自身数据及基础设施的组织。

图 5.3 – SharePoint Online 管理中心

另一方面，SharePoint Online 是 Microsoft 365 中包含的一项基于云的服务。它提供与 SharePoint Server 相同的诸多功能，但由 Microsoft 托管和维护。这意味着 Microsoft 负责管理更新、安全性和可扩展性，减少了内部维护的需求。 SharePoint Online 提供了更大的灵活性，允许用户通过互联网连接随时随地访问和协作处理文档。

了解 SharePoint Server 与 SharePoint Online 之间的差异对于选择适合组织需求的解决方案至关重要。 SharePoint Server 为本地部署提供了更多控制和自定义选项，而 SharePoint Online 则采用更精简的基于云的方法，维护更简便且更具可扩展性。

注意

要在组织内部网络中建立在线协作平台，SharePoint Server Subscription Edition（SharePoint Server SE）是一个可行的选择。这款微软产品使您能够在服务器基础设施上创建和管理网站、库、文件及各类资源。SharePoint Server SE 提供了一系列旨在增强团队协作和信息共享的功能，包括文档协作、实时聊天、日历管理、视频会议等。要使用 SharePoint Server SE，您需要在组织的服务器基础设施上安装并配置该平台。该平台依赖网络协议来提供资源访问权限，确保整个组织内部的顺畅协作。

接下来，我们将深入探讨监控平台的概念，以及如何利用它们来监督和管理服务器性能与运行状态。

理解监控服务器

作为监控服务器这一企业 IT 环境管理的基石，它提供了网络健康状况与性能的集中视图。无论是追踪本地部署、云端还是混合基础设施，该系统对管理员而言都至关重要。它使管理员能够监控服务器性能、客户端/服务器应用程序、网络服务、IT 基础设施及网站运行。通过可配置的告警机制，确保问题能被及时检测和处理，让系统管理员随时掌握情况并保持控制权。

System Center Operations Manager （ SCOM ）是一款功能强大且全面的工具，能够将服务器转变为适用于 Windows 环境的强大监控服务器。凭借其广泛的功能，SCOM 成为企业级设备和服务管理与监控的可靠选择。然而 System Center 套件不仅限于 SCOM，它还包含其他多个组件，进一步增强了其功能：

System Center Configuration Manager (SCCM) ：该工具用于管理大批量基于 Windows 系统的计算机。 SCCM 可用于软件分发、补丁管理和操作系统部署，通过自动化更新和配置流程来简化管理任务。
System Center Orchestrator ：Orchestrator 专注于自动化和编排 IT 流程及工作流，能够实现重复性任务自动化、集成各类系统，并确保复杂工作流高效执行。
System Center Virtual Machine Manager (SCVMM) ：SCVMM 用于管理虚拟化环境，提供统一的虚拟机部署和管理方案。它简化了虚拟基础设施管理，并确保资源的最佳利用率。
System Center Data Protection Manager (System Center DPM) ：System Center DPM 专注于数据备份与恢复。它能确保数据持续备份，并在数据丢失或系统故障时快速恢复。

System Center 各组件协同使用时，能显著提升 IT 基础设施的监控与管理能力。它们为网络服务监控、配置管理、自动化、虚拟机管理及数据保护提供全面解决方案。通过运用这些工具，企业可有效管理 IT 环境、维持系统可靠性，并全面提升运营效率。

注意

System Center 2022 是微软推出的一套强大软件套件，旨在帮助建立 IT 基础设施的监控服务器。该套件包含 SCOM 这一关键工具，用于监控和管理网络设备及应用程序的运行状态与性能。使用 System Center 2022 可全面掌握各类网络指标，确保系统性能最优，并能快速发现并解决潜在问题。此外，微软已宣布 System Center 2025 计划于 2024 年 11 月 1 日发布，将在监控与管理功能方面实现进一步升级。

在接下来的章节中，我们将深入探讨威胁管理服务器及其在保护 IT 环境安全中的作用。

了解数据保护服务器

A 数据保护服务器 通过提供强大的数据备份和恢复解决方案，在确保企业业务连续性和韧性方面发挥着关键作用。该服务器是实现全面 业务连续性与灾难恢复 （ BCDR ）战略的核心组件。要在基于 Windows 的系统上部署数据保护服务器，您需要使用 System Center DPM 应用程序。 DPM 提供了一系列功能，可满足各种备份和恢复需求。

借助 DPM，管理员可以执行应用程序感知备份，这对于保护复杂应用程序（如 Exchange Server、SQL Server 和 SharePoint Server）至关重要。这意味着备份不仅包含文件，还包括应用程序的元数据和配置，从而确保能够进行完整且功能正常的恢复。此外，DPM 还支持对单个文件、文件夹、整个卷以及系统状态数据进行备份，这对于恢复操作系统及其设置至关重要。

此外，DPM 还支持对托管在 Hyper-V 上的虚拟机进行备份，涵盖 Windows 和 Linux 环境。这一功能对于虚拟化环境尤为重要，因为必须保持虚拟机的完整性以确保业务连续性。通过利用 DPM，企业能够确保其数据始终受到保护，避免丢失或损坏，并使恢复流程更加高效且有效。

注意

要为组织网络设置数据保护服务器，一个实用的方法是使用 Microsoft System Center 2022 。该软件套件包含 DPM 组件，这是一个必须安装在 Windows 服务器上并进行配置的客户端/服务器应用程序。DPM 提供全面的备份与恢复功能，可保护并还原各类应用程序和系统中的数据。它支持 Exchange Server、SQL Server 和 SharePoint Server 的备份，同时也能备份文件、文件夹、卷、系统状态，以及 Windows 和 Linux 环境下基于 Hyper-V 托管的虚拟机。

本节探讨了本地环境中使用的多种应用服务器，让您对各种客户端/服务器应用程序有了深入了解。通过概览这些服务器的关键特性、组件、协议和功能，您已掌握相关知识。接下来，我们将转向不同类型的 Web 服务，扩展您对其在 IT 基础设施中的角色和实现方式的理解。

配置 Windows Server 2025 中的 Web 服务及其角色

Web 服务是一种标准化框架，使运行在不同平台上的各类软件应用能够高效地进行通信与交互。这种互操作性通过使用基于可扩展标记语言 （XML）的格式与协议实现，例如简单对象访问协议 （SOAP）、Web 服务描述语言 （WSDL）以及统一描述、发现和集成 （UDDI）。这些技术促进了数据交换以及通过网络调用功能，使得应用程序能够无缝协作，无论其底层系统如何

Web 服务可大致分为两类：

RESTful 网络服务 ：这类服务基于 表述性状态转移 （ REST ）架构，通过 超文本传输协议 （ HTTP ）方法如 GET 、 POST 、 PUT 和 DELETE ，结合 统一资源标识符 （ URI ）来访问和操作资源。这种方法以简单性和可扩展性著称，非常适合基于网络的交互。
基于 SOAP 的 Web 服务 ：这些服务依赖于 SOAP 协议，该协议使用结构化的 XML 消息和信封与服务端点进行通信。SOAP 更为严格和标准化，提供内置的错误处理和安全功能，这使其成为企业级应用程序的理想选择，在这些应用中可靠性和安全性至关重要。

接下来，我们将深入探讨 IIS，这是托管 Web 服务和应用程序的关键组件。

IIS 详解

IIS 是微软公司推出的强大且多功能的 Web 服务器平台，旨在提供可扩展、易管理且可靠的 Web 应用程序服务。 IIS 支持浏览器与 Web 服务器之间通过多种协议进行通信，包括 HTTP、 HTTP 安全协议 （ HTTPS ）、 文件传输协议 （ FTP ）、 安全文件传输协议 （ FTPS ）、SMTP 以及 网络新闻传输协议 （ NNTP ）。此外，微软还推出了 Active Server Pages（ASP），这是一种服务器端脚本技术，可用于生成动态网页内容。

随着 IIS 10 版本的发布，微软显著提升了该平台的安全性和性能。此版本支持更长的脚本执行时间，并引入了 HTTP/2 支持。此外，微软在 2020 年 1 月推出了基于 Chromium 的新浏览器 Microsoft Edge，进一步完善了 IIS 生态系统。IIS 10 还在 Windows Server 2025 中带来了新功能，例如改进的 HTTP/3 服务器端密码套件协商、通过 PowerShell cmdlet 管理 IIS、支持通配符主机头、能够在 Nano 服务器和容器内运行 IIS，以及用于管理 HTTPS 严格传输安全 （HSTS）的用户界面。这些改进共同提升了 IIS 的性能和安全性。

在 Windows Server 2025 上添加 IIS

要在 Windows Server 2025 上搭建 Web 服务器，必须按以下步骤添加 IIS 作为服务器角色：

使用管理员账户登录 Windows Server 2025。从开始菜单打开 服务器管理器 。在服务器管理器中，点击右上角的管理，然后选择 添加角色和功能 。这将启动 添加角色和 功能向导 .
点击下一步进入开始之前页面。选择基于角色或功能的安装并点击下一步 。在服务器选择页面中，选择本地服务器并点击下一步 .
在“服务器角色”页面上，选中“Web 服务器(IIS)”复选框，如图 5.4 所示。将弹出一个对话框——单击“添加功能”，然后单击“下一步”。

图 5.4 - 在 Windows Server 2025 上添加 Web 服务器(IIS)

在功能页面，您可以添加额外功能，但默认选项已满足大多数配置需求。点击 下一步 。查看 Web 服务器(IIS) 角色概述并点击下一步 .
在角色服务页面，您可按需添加更多 IIS 功能，如 FTP 服务器或安全选项。完成后点击下一步 。
请在确认页面查看您的选择。您可以选择在需要时自动重启服务器。点击安装开始该过程。
安装将开始，您可以查看进度。完成后，点击关闭退出向导。

安装完成后，IIS 管理器将作为管理 Web 服务器的控制台。可通过服务器管理器、Windows 管理工具或在 inetmgr 命令在运行对话框中执行来访问，IIS 管理器使管理员能够高效管理其 Web 应用程序，如图 5.5 所示。 .

图 5.5 - Windows Server 2025 中的 IIS 管理器

接下来，我们将探索万维网（ WWW ）的基础知识。

万维网概述

WWW 是一个运行在互联网上的全球信息系统。它使用户能够通过 HTTP 协议访问并与网页交互。网页通常使用 超文本标记语言 （ HTML ）编写，可以包含文本、图像、视频和其他多媒体元素，使网络成为一个丰富且动态的信息共享平台。

万维网最初由蒂姆·伯纳斯-李于 1989 年在欧洲核子研究组织工作时提出，并迅速发展成为我们今天使用的庞大网络。支撑网络的核心技术包括用于内容结构的 HTML、在服务器与客户端之间传输数据的 HTTP 协议，以及用于统一资源定位 （URL）的网络资源寻址系统。

最初，网络仅是一种静态媒介，但如今已发展为支持交互式应用、实时通信和复杂网络服务的平台。如 图 5 .6 所示（该图展示了一个网页示例及其底层 HTML 代码），网络已从基础的文档共享平台发展为现代 IT 基础设施的核心组成部分，支撑着从电子商务到社交网络的各类应用。

图5.6 - 一个网页及其源代码

在接下来的小节中，我们将深入探讨 FTP，这是另一个用于在互联网上管理文件的重要工具。

理解 FTP

FTP 作为互联网上文件传输的基础方法，为计算机之间的数据交换提供了安全高效的机制。 FTP 最初开发于 20 世纪 70 年代初，因其简单可靠的特点，至今仍是网络环境中不可或缺的重要工具。它被广泛应用于多种场景，包括企业内部网络的数据传输、网站内容管理，以及网络服务器的文件上传下载。

FTP 采用客户端/服务器模型运行，通过两个独立端口来管理操作。端口 21 用于建立控制连接，实现客户端与服务器之间的命令和响应交换。当控制连接建立后，端口 20 则负责实际数据传输，处理系统间的文件传输。这种双端口机制体现了协议的高效性，确保命令流与数据流分离，从而提升协议性能。

在 Windows Server 2025 上搭建 FTP 服务器需要完成几个关键步骤。首先，您必须在服务器上安装 Web 服务器(IIS)角色，这为托管各类 Web 和 FTP 服务奠定了基础。随后，如图 5.7 所示，在 Web 服务器角色下添加 FTP 服务器角色服务。此配置使服务器能够处理 FTP 连接，为管理员提供了一个强大工具，用于以可控、安全且可扩展的方式管理文件传输。

图 5.7 - 在 Windows Server 2025 中添加 FTP 服务器作为角色服务

接下来，我们将深入探讨工作进程的概念，了解它们在管理服务器资源以及确保 Web 和 FTP 服务平稳运行中的关键作用。掌握如何访问和配置这些进程不仅至关重要，更是您维护服务器最佳性能的核心职责。

如何访问工作进程？

在 IIS 中，每个应用程序池都关联着其专属的工作进程。这个 工作进程 是处理该池内 Web 应用程序执行的关键组件。通过为每个应用程序池分配独立的工作进程，IIS 确保了不同池之间的隔离。这种隔离的优势在于：当某个 Web 应用出现问题时，故障将被限制在该池范围内，而不会影响其他池中的 Web 应用运行。要管理和配置应用程序池的工作进程设置，您可以通过 IIS 管理器进行操作：首先选择应用程序池节点，然后在界面右侧的操作窗格中点击高级设置 （如图 5.8 所示）。通过该功能，您可以自定义与工作进程相关的各项参数（例如进程回收和空闲超时设置），从而优化性能与可靠性。

图 5.8 - IIS 中应用程序池的工作进程

在接下来的章节中，我们将深入探讨如何在 Windows Server 上为 IIS 安装附加功能，这些功能将增强其能力并支持更广泛的功能范围。

为 IIS 安装更多功能

在 Windows Server 上配置 IIS 时，首先需要安装 Web 服务器(IIS)角色。在此安装过程中，您可以根据服务器需求从多种角色服务中进行选择。这一选择是在安装向导的后续步骤中完成的，具体如 图 5 .7 中 理解 FTP 小节所述。这些角色服务包含多种功能，如 FTP 服务器功能、管理工具以及扩展服务器特性的附加模块。

若需在初始安装后添加或修改这些角色服务，可通过服务器管理器进行操作。启动 添加角色和功能向导 ，即可安装或调整其他 IIS 功能及服务。此流程支持进一步定制 IIS 环境，按需添加 URL 重写模块、安全功能或其他管理工具等组件。

下一节中，我们将深入探讨站点和网站的概念，详细解释它们的定义、作用以及如何在 IIS 框架内运作。

站点概览

站点，也称为网站，是通过互联网使用网络服务呈现内容的网页集合。这些网页通常使用 HTML 构建，HTML 提供了内容的基本结构和布局。但为了创建更具吸引力和交互性的体验，通常会使用额外的脚本语言，例如 JavaScript ，或服务器端语言，如 PHP 或 ASP.NET 。这些技术的组合实现了动态内容和用户交互

在 Windows Server 2025 上安装 Web 服务器(IIS)角色时，安装过程会自动创建一个默认网站，该网站提供单个介绍性网页。如图 图 5 .9 所示，这个默认站点作为占位符和进一步配置的起点。 :

图 5.9 - 由 Microsoft 提供技术支持的 Windows Server 官网

要扩展服务器功能，您可以使用 IIS 管理器在同一服务器环境中创建更多网站。操作方法是导航至站点节点，右键单击并选择 添加网站 ，如 图 5 .10 所示 :

图 5.10 – 在 Windows Server 2025 中通过 IIS 管理器添加网站

此功能允许您在单台服务器上托管多个网站，每个网站拥有独立的域名或路径，并通过 IIS 管理器高效管理。

在接下来的小节中，我们将探讨软件端口的概念、其在网络通信中的作用，以及它们如何促进网络服务与客户端之间的交互。

端口概述

端口是计算机网络中的关键组件，分为硬件端口和软件端口。所谓 硬件端口 ，是指计算机或电子设备上用于实现数据传输与通信的物理接口。例如连接外设的 USB 端口、实现网络连接的以太网端口，以及传输视频信号的 HDMI 端口，这些端口对于设备间的无缝交互至关重要。

与之不同， 软件端口或称应用端口 ，是软件应用和服务用于管理网络流量的虚拟端点。这些逻辑标识符帮助将数据定向到服务器或网络设备上运行的相应进程或应用程序。软件端口分为三大主要类型：

知名端口 ：范围从 0 到 1023 ，这些端口由 互联网号码分配局 （ IANA ）分配给广泛使用的协议和服务。这些端口为标准化的常见服务而设，以确保不同系统间的一致性。例如，端口 80 用于 HTTP 流量，端口 443 用于 HTTPS 流量，端口 21 用于 FTP，端口 25 用于 SMTP。这些端口对于基础网络服务、安全通信、文件传输以及电子邮件传输至关重要。
注册端口 ：这些端口范围从 1024 到 49151 ，通常被那些不如知名端口应用普及的软件程序所使用。这些端口在 IANA 注册，可避免冲突并确保特定应用的专用访问。例如，MySQL 数据库使用端口 3306 ，而 PostgreSQL 数据库使用端口 5432 .
动态或私有端口 ：覆盖范围从 49152 到 65535 ，这些端口通常用于临时用途。它们被临时分配给短期通信会话，不与任何特定服务永久关联。这些端口常用于客户端应用程序与服务器端服务建立临时连接。

下表汇总了一些常见的应用端口、其协议及传输方式：

协议	端口	传输协议
FTP	21	传输控制协议
SSH	22	TCP
Telnet	23	TCP
SMTP	25	TCP
HTTP	80	TCP 和 UDP
POP3	110	TCP
NNTP	119	TCP
NTP	123	TCP
IMAP4	143	TCP
HTTPS	443	TCP

表5.1- 常见应用端口

每个端口与协议组合都在网络通信中扮演特定角色。例如，FTP 使用 21 端口进行文件传输， 安全外壳协议 （SSH）通过端口 22 实现安全远程访问，而 HTTP 在端口 80 上处理标准网络流量

在接下来的章节中，我们将深入探讨 SSL 技术，该技术通过加密网络传输数据来提供额外的安全层。

什么是 SSL？

SSL 是一项至关重要的技术，用于保护 Web 服务器与浏览器之间交换的数据安全。通过对传输数据进行加密，SSL 确保两者间的所有通信内容保持机密性和完整性。当浏览器连接到采用 SSL 的网站时，会通过运行在 443 端口的 HTTPS 协议建立安全连接。

这种安全连接是通过使用数字证书建立的，这些证书是由受信任的证书颁发机构 （CA）颁发的加密文档。这些证书验证网站的身份，并协助建立安全的加密通信通道。在此过程中，浏览器和服务器使用证书协商出一个共享密钥。该密钥随后被用于加密两者之间传输的所有数据，防止未经授权的第三方截获或破译信息，从而确保在线体验的安全性和保护性。

SSL 不仅保障了数据的机密性，还能验证网站的合法性，保护用户免受网络威胁，例如钓鱼攻击。通过采用加密技术，SSL 有助于维护数据完整性，确保数据在传输过程中保持可靠且未被篡改。这一安全交换过程直观展示于图 5.11 中 :

图5.11- 浏览器与网站之间的安全通信

注意

传输层安全协议(TLS)通过增强的安全功能改进了 SSL 协议的局限性。与 SSL 不同，TLS 支持更强大的加密算法和更安全的加密实践，提供更好的漏洞和攻击防护。TLS 还优化了握手过程和证书验证方法，确保建立更安全可靠的连接。这些进步使 TLS 成为保护网络数据传输的更优选择，有效克服了其前身协议的不足。

在接下来的小节中，我们将探讨 SSL 如何演变为 TLS，以及它在进一步强化数据安全方面的作用。

证书是如何工作的？

数字证书 是确保互联网安全通信的关键要素，尤其在网站与浏览器之间。这些由可信机构 CA 颁发的证书能验证网站身份，并实现加密数据交换。如 图 5 .12 所示，CA 负责验证和颁发证书，确保证书的真实可靠。

图 5.12 - 由 CA 颁发的证书

数字证书在公钥基础设施 （PKI）框架下运作。PKI 系统用于管理数字密钥和证书，为验证公钥所有权提供了可靠方法。每个证书包含公钥及持有者信息（如组织名称和地址）。证书颁发机构（CA）负责确认证书中的公钥确实属于其所声称代表的实体。该验证流程有助于防范欺诈行为，确保数据交换的安全性。

TLS 从 SSL 演变而来，旨在解决其局限性并增强安全性。 TLS 提供了更强大的加密算法、改进的加密实践以及更完善的密钥协商和证书验证机制。这些进步解决了 SSL 的漏洞，为保护网络传输数据提供了更安全可靠的框架。

当浏览器连接到使用 SSL/TLS 的网站时，数字证书用于建立安全连接。网站的服务器和浏览器利用该证书协商出一个共享加密密钥。随后该密钥将用于加密和解密交换的数据，确保敏感信息保持机密性，并防止未经授权的访问。

除了加密功能外，数字证书还提供数据完整性和身份验证。它们确保网站与浏览器之间传输的数据在传输过程中未被篡改，并验证网站身份的真实性。

注意

如需更深入理解 PKI，可参考 Oracle PKI 文档中的综合资源： https://docs.oracle.com/cd/B10501_01/network.920/a96582/pki .html。该资源详细阐述了 PKI 的原理、组件及实现方式，为提升安全数据管理和加密技术知识提供了宝贵参考。

下一节将介绍 Windows Server 2025 中远程访问的作用，并详细说明其如何支持安全的远程连接及访问管理功能。

配置远程访问角色及其功能

远程访问 是 Windows Server 2025 中的一项核心功能，它为用户提供了随时随地灵活访问网络资源的能力，同时让管理员能够高效管理和保护这些远程连接。在当前日益普及的远程办公环境中，这种保持对企业网络安全可靠访问的能力显得尤为珍贵。远程访问功能整合了多项关键技术，支持不同类型的网络连接，每种连接方式都针对特定的远程访问需求而设计：

DirectAccess ：这是远程访问的核心组件之一，最初随 Windows Server 2008 R2 引入。它无需传统 VPN 即可建立与企业网络的无缝安全连接。通过使用 IPsec 加密 DirectAccess 客户端与服务器之间的通信，确保数据在互联网传输过程中始终受到保护。此外，它利用 IPv6 over IPv4 隧道技术实现内网连接，使用户能够更便捷地从远程位置安全访问内部资源。
路由和远程访问服务(RRAS) ：该服务取代了 Windows NT 时代 的 远程访问服务(RAS) ，并于 Windows 2000 中首次推出。 RRAS 是一项多功能服务，结合了 VPN 和拨号连接功能，能够建立远程站点之间的安全链路。此外，RRAS 还支持在不同子网之间路由流量，使其成为管理复杂网络环境的重要工具，确保远程用户能够连接到所需资源。
Web 应用程序代理 ：该功能可在 Windows Server 2025 上使用。作为反向代理，Web 应用程序代理能够实现从外部网络安全访问托管在内网的 Web 应用程序。这一功能通过集成 Active Directory 联合身份验证服务 （ AD FS ）实现，后者可对企业用户进行身份验证，确保只有授权个人才能通过外网访问敏感的内部应用程序。这项技术对于需要在不降低安全性的前提下为基于 Web 的资源提供安全远程访问的组织尤为有益。

在 Windows Server 2025 中设置远程访问服务器需要先添加远程访问角色，如图 5.13 所示。此角色配置是启用一系列远程访问技术的第一步，这些技术能同时提升远程用户的连接性和安全性。通过实施这些技术，企业可以确保员工获得在任何地点高效工作所需的工具。同时，IT 管理员能够保持对这些连接的安全性和管理控制。

图 5.13 - 在 Windows Server 2025 中添加远程访问角色

在接下来的小节中，我们将深入探讨 远程协助功能 ，详细介绍如何在您的服务器上启用和配置此功能，从而进一步提升组织的远程支持能力。

如何使用远程协助

远程协助 是 Windows Server 2025 中的一项重要功能，它允许受信任的个人（通常是 IT 支持专业人员，即发起者）远程查看并控制用户桌面（即受邀者），以协助诊断和解决技术问题。该功能对于拥有远程员工或分布式网络的组织尤为有益，它使支持人员无需亲临现场即可提供实时帮助，从而减少停机时间并提高效率。整个过程始于受邀者请求协助，并授予发起者访问其系统的权限。这确保了受邀者始终保持控制权，并能监督整个故障排除过程，既增强了安全性，又提升了用户使用体验。要在服务器上启用远程协助功能，管理员需使用 添加角色和功能向导 ，该过程简单直观，如 图 5 .14 所示 .

图 5.14 - 在 Windows Server 2025 中添加 RSAT 功能

在接下来的小节中，我们将探讨 远程服务器管理工具 ( RSAT ) 功能，这是一套强大的工具集，通过允许管理员从单一工作站管理其他服务器上的角色和功能，进一步增强远程管理能力，从而简化 Windows 服务器环境的管理工作。

RSAT 如何工作？

Windows Server 2025 中的 RSAT 使系统管理员能够远程管理运行 Windows Server 2025 的其他服务器上的服务器角色和功能。 RSAT 提供图形界面和命令行界面两种方式，为管理员与服务器环境的交互提供了灵活性。此外，RSAT 兼容运行 Windows 10 或 11 的客户端计算机，使得可以从更广泛的设备上进行集中管理。

管理员可以使用添加角色和功能向导 （如图 5.15 所示）来启用 RSAT 功能。该功能激活后，可支持从配置 Active Directory 设置到管理组策略、监控服务器性能等多种管理任务。

图 5.15 - 在 Windows Server 2025 中添加 RSAT 功能

相比之下， Windows Admin Center 提供了一个基于浏览器的现代化 RSAT 替代方案。虽然 RSAT 采用更传统的远程服务器管理方式，但 Windows Admin Center 将多种管理工具集成到统一的界面中，简化了管理体验。该工具允许管理员通过基于 Web 的界面轻松管理服务器、集群、超融合基础设施以及 Windows 10 或 11 设备，并且可随时随地访问。

下一节我们将讨论 远程桌面服务 ( RDS )服务器及其配置方法。

RDS 详解

RDS 在 Windows 服务器中扮演着关键角色，使用户能够从远程位置访问计算机和应用程序的图形界面，无论他们处于同一网络还是通过互联网连接。在 Windows Server 2008 R2 更名前， 终端服务 （ TS）是其旧称。RDS 提供强大功能，允许用户直接在桌面上运行虚拟化应用程序。这一特性在需要集中管理应用程序和桌面的企业环境中尤为重要。

默认情况下，Windows Server 允许两个并发的远程桌面会话而无需额外许可。这一限制对于基本管理任务已足够，但当需要超过两个用户同时连接时，必须配置 RDS 许可服务器来管理额外的许可证。要在 Windows Server 2025 环境中启用并正确配置 RDS，必须通过服务器的管理界面添加 RDS 角色，如 图 5 .16 所示。 .

图 5.16 - 在 Windows Server 2025 中添加 RDS 角色

在接下来的章节中，我们将深入探讨 RDS 许可服务器的安装与配置，这对于突破默认的会话限制至关重要。

如何管理 RDS CALs

远程桌面服务客户端访问许可证 ( RDS CALs ) 是用户和设备访问 远程桌面会话主机 ( RDSH ) 服务器所必需的，该服务器允许远程连接至桌面和应用程序。 RDS 许可证服务器在管理这些许可证以及在其网络内发放和跟踪使用情况方面起着关键作用。默认情况下，RDS 许可证服务器支持最多两个并发远程桌面会话而无需额外许可。对于需要超过这两个免费连接的组织，必须购买额外的 RDS CALs 以符合许可要求并支持更多用户。

要在 Windows Server 2025 上配置 RDS 许可服务器，首先需要在服务器上安装 RDS 角色。随后选择远程桌面许可作为角色服务，如图 5.17 所示。此设置可确保服务器能够发放适当数量的许可证，以满足组织的远程访问需求。

图 5.17 - 在 Windows Server 2025 中添加远程桌面授权角色服务

此外，定期审查和管理您的 RDS CAL（远程桌面服务客户端访问许可证）至关重要，以确保符合许可协议要求并避免服务中断。在接下来的章节中，我们将深入探讨如何配置远程桌面网关 （RDG）服务器，重点介绍如何通过它安全地远程访问您的网络资源。

RDG 设置

RDG 是 Windows Server 中一项重要的角色服务，它能够实现从互联网任何位置安全访问私有网络内的计算机。该服务作为远程桌面客户端与内部目标计算机之间的中介或代理，确保所有通信都经过加密且安全。通过部署 RDG，企业可以为远程用户提供网络资源访问权限，同时避免将内部系统直接暴露于互联网。

在 Windows Server 2025 上安装和配置 RDG 服务器，首先需要为服务器添加 RDS 角色。安装此角色后，选择 远程桌面网关作为特定角色服务，如图 5.18 所示。此设置使 RDG 服务器能够处理传入的远程桌面请求、验证用户身份，并在客户端与网络资源之间建立安全的加密连接。

图 5.18 - 在 Windows Server 2025 中添加 RDG 角色服务

此外，RDG 还支持高级功能，例如集中管理用户访问权限和执行安全策略。例如，RDG 可与 NPS 集成以实施条件访问策略，确保只有合规设备和用户才能建立连接。

在接下来的小节中，我们将介绍 VPN，解释其在增强远程访问安全性方面的作用，并详细说明实施 VPN 解决方案的步骤。

什么是 VPN？

A VPN 提供了一种安全的方式，用于连接位于不同网络的计算机并通过互联网传输数据。通过利用隧道协议和加密技术，VPN 创建了一个虚拟链路，模拟端点之间的直接连接。这项技术对于将远程用户连接到其企业网络或通过互联网链接不同组织网络至关重要。主要有两种类型的 VPN：

远程访问 VPN ：这种 VPN 旨在为远程办公人员或外勤员工提供从任何位置访问公司私有网络的权限。此类 VPN 会在用户设备与企业网络之间建立安全隧道，确保数据传输过程中的隐私性和完整性。
站点到站点 VPN ：这种 VPN 连接不同位置的整个网络，使得两个独立网络能够通过互联网实现无缝通信。此类 VPN 特别适合拥有多个分支机构或办公室、需要安全共享资源和数据的组织。

要在 Windows Server 2025 中设置 VPN 服务器，您需要安装远程访问角色并选择 DirectAccess 和 VPN（RAS） 角色服务，如 图 5 .19 所示 .

图 5.19 - 在 Windows Server 2025 中添加 DirectAccess 和 VPN（RAS）角色服务

DirectAccess 与 VPN 虽然目标相似，都是提供安全的远程连接，但在实现方式和应用场景上存在显著差异。 DirectAccess 通过自动将远程用户连接到企业网络而无需单独的 VPN 客户端，提供了更无缝的体验。它直接集成于 Windows 操作系统，并提供诸如 持续在线连接 和 自动访问 内部资源等功能。相比之下，传统 VPN 解决方案需要用户手动发起连接，且通常需要额外的客户端软件。 VPN 通常更具通用性，可跨多种操作系统和设备使用，而 DirectAccess 则专门针对具有同质化 Windows 基础架构的环境设计。

在接下来的小节中，我们将深入探讨应用程序虚拟化 （App-V）服务。App-V 无需本地安装即可运行应用程序，通过虚拟化技术实现这一功能。通过将应用程序与本地环境隔离，App-V 有助于减少因不同应用程序需求和设置而产生的冲突与兼容性问题。对于寻求简化应用程序管理、部署和安全性的 IT 专业人员而言，这项服务被证明是一个宝贵工具，它能提高整体效率并减少潜在的中断风险。

App-V 详解

Microsoft App-V 允许用户访问托管在服务器而非本地安装的应用程序，提供如同应用程序直接在设备上运行的流畅体验。该服务通过减少传统安装方式可能产生的冲突和兼容性问题，简化了应用程序管理。 App-V 使系统管理员能够集中管理应用程序访问权限，从而控制用户可交互的应用程序。要部署 App-V，您首先需要从 Microsoft Desktop Optimization Pack （ MDOP ）中获取该组件，该套件可在 Microsoft 官网下载。

在现代环境中，App-V 越来越多地应用于基于云的场景，而非传统的本地安装。 基于云的 App-V 部署具有多项优势，包括可扩展性、降低的基础设施成本，以及更简便的更新和维护。通过利用云资源，企业能够更灵活地部署和管理虚拟化应用程序，确保用户无需本地安装或大量硬件即可获取最新应用。这种方法提升了应用程序管理的效率和安全性，特别适用于动态分布式的工作环境。

注意

如需详细了解如何在本地服务器上部署 Microsoft App-V，请访问 Microsoft 官方文档中的 App-V 部署指南 https://learn.microsoft.com/en-us/microsoft-desktop-optimization-pack/app-v/appv-deploy-the-appv-server 。该资源提供了在您的本地环境中成功设置和配置 App-V 服务器的全面指导与最佳实践。

接下来，我们将深入探讨多端口及其应用管理这一主题。

理解多端口

在本小节中，我们将探讨如何运用多端口这一对有效管理网络通信至关重要的概念。典型示例是微软 App-V 服务，该技术允许应用程序在服务器上运行，而非安装在每个用户的本地设备中。这种虚拟化技术通过将应用程序与本地操作系统隔离，有效避免了软件冲突和兼容性问题。对于 IT 专业人员而言，App-V 提供了简化的应用程序管理与部署方案，在提升安全性的同时优化了运营效率。

此前，我们探讨了 RDS 以及使用端口 3389 建立远程桌面连接的方法。然而，RDS 默认情况下每个端口仅支持一个活动远程会话。为实现多台计算机的并发访问，RDS 采用从 3390 开始依次递增的额外端口号。每个端口号对应不同的远程会话，允许多个用户在一个局域网 ( LAN ) 内同时连接。

此外，通过使用 IP 套接字可以管理对多个系统的远程访问，IP 套接字将 IP 地址与端口号结合，以指定唯一的通信通道。 IP 套接字有助于在客户端和服务器之间准确引导数据流量。 IP 套接字的格式如下：

语法： 公网 IP 地址:端口号

示例： 113.79.43.133:3389

理解并管理多个端口对于优化网络性能和确保高效的远程访问至关重要。本节介绍了 RDS 和 App-V 中端口使用的基础知识，为接下来关于 Windows Server 2025 中文件和打印服务的讨论奠定了基础。

为网络环境部署文件和打印服务

文件和打印服务可追溯至计算机网络早期，当时的主要目标是实现用户间的资源共享。经过多年发展，这些服务已成为家庭和企业网络的基础功能。它们包括文件存储管理——使用户能高效存储、检索和共享文件，以及打印服务——实现打印机网络共享，便于多设备访问打印资源。现代网络操作系统 （NOS），如 Windows Server 2025，提供具备增强功能的先进文件和打印服务，包括网络安全、访问控制及与云存储解决方案的集成。这些服务旨在通过确保文件和打印机在各种网络环境中易于访问、安全且高效管理，从而简化数据管理并提升生产力。随着网络技术的持续进步，文件与打印服务不断演进，以提供更优的性能、可扩展性以及与新兴技术的兼容性。

文件服务概述

文件服务角色 作为 Windows Server 2025 的核心网络组件，在操作系统安装过程中将自动包含（参见 图 5 .20 ）。该角色为网络环境中的数据管理和访问提供了基础功能。文件服务角色包含以下关键特性：

文件共享 ：该功能允许用户通过网络共享文件和文件夹，使授权用户可以从不同设备和位置访问这些资源。它简化了协作和数据交换流程，特别适用于组织内部使用。
工作文件夹 ：此功能使用户能够在其本地设备与服务器之间同步工作文件，确保数据始终保持更新状态，并可在多个终端设备上访问。
分布式文件系统(DFS)命名空间 ：DFS 命名空间提供了文件共享的统一视图，使用户能够通过单一命名空间访问文件和文件夹，无论这些资源在网络上实际的物理位置如何。这简化了文件访问并提升了用户体验。
BranchCache ：该功能通过在分支机构本地缓存频繁访问的文件来优化网络性能。它能减少带宽消耗并提高访问速度，特别适用于网络连接受限的远程办公场景。

这些功能共同构成了一套完整的工具集，用于在网络环境中高效管理和访问数据。它们支持从本地文件共享到远程同步以及高效缓存等多种数据访问场景。

在接下来的小节中，我们将探讨 PDS 的作用，包括其各个组件和安装流程，以进一步提升网络资源管理能力。

PDS 角色概述

PDS 角色 在 Windows Server 2025 中发挥着集中管理网络打印和扫描功能的关键作用。通过支持网络打印机和扫描仪，PDS 角色简化了打印作业的发送接收流程，并实现了网络内扫描文档的统一管理。要配置打印服务器，必须先在 Windows Server 2025 上安装 PDS 角色，如 图 5 .20 所示。安装完成后，可添加各种附加角色服务来扩展 PDS 功能。

图 5.20 - 在 Windows Server 2025 中添加 PDS 角色

PDS 提供的关键角色服务包括以下内容：

打印服务器 ：该服务负责管理打印队列、处理打印机的部署以及协助打印服务器迁移，确保打印作业高效处理，并使打印机资源得到优化利用。
互联网打印 ：这项功能允许用户通过网络打印文档，使用 互联网打印协议 （ IPP ）。它为远程打印提供了便捷方式，使用户能够从任何具备互联网接入的地方提交打印任务。
行式打印机守护进程 (LPD) 服务 ： LPD 服务支持基于 Unix 的系统及其他非 Windows 操作系统通过 行式打印机远程 （ LPR ）协议进行打印。该服务确保了跨平台互操作性，使不同打印环境的集成更为便捷。

图 5.21 - 在 Windows Server 2025 中安装 PDS 角色服务

此外，PDS 角色还支持高级功能，如打印管理、审计和安全打印释放，这些功能增强了打印任务的控制和安全性。在接下来的小节中，我们将探讨各种与打印机相关的概念，从本地打印机的设置和管理开始，并扩展讨论这些概念如何融入更广泛的网络打印策略。

什么是本地打印机？

本地打印机 是通过并行端口或 USB 端口直接连接到单台计算机的设备，主要功能是为该特定计算机打印文档。这种直接连接方式限制了其仅能被主机访问，除非启用打印机共享功能，才允许网络中的其他计算机使用。本地打印机设置和管理简单，但在多用户需要访问的大型环境中可能成为瓶颈。

相比之下， 网络打印机能够连接到网络，无需为每台计算机建立专属连接即可被多台电脑同时访问。这类打印机通常配备网络接口卡 （NIC）或通过打印服务器连接，可处理来自网络内任何授权用户的打印任务。这种集中式打印方案提高了效率，简化了管理流程，无需为每个工作站单独配置打印机连接。

同样地， 互联网打印机 （这类设备可以视为网络打印机的一种）支持通过互联网进行打印。这类打印机可通过 网页协议 访问，使用户能够从远程位置打印文档。互联网打印机通常采用专用软件或基于云的服务来实现随处打印功能，相比本地网络打印机具有更高的灵活性和可访问性。

总之，本地打印机适合个人使用或需要共享访问的小型设置，而网络和互联网打印机通过提供集中化、远程且更灵活的打印选项，为大型组织提供了可扩展的解决方案。

网络打印机详解

网络打印机 与本地打印机的区别在于 它不依赖于与单台计算机的直接连接。相反，它配备有线或无线网络接口，允许同一网络上的多台设备进行访问。这一特性消除了为每个工作站单独建立连接的需求，使网络打印机成为共享环境的理想选择。此外，通过适当配置，网络打印机还能通过互联网实现远程访问，将其功能扩展至本地网络之外。虽然前文已介绍过网络打印机的概念，但本节将重点探讨 Windows Server 2025 环境中网络打印机的部署与管理。观察浏览器中显示的网址， 图 5 .22 展示了网络打印机服务如何高效管理网络打印机。

图5.22 - 添加网络打印机

在接下来的章节中，我们将探讨打印机池技术，这项功能为管理多台打印机和优化打印资源提供了进一步的增强方案。

理解打印机池

打印机池 是 Windows Server 2025 中优化企业环境打印管理的关键功能。通过将多台物理打印机组合成单个虚拟打印机，打印机池有助于简化打印操作并提高效率。在大型组织中，这种配置尤其有利，因为它能将打印负载均衡分配到多台设备上，最大程度降低单台打印机成为瓶颈或出现停机风险的可能性。

在实际应用中，打印机池技术通过处理更高打印请求量和降低打印机拥塞可能性，提供了更可靠且可扩展的打印服务。当用户向虚拟打印机发送打印任务时，这些任务会自动分配给池中可用的打印机。这种分配机制确保打印任务能更快完成，同时避免单台打印机因过载而瘫痪。

此外，打印机池技术通过向终端用户呈现统一的打印机界面，简化了打印机管理流程，尽管实际运作中涉及多台物理设备。这意味着用户只需与一个打印队列交互，使得打印过程更直观且不易出错。

要设置打印机池，您需要在 Windows Server 2025 上安装 PDS 角色及打印服务器角色服务。安装完成后，可通过 打印管理控制台将打印机添加到池中并配置池化选项，如图 5.23 所示。此配置不仅能提高打印服务可靠性，还能通过确保高效稳定的打印能力来提升整体组织生产力。

图 5.23 – 在 Windows Server 2025 中添加打印机池中的打印机

在接下来的章节中，我们将深入探讨如何集成和管理共享网络资源，这进一步有助于实现高效的 IT 基础设施管理。

互联网打印概述

互联网打印 允许用户通过网页浏览器向网络打印机发送打印任务，提供了一种便捷的远程管理打印作业的方式。此前我们讨论过互联网打印的概念，它使用户能够通过基于网页的界面访问和使用网络打印机。本节将重点介绍在组织内部署互联网打印的实际案例。要在 Windows Server 2025 上设置互联网打印，必须安装 PDS 角色并选择互联网打印角色服务。此外，还需配置 Web 服务器角色(IIS)以支持此功能。

配置完成后，用户可通过在浏览器中访问 http://servername/printers 来使用可用打印机，如 图 5 .24 所示。该设置支持远程打印功能，使用户能够更方便地管理网络内不同位置的打印任务，从而提升整体工作效率和灵活性。下一节我们将深入探讨网络打印服务的管理，重点介绍如何通过配置和优化来更好地满足组织需求。

图5.24- 网络打印

接下来，我们将探讨网络打印服务的管理。这包括配置和优化基于网络的打印解决方案，以确保组织内的高效运行和易用性。我们将涵盖关键方面，如设置和维护网络打印服务器、管理用户访问权限以及排查常见问题，从而确保流畅高效的打印体验。

《5》理解网页打印管理

网络打印管理 ，通常被称为 互联网打印 ，不仅提供通过网页打印文档的功能，还包含用于远程管理打印任务的完整工具集。该功能允许用户通过任意网页浏览器与打印任务交互，获得与直接使用本地或网络打印机同等的控制便利性。要使用此功能，用户需在浏览器地址栏输入 http://servername/printers ，系统将显示管理界面（参见 图 5 .25 ），用户可在此查看并控制其打印作业。

图5.25 网页打印管理

这一功能特别适用于需要从不同位置管理打印任务或需要对打印资源进行集中控制的环境。不过，在使用网络打印管理功能前，请确保已安装 Internet Printing 角色服务。这需要先添加 PDS 角色，再安装 Internet Printing 角色服务。

在接下来的小节中，我们将深入探讨打印机驱动程序的部署与管理，这对于确保打印机在您的网络中正确高效运行至关重要。

了解打印机驱动程序部署

理解打印机驱动程序部署是网络环境中实现高效打印管理的关键环节。Windows Server 2025 中的打印管理控制台为此提供了集中化管理平台，可统一管理打印机及其驱动程序。通过该控制台部署打印机驱动程序时，需为特定打印机选择合适驱动，并将其推送至网络中的一台或多台计算机。这能确保打印机始终使用最新驱动版本，对于维护跨系统兼容性、功能完整性和性能表现至关重要。

除了安装或升级驱动程序外，该控制台还提供管理打印队列、监控打印作业以及配置打印机设置的工具。这种集中式管理方法简化了打印资源的管理，并有助于快速解决任何潜在的问题。

图 5 .26 展示了如何使用 Windows Server 2025 中的 打印管理 控制台部署打印驱动程序，重点说明了确保所有网络打印机都配备正确且最新驱动程序的步骤。

图5.26 - 使用打印管理控制台部署打印驱动程序

在接下来的章节中，我们将探讨用户权限、 新技术文件系统 （ NTFS ）权限以及共享权限。理解这些概念对于管理访问控制、确保网络环境中共享资源的安全性至关重要。

理解用户权限与访问管理

有效的访问管理和安全性是维护任何网络环境完整性的基础。为确保强大的保护和正确的资源管理，管理员必须全面掌握用户权限 、NTFS 权限和共享权限 。用户权限规定了用户在系统操作和资源方面的能力与限制。NTFS 权限控制着对文件和目录的访问，无论是在本地计算机还是网络驱动器上。相比之下，共享权限则管理着对网络共享资源的访问。掌握这些概念使管理员能够实施适当的访问级别，保护数据安全，并防止对敏感信息的未授权访问。在接下来的章节中，我们将详细探讨这些要素，提供有关配置和管理的实用指南。

NTFS 权限详解

要在 Windows 环境中有效管理访问权限与安全性，必须理解 NTFS 权限 的细微差别。在 Windows 中管理文件夹安全设置时，您可以右键点击文件夹，选择属性，然后导航至安全选项卡，查看权限的详细信息。在这里，您会遇到多种控制用户与文件及文件夹交互方式的权限类型：

完全控制 ：此权限提供全面访问能力，允许用户执行所有操作，包括读取、写入、修改、执行、更改属性和权限，以及删除文件和子文件夹。它授予对文件夹内容的完整管理权限。
修改：允许用户查看和更改内容，包括添加、编辑和删除文件及子文件夹，但不可更改权限或属性。
读取和执行 ：用户可以运行可执行文件并管理其执行。此权限还允许查看文件及其内容，但不允许修改。
列出文件夹内容 ：该权限使用户能够查看文件夹内文件和子文件夹的名称及属性，但不授予打开或修改文件的权限。
读取：此权限提供查看文件及其属性的能力，但不允许对文件内容进行任何更改。
写入：此权限允许用户添加新文件并修改现有文件内容，但不允许读取或执行文件。
特殊权限 ：此功能提供了对特定文件或文件夹操作的高级精细控制，例如创建文件、删除子文件夹等细微操作。

权限以允许或拒绝方式应用（参见 图 5 .27 ），这将直接影响用户访问级别。这些权限的配置决定了用户如何与系统资源交互，从而影响数据安全和操作效率。

图 5.27 - Windows Server 2025 中的 NTFS 权限

通过理解并合理分配这些权限，管理员可以有效管理用户访问权限并维护安全的网络环境。

理解共享权限

除了用于管理本地服务器上文件和文件夹访问权限的 NTFS 权限外， 共享权限对于控制网络共享资源的访问至关重要。共享权限决定了用户如何与这些网络共享资源进行交互，并分为三个不同级别：

完全控制 ：该权限授予用户对共享资源的完全控制权，允许他们读取、修改文件及子文件夹，并更改其权限和所有权
更改：此权限允许用户读取、执行、写入和删除文件及子文件夹，但不授予修改权限的能力
读取：此权限限制用户仅可查看和列出共享资源的内容，不具备任何修改能力

这些权限与 NTFS 权限协同工作，共同构建分层安全模型。例如，如果 NTFS 权限限制了对文件的访问，共享权限无法覆盖此限制，反之亦然。正确配置共享权限可确保用户根据其角色和需求获得适当访问权限，同时保障网络资源的安全性。 图 5 .28 直观展示了如何在 Windows Server 2025 中设置和管理这些权限，详细说明了配置网络访问和确保有效资源管理所需的操作步骤。

图 5.28 - Windows Server 2025 中的共享权限

配置用户权限

有效管理用户权限是确保系统安全和适当运行效率的基础。用户权限可以通过诸如本地组策略编辑器 (gpedit.msc)、 本地安全策略或默认域策略等工具进行配置。要访问这些设置，请导航至计算机配置 |Windows 设置 | 安全设置策略 | 用户权限分配 。这些策略允许管理员为用户账户定义特定的系统权限，包括谁可以本地登录、访问网络或管理系统服务。在域环境中，某些用户权限可能已根据组织的默认域策略预先设置（参见 图 5 .29 ）。

图 5.29 - Windows Server 2025 中的用户权限分配

理解用户权限与许可之间的区别对于有效的系统管理至关重要。 用户权限 决定了用户能在整个系统上执行哪些操作，例如关闭服务器或管理系统服务。相比之下，许可则更为精细，控制着对特定资源（如文件和文件夹）的访问权限。

正确配置用户权限和许可可确保用户拥有执行其角色所需的访问权限，同时维护服务器环境的安全性和完整性。这种全面的方法有助于防止未经授权的访问，并确保安全策略符合组织要求。

监控文件服务器活动

鉴于文件服务器在组织 IT 基础设施中的关键作用，通过审计实施严格监管对于确保数据安全和合规性至关重要。审计使管理员能够追踪并记录与文件访问、修改和删除相关的所有活动。这包括详细记录谁访问了特定文件、进行了哪些更改以及这些操作发生的时间。如此全面的监控对于检测未经授权的访问、排查问题以及确保遵守组织政策和法规要求是不可或缺的。

要在 Windows Server 2025 中设置和管理审计功能，您应使用本地组策略编辑器(gpedit.msc)、本地安全策略或默认域策略。导航至计算机配置 |Windows 设置 | 安全设置 | 本地策略 | 审核策略 ，根据需求配置审计设置（参见图 5.30）。此设置允许您定义记录哪些活动及其报告方式，从而获取文件服务器操作的详细可执行洞察。

图 5.30 - Windows Server 2025 中的审核策略

高效审计不仅能保护敏感数据，还对维护 IT 基础设施的整体健康起着关键作用。它提供透明度、助力合规并支持主动管理。下一节我们将重点介绍 Web 服务器(IIS)和 PDS 角色的安装配置，这些对扩展和优化服务器功能至关重要。

章节练习 - 安装 Web 服务器(IIS)和 PDS 角色

在本章练习中，您将完成两项关键任务以增强服务器能力：

首先安装 Web 服务器(IIS)角色，该角色使服务器能够托管管理 Web 应用程序、网站及各类基于 Web 的服务，成为互联网/内网活动的核心枢纽。对于 Web 服务在业务运营中起关键作用的环境，此步骤尤为重要。
接下来，您将安装 PDS 角色，这是任何依赖集中管理打印机和打印作业的网络环境中的关键组件。该角色使您的服务器能够高效监管打印任务，确保网络打印机得到有效管理，打印作业按优先级处理，以及资源得到最优化的利用。

通过完成这些任务，您的服务器将配备支持网络环境下网页托管和文档服务所需的基础工具，使其成为 IT 基础设施中更通用且功能强大的资产。

设置 Web 服务器(IIS)角色

在 Windows Server 2025 中设置 Web 服务器(IIS)角色可让您高效托管和管理 Web 应用程序及服务。要安装此角色，请按照以下步骤操作：

首先从 开始菜单 打开服务器管理器
点击 添加角色和功能 启动 添加角色和功能向导 ，如 图 5 .31 所示 .
选择 基于角色或功能的安装 选项，然后点击 下一步 .
通过选择 从服务器池中选择服务器 确保从服务器池中选择了正确的服务器，然后点击 下一步 .

图5.31- 选择目标服务器

在可用角色列表中，勾选 Web 服务器(IIS) 旁边的复选框 .
当出现需要为 Web 服务器(IIS)添加功能的提示消息时，点击添加功能按钮。
此时您无需添加任何额外功能，因此点击 下一步 .
在继续操作之前，请先查看 Web 服务器(IIS)角色的描述和安装说明。然后，点击 下一步 .
您可以选择接受 Web 服务器(IIS)的默认角色服务，也可以根据具体需求进行自定义配置。
确认所选内容后，点击安装按钮开始安装过程。
当安装完成后，点击关闭退出向导。此时无需重启服务器。

按照以上步骤操作后，您已成功在服务器上安装 Web 服务器(IIS)角色，使其能够托管和管理各类 Web 应用程序和服务。对于任何需要在网络环境中提供 Web 内容或基于 Web 服务的服务器而言，此配置都是基础设置。

安装 PDS 角色

在 Windows Server 2025 中设置 PDS 角色可使您的服务器有效管理网络中的打印机和打印作业。要安装此角色，请按照以下步骤操作：

首先从服务器管理器打开开始菜单
点击添加角色和功能启动添加角色和功能向导 .
选择基于角色或功能的安装选项，然后点击下一步 .
通过选择 从服务器池中选择服务器 ，然后点击 下一步 来确保从服务器池中选择了正确的服务器 .
在可用角色列表中，勾选 打印和 文档服务 旁边的复选框 .
当系统提示需要添加 PDS 所需功能时，点击 添加功能 按钮，如 图 5 .32 所示 .

图 5.32 - 添加 PDS 角色所需的功能

此时您无需添加任何额外功能，因此点击 下一步 .
在继续操作前，请先查看 PDS 角色的描述和安装说明，然后点击 下一步 .
您可以接受 PDS 的默认角色服务，或根据具体需求进行自定义。
确认所选内容后，点击安装按钮开始安装过程。
安装完成后，点击关闭退出向导。此时无需重启服务器。

服务器现已安装 PDS 角色，能够高效管理网络上的打印和文档服务。

按照上述步骤操作后，您将成功安装并配置 Web 服务器(IIS)角色，使服务器能够高效托管和管理 Web 应用程序及服务。下一节我们将深入探讨 IIS 高级配置与管理实践，以优化服务器的 Web 托管能力。同样地，通过完成前述步骤，您已安装并完成 PDS 角色配置，使服务器能够高效管理网络打印任务。

摘要

本章介绍了 Windows Server 2025 中角色、角色服务和功能的基础概念。我们深入探讨了文件服务器管理的关键方面，包括用户权限、NTFS 权限、共享权限以及审计对于确保服务器安全高效运行的重要性。此外，您还了解了各种常见应用服务器，如邮件服务器、数据库服务器、协作服务器、监控服务器和数据保护服务器，以及 Web 服务（如 IIS、FTP、SSL 和数字证书）的安装与配置。本章还涵盖了重要的远程访问服务，包括远程协助、RSAT、RDS、RDS 许可、RDG、VPN、App-V 以及多端口管理。这些主题对于在 Windows Server 2025 中有效添加和管理角色，以及通过正确应用用户权限、NTFS 权限和共享权限来保护文件服务器至关重要。

此外，本章还包含了安装 Web 服务器(IIS)和打印文档服务(PDS)角色的实践练习，使您的服务器能够托管网络应用程序并高效管理网络打印。在接下来的章节中，我们将重点介绍 Windows Server 2025 中的组策略，帮助您掌握为用户和计算机账户应用更精细、更精确设置的技巧。