图懒得搞了,需要的私
Lecture 1 Introduction to Windows Server 2016
确定每个 Windows Server 2016 版本的主要功能
Windows Server 2016平台共有三个版本:简洁版(essential)、标准版(standard)、数据中心版(data center),并且每个版本都还对应的有无GUI和有GUI的版本。
简洁版提供的功能很少,仅支持25个用户,尤其是这个版本不能添加域(domain),只能进行文件和数据的迁移,提供大部分服务器角色(server role),但是不提供虚拟机托管角色(hosting virtual machine)和云服务(cloud service)
标准版提供的功能就很全面,主要有这四大块:文件和打印服务、安全互联网连接、用户集中化管理(centralize management)、应用程序和网络资源集中化管理。同时也包括Hyper-V,即提供虚拟化环境。Hyper-V加快了克隆速度,实现单个VM的迁移并使VM信息以新的文件格式存储而不被直接编辑。
相较于之前的标准版本有以下更新(记住关键词即可):
域控制器(domain controller)可以被克隆用于创建其他域控制器;
通用路由封装(Generic Routing Encapsulation,GRE)作为隧道允许VPN访问外网;
Windows Defender内嵌;
存储分层(storage tiering)可以将选定的数据块移动到不同的存储位置;
存储固定(storage pinning)和存储分层并用可以将特定文件移动到所需的存储类型中;
并行重建(parallel rebuild)加快RAID中故障磁盘的重建速度;
虚拟桌面(virtual desktop)
标准版兼容语言:M.NET framework/MVS.NET
标准版的一大功能:集群(cluster)通过连接多个计算机系统来增加对服务器资源的访问并提供故障安全服务的能力,在外部看来就像是一个系统一样运行。2016版本新增功能:使用容器的选择。容器(container)是指一台计算机上的应用程序能够以隔离的方式(isolation fashion)运行,同时执行多个应用程序。有两种容器可以被选择——Windows Server容器和Hyper-V容器。Windows Server容器通过用户模式和进程隔离;Hyper-V容器运行在虚拟中,每个容器独占虚拟机,提供更高的隔离和安全性。
数据中心版支持64台计算机的集群配置,主要服务于大型数据库、大型虚拟化需求和云计算需求。数据中心版在虚拟化、云计算、数据库处理上比标准版更厉害,虽然数据中心版并不提供数据库软件,但是它有能适应大型数据库的操作系统资源的能力。
除了以上这些版本,还有其他的一些特殊版本,比如多点高级服务器(multipoint premium server)、存储服务器(storage server)、Hyper-V服务器(Hyper-V server),不一一赘述。
确定可与 Windows Server 2016一起使用的客户端系统
和Server2016版本兼容的客户端工作站系统(client workstation system)有win7-10,win10是最兼容的。两者合用会有很多新增功能,比如可以有更多网络诊断功能、网络通信问题恢复功能等。
客户是指通过网络访问另一套计算机中的资源的一个计算机。工作站指的是有独立CPU且可以用作独立计算机或网络计算机的计算机。
总拥有成本(Total Cost of Ownership,TCO)的减少是微软的总体目标。TCO是指拥有一个网络所需的所有成本,比如软硬、维护、员工培训等
域(Domain)是一组网络实体,比如计算机、服务器、和用户账号,域让这些实体便于管理。一个域中的计算机和用户可以被管理以确定它们能访问什么资源。
活动目录(Active Directory)是指计算机、用户、用户组、共享打印机、共享文件夹和其他网络资源的数据库。
Linus Integration Services(LIS)让Linux客户端能够访问Hyper-V中的LinuxVM
了解 Windows Server 2016 的重要常规功能规划
服务器管理器(Server Manager):能够让管理员从这一个工具中就能配置很多关键功能,我们每一个lab的第一个步骤都是从Server Manager开始的。能做的内容很多,比如配置Server、增删服务器角色和属性(add roles and features)、配置联网、安全性、管理备份等。2016版本的Server Manager提供了Local Server选项可以让所有本地服务器属性都可被管理。
安全:安装属性时会自动采用基本的安全级别(essential level of security),除此之外还有文件夹权限(可读可写可运行)、安全策略(Lab里做过设置密码长度、锁机时长等)、数据加密、身份验证等安全功能
集群:2016版本可以测试集群以保证完成预期任务、可以迁移集群配置、支持快速配置集群等
增强web服务:Microsoft Internet Information Services(IIS)在Lab中使用过,IIS能把系统转换为多功能的Web服务器,能让程序员更轻松的编写网络应用程序和配置Web程序
了解 Windows Server 2016 的硬件要求
Windows Server Core 和 Nano Server:Core指的是服务器的最低配置,没有GUI,类似传统的Unix和Linux。Nano服务器占用空间比Core小,为服务器计算机提供基础功能,速度更快维护更少。Nano服务器一般可以作为运行DNS/DHCP、应用程序服务器、web服务器、数据库或文件服务器的平台
Windows Powershell:执行命令和脚本(script)的自定义环境。脚本是包含要有计算机操作系统运行的命令文件。Powershell可以实现操作系统的大部分功能。并且Powershell提供了cmdlet,包含很多命令行工具
虚拟化:主要是指Hyper-V,它提供了一台计算机运行多个操作系统的能力(Win和Linux也可以兼用),并且Hyper-V和集群兼容,支持32/64位OS、兼容多种磁盘存储方法
可靠性:指的是OS内核在特权模式(privileged mode)下运行可以保证免受程序或进程的影响。特权模式提供额外的安全级别以防止入侵者和程序引起的系统崩溃。进程(process)是正在运行的程序或程序的一部分,受保护的进程(protected process)进行不受外部影响
多任务(multitask)和多线程(multithread):多任务是指能同时运行多个程序,多线程是指程序能够同时运行多个代码块或线程,抢占式多任务处理(preemptive multitasking)指每个程序都在一个分开的内存区域中运行,每个程序之间互不干扰
物理/逻辑处理器(processor):物理处理器是指插在主板上的处理器、2016最多支持64个物理处理器,逻辑处理器是一个可以运行自己的可执行线程的内核,一个物理处理器上可以由多个逻辑处理器。虚拟处理器是一种特用于VM的逻辑处理器。使用Hyper-V的2016版本最多支持320个逻辑处理器
容器:为每个程序建立一个单独的层或引擎。2016提供两种容器,Windows Server容器通过进程和用户模式隔离运行,Hyper-V容器运行VM,每个Hyper-V容器只运行单个VM,这可以消除一个容器的恶意程序攻击其他容器的风险
Windows Server 2016 网络模型
网络(network)是一种通信系统,能够计算机用户共享信息和数据。网络结构包含通过电缆或者无线网络设备连接的计算机。工作站或客户端网络操作系统可以让单个计算机访问网络并共享资源。
2016支持的网络模型主要有两个:点对点网络(peer-to-peer,P2P)和基于服务器的网络(server-based)
点对点网络使用工作站共享资源,不需要使用专用计算机就能让工作站进行通信和共享,P2P模型对小型网络十分有效,但是P2P模型让网络资源十分分散(decentralized),因此随着网络规模增加管理难度会变大,同时P2P模型缺乏资源安全性
基于服务器的网络是将一个可以提供多用户访问的单台计算机作为服务器,来提供网络资源。服务器可以同时处理许多用户的响应,因此网络阻塞(network congestion)会比较少。这种网络模型有很多优点:用户登录一次即可访问资源;比P2P模型更安全等
探索 Windows Server 2016使用的网络协议
协议(Protocol):指的是一种准则,这种准则声明了如何将数据格式化为数据包(packets)和帧(frame)这种的离散单元、数据包和帧如何跨网络传输、接收端如何解释数据包和帧。
数据包和帧是计算机之间传输数据的数据单位
2016版本主要使用TCP/IP协议,这是一种支持跨LAN和Internet通信的协议,其中LAN是指局域网,也就是相对临近的计算机之间的网络
TCP主要内容:通过控制数据流提供可靠的端到端数据交付,计算机设定一个数据传输的窗口(window)来确定每个窗口发送的字节数,窗口会根据网络流量不断调整大小。TCP是面向连接(connect-oriented)的通信,它确保数据包以正确的顺序被正确传送(UDP是不可靠的)
IPv4 和 IPv6 的介绍性概念
IP主要内容:提供网络寻址确保数据包快速到达目的地,有IPv4和IPv6两个版本。IPv4地址32位长。
传输方式分为单播、组播和广播(unicast multicast unicast)。单播指的是将数据包从服务器传给发出请求的每个客户端;组播指的是将所有客户端视作组,会把数据包传输给所有客户端;广播指的是将数据包发到网络上所有节点的计算机。
子网掩码能表示寻址类,能把网络划分为子网以控制网络流量,子网掩码由子网ID和主机ID组成
IP地址注意事项:127.0.0.0不能分配给任何网络,因为127.0.0.1是环回地址;不能在Internet上使用私有IP地址,NAT可以让私有IP地址访问Internet;如果一个IP被设置成了网络IP,那就不能再把这个IP分配给主机了;每个网络中的最大编号一般都分配为广播地址
静态和动态寻址:静态寻址即指每一个工作站有唯一的IP;动态寻址即每次登录计算机会自动分配一个IP地址,动态寻址使用DHCP协议。
默认网关:连接到其他网络的时候需要使用这个IP地址,可以理解为一个网络路由器的敲门砖。
DNS:域名系统,一种TCP/IP应用程序协议,能将域名和计算机名称和IP地址进行相互解析
NetBIOS名称:主要用于Windows网络中查找计算机,WINS(Windows Internet Name Service)能使服务器将NetBIOS名称转化为IP地址。Lab中做过这个部分,不过NetBIOS名称一般都会自动生成。
主机名(Host name):这是2016中将计算机名称解析为IP地址的首选办法。DDNS(动态域名系统)可以让客户端计算机在DNS中自动注册IP地址而不需要任何人工干预。如果DNS服务器不可用,就可以使用HOSTS文件和广播将IP地址解析为主机名。
物理地址及ARP协议主要内容:
地址解析协议(Address Resolution Protocol,ARP)用于获取NIC关联的物理地址。每一个NIC都有一个MAC地址用于计算机之间的通信。TCP/IP的正确通信依赖于IP地址和MAC地址的确定。2016版本中都有一个ARP缓存专门包含最近解析的MAC地址。
在 Windows Server 2016中配置和启用TCP/IP
使用TCP/IP协议只需要两个步骤:确定TCP/IP协议启动,配置TCP/IP协议
自动地址配置主要内容:
自动私有IP寻址(APIPA):用于自动配置计算机而不使用DHCP服务器,APIPA适用于不需要访问其他网络或Internet的小型组织。APIPA可以通过注册表(register)禁用。
注册表是一个数据库,存储计算机的有关配置、程序设置等对Windows OS设置很重要的数据
动态寻址:使用DHCP服务器,适用于中大型网络。在网络上安装DHCP服务器之后需要分配IP地址、子网掩码等一系列设置。
Summary
The Windows Server 2016 main platforms include Essentials Edition, Standard Edition, and Datacenter Edition
Windows Server 2016 also offers specific-purpose platforms that include Windows Server 2016 Multipoint Premium Server, Windows Storage Server 2016, and Windows Hyper-V Server 2016
Windows Server 2016 includes many vital features for security, networking, clustering, virtualization, cloud computing, reliability, database handling, and multitasking and multithreading
The two types of networking models used by Windows Server 2016 are peer-to-peer networks and server-based networks
Peer-to-peer networking is intended for small networks
TCP/IP is the default protocol installed with Windows Server 2016 and is an industry-standard suite of protocols and application utilities that enable communication across local and wide area networks
Two versions of IP are IPv4 and IPv6
Every network device must have a unique IP address to ensure network connectivity and the delivery of data
An IPv6 address uses eight 16-bit fields in hexadecimal format separated by colons and includes addressing rules to enable address prefixes
IP addresses can be manually configured using static addressing or automatically configured, using APIPA or dynamic addressing through a DHCP server
Lecture 2 Configuring the Windows Server 2016 Environment
使用 Server Manager 管理服务器/安装和删除服务器角色
服务器管理器(Server Manger):整合管理功能,使服务器更易于管理
2016版本中一般都要装两个角色:
文件和存储服务角色:从服务器共享文件,或通过DFS系统协调和简化文件共享过程
打印和文档服务角色:提供服务器之间通过网络连接的网络打印机
在服务器角色上使用最佳实践分析器
最佳实践分析(Best Practice Analyzer,BPA)用于确定是否将角色配置为推荐的方法。每一个角色都会生成一个报告包含三个严重性级别:信息、警告、错误。BPA指标有配置、预部署(pre-deployment)、后部署(post-deployment)、性能、BPA先决条件(prerequisites)
使用BPA:打开Server Manager——打开Local Server——BPA——Task——Start BPA Scan
配置服务器硬件
配置服务器硬件:包括磁盘驱动器、控制器,网络适配器,光驱,键盘,指针设备,监控等
即插即用(plug-and-play,PnP)意思是能够自动检测并配置新安装的硬件设备。PnP内置于设备中,在目标计算机的BIOS中启用,内置于OS内核中。
设备和打印机实用程序(device and printer utility):使用pnp检测新硬件、安装非pnp硬件和驱动、解决硬件问题。该程序可以从控制面板启动
设备管理器(device manager):检查资源冲突和设备属性,验证硬件工作状态,更新驱动程序,禁用设备,删除设备,配置设备
驱动程序签名(driver signing):验证驱动程序的唯一数字签名,没有签名的驱动程序在2016 x64版本中不能加载
使用System File Checker和Sigverif验证系统文件
系统文件检查器(System file checker):用于扫描系统文件完整性integrity
Sigverif指令用于验证系统和关键文件是否具有签名,扫描后会吧结果写入sigverif.txt日志文件中
配置操作系统、优化性能并配置环境变量
操作系统配置:目的是优化性能满足要求
性能选项:包括处理器调度和数据执行保护、虚拟内存、文件缓存和刷新
处理器调度:配出处理器资源分配给程序的方式
数据执行保护(data execution prevention,DEP):监视程序如何使用内存,确保不出现内存问题。
虚拟内存:使用磁盘扩展RAM,使用分页技术(paging)将页从RAM移动到磁盘上的虚拟内存中,变相扩大了RAM的容量。一般页都不放在引导分区上(即C盘),一般都会在每个磁盘中都放置分页文件,不可以把分页文件放到RAID-5上因为有奇偶校验性能慢。
文件缓存(caching):有专门的RAM区域进行文件缓存
文件刷新(flushing):数据写入磁盘后释放RAM的文件缓存区
环境变量:告诉操作系统在哪里可以找到程序,如何分配内存等。分为系统环境变量和用户环境变量。系统环境变量是操作系统定义应用于所有用户;用户环境变量是用户设置,指定程序存储路径等。用户环境变量覆盖和其有冲突的系统环境变量。
启动和恢复选项:多系统的选择;有的电脑每次开机的时候显示各种模式,设置选择这些模式显示的时间;系统发生故障时将信息写入系统日志
电源选项:三个默认电源计划balanced、Power Saver、High Performance;电源按钮三个选择 Shut down、Do Nothing、Hibernate(睡眠);也可以自己创建电源计划
协议:添加一些自己需要的协议,PPT里给了两个
Hyper-V extensible virtual switch protocol:需要有Hyper-V角色,允许主操作系统和虚拟分区中虚拟操作系统之间使用软件虚拟开关
Reliable Multicast Protocol:在IP上运行,简化组播通信
了解和配置Registry
注册表(register):一个复杂的数据库,包含服务器所有信息。
注册表是一个服务器的协调中心(coordination center),内包含了用户配置文件、组策略信息、软件配置信息等。
cmd中输入regedit可启用注册表编辑器。
万不得已的情况下才能修改注册表,应该需要建立一个有权限打开和修改注册表的管理员组,注册表不能从另外一个系统复制过来
注册表是分层的,由key、subkey、entries组成。Key可以理解为注册表中的信息类别;subkey可以理解为一个key下的一些较低级别的key;entry可以理解为key/subkey下的数据参数;root key中包含最高级别数据
几个重要的KEY
HKEY_LOCAL_MACHINE root key:包含每个硬件组件信息,一些subkey存储为一组,称为hive,因为他们包含的信息相关。
HKEY_CURRENT_USER key:包含当前登录的用户信息
HKEY_USERS root key:包含登录过服务器的所有用户的配置文件
HKEY_CKASSES_ROOT key:程序扩展名
HKEY_CURRENT_CONFIG root key:硬件配置文件
备份注册表:设置还原点(restore point)可以返回到还原点之前注册表的状态
使用Windows PowerShell
Windows Powershell:执行命令和脚本的命令行界面,cmdlet包含了常见任务的指令,基本能满足大部分服务器操作需求
Summary
Server Manager is tool offered in Windows Server 2016 that helps centralize server management tasks
After server roles are installed, you can use the Best Practices Analyzer (BPA) to ensure one or more roles are optimally configured and running
The Devices and Printers utility in Control Panel with the Add a device option enables the installation of hardware devices not properly detected by PnP
Device Manager is a tool you can access from Control Panel or the Computer Management tool to manage hardware
The System File Checker and Sigverif are tools for verifying system files
After Windows Server 2016 is installed, you can tune performance by configuring processor scheduling and Data Execution Prevention (DEP) use, virtual memory, and file caching and flushing
Environment variables are important to configure because they help the OS to find specific programs, help programs to properly allocate memory, and help to control specific programs
To protect your system from complications due to power problems, configure startup and recovery options as well as power options
Knowing how to install a protocol is a skill that is similar to knowing how to change a flat tire; don’t need it often but it is important to know
The Registry is a database that is at the foundation of Windows Server 2016
Windows PowerShell is a command-line tool that enables a system administrator to manage a server using commands, cmdlets, and scripts
Lecture 3 Introduction to Active Directory and Account Management
了解 Active Directory 基本概念
活动目录包含所有网络资源的信息和目录服务,其中目录服务提供资源和快速查找、访问特定资源的一个集中列表(central listing),并提供管理网络资源的方法。2016版本使用AD来管理账户、组以及其他网络服务
域控制器(domain controller)是指安装了ADDS服务器角色的服务器,它包含AD中信息的可写拷贝
成员服务器(member controller)是指由AD管理,但是没有安装AD的服务器
域(domain):包含有关分组的所有网络资源信息的一种容器,每一个资源都称为一个对象(object)
多主复制(multimaster replication):每个DC和其他DC对等,都包含AD全部信息;一个DC信息改变,其他DC也会改变。2016版本中的AD可以只复制单个账户而非所有账户,且复制速度取决于网络速度
AD的三个概念:架构(schema)、全局目录(Global catalog)、命名空间(namespace)
AD架构:定义对象以及相关信息,就像是一个关于对象的小数据库。由于DC的多主复制的特性,每个DC里都会有AD架构的信息。用户账户(user account)是AD里的一类对象,具有唯一性。
全局目录:保存森林中的每一个对象的信息。森林里的第一个DC作为全局目录服务器(global catalog server),当然也可以自行设置,且全局目录服务器可以有多个。
全局目录服务器将每个对象的完整副本存到自己的域中,将部分副本存在林中的其他域中。全局目录服务器可以在全森林范围内搜索。全局目录可以用于关键对象信息的中央仓库并提供所有资源的查找和访问,因为只有全局目录服务器存的有完整的对象信息。
命名空间:网络中包含目录服务和命名对象的逻辑区域,这个区域可以执行名称解析。AD采用两种命名空间:Contiguous(连续的),即每个子对象都包含父对象的名称、disjointed(不连续的),即子对象名称和父对象名称不相似。
AD容器类似树状的结构,分层元素包括:森林、树、域、组织单位(organization unit,OU)、节点(site)。以下是对每一个结构的介绍。
森林:由多个AD树组成。森林中的树可以用使用相同的架构、全局目录、命名空间(连续不连续均可);森林中域的信任双向传递。
森林可以关联每一个树的域中使用连续命名空间的树,但是域和域之间的命名空间其实是不连续的。可以参考右边这张图。
把树放到森林中的优点是所有域都可以共享同样的架构和全局目录。
森林功能级别(forest functional level)是指森林范围内支持的AD功能,每次升级服务器系统的时候都最好也把森林功能级别升级到相应版本(操作步骤:Tool——AD Domains and Trusts——右键左栏的ADDT——raise forest functional level)
树:一个树由一个或多个有公共关系的域组成。
域使用连续命名空间,并且可以有层次结构(父域和子域)。树中的域存在Kerberos关系,即可传递信任关系(transitive trust relationship),因此父域和子域之间双向信任,即任何一个域都能访问其他域的资源。
树中的所有域中的对象都使用相同架构,所有域都使用相同的全局目录。
域:森林中的逻辑分区(logic partition),域是一组对象。作为AD中的主容器。
域提供一个分区用来容纳具有共同关系对象,尤其是管理和安全性方面的关系。域也可以建立一组需要进行在DC之间复制的信息。由于有关系的对象被分成了一个组,所以也加快了一组对象的管理。
域也有类似森林的功能级别,叫做域功能级别
组织单元(OU):域范围内对象的分组,OU可以嵌套OU。同一个OU内的对象可以使用同样的组策略进行管理。OU让业务部门对资源使用具有更大灵活性。
OU最多设置10个,OU适合扁平化设计、OU结构会消耗CPU资源导致访问时间变长。
节点:一个基于TCP/IP的一个概念,指的是AD中连接到一个子网的一个容器。节点反映了互联子网和网络的物理架构。因此节点可以让客户端访问物理距离上最近的DC。节点只包含两种对象:服务器和配置对象。节点基于连接性和复制功能。
节点使客户端可以使用物理路由,而不是IP地址来访问物理服务器。因此当AD有包含DC的位置的信息时DC复制效率最高;节点在其下的DC之间设置了冗余路径可以看右图site里的几个DC之间有路径;
桥头服务器是一个有交换冗余信息角色的DC,每一个节点只设置一个桥头服务器用来连接其他节点。可以看右图,每个site里都只有一个桥头服务器用来连接其他site
安装和配置 Active Directory
AD配置指导:AD要尽可能简单,域尽可能少,一个最好;小型网络一般都只有一个域,可以使用OU反映组织结构,OU也不能太多,最多10个;森林中的分区使用域;仅在必要时使用多个树和森林;仅在有多个IP子网和地理位置时使用节点,这也是为了提高登录和DC复制的性能。
实施 Active Directory 容器
了解 Azure Active Directory
Azure AD用于在线云应用。云应用涉及云计算,即通过网络提供大量基于web的程序和服务,以供web浏览器和程序使用;没有AD server 2016也能使用Azure AD
创建和管理用户帐户
默认账户有管理员(administrator)和访客(guest)。
账户可以在未安装AD的服务器中创建(Run——mmc——Local Users and Groups mmc snap-in——New User)
账户也可以在安装AD的服务器的域中创建。在域中创建的账户可以访问域中的任何服务器和资源(Tool——AD users and group——选择一个域——右键New User)
管理用户可以进行禁用、启用、重命名操作
移动账户:将一个账户从一个容器移动到另一个容器
重设密码:不存在查找密码的选项,但是可以为用户进行重置
删除账户:删除不再使用的账户是一个很好的做法,每一个账户都有一个全局唯一标识符(Global unique identifier,GUID),账户被删除时GUID也会被删除,即使使用相同名称重新创建,GUID也不会重新使用。
配置和使用安全组
将有相似特征的账户分组到一起,组对AD资源访问权限有影响。组有四种类型:本地(local)、域本地(domain local)、全局(global)、通用(universal)。这些组都可以用于安全组或者通讯组,其中安全组指的是对服务器或AD中资源的访问;通讯组可以实现快速大规模的信息分发。
本地安全组(local security group)用来管理不属于任何域的计算机以及资源。无需安装AD也可以划分本地组,为每个组提供不同的安全访问权限。
域本地安全组(domain local security group)用于管理域中的资源,并为来自同一域或其他域的全局组提供访问权限。域本地组的作用域是组所在的域;域本地组主要是提供对资源的访问,一般可以将服务器、文件夹、共享文件夹、打印机等访问权限授予给域本地组。域本地组的成员以全局组为主。
全局安全组(global security group)包含单个域的用户账户,全局组也可以被设置为域本地组的成员。全局组可以包含创建它的域中的账户和其他全局组。不嵌套在另一个全局组/通用组中的全局组可以转化为通用组。
全局组的创建需要有访问在同一个或不同域的资源需求的账户,然后使在一个域中的全局组称为相同域或其他域本地组的成员。这种模型可以通过一个或多个全局组管理用户账户及其资源访问权限,降低管理账户的复杂性。可以参考右图,GlobalExec里的成员均为其自身所在的域和其他域的域本地组。
通用安全组(universal security group)提供了跨域和跨树的方法。通用组的成员包括来自任何域的用户账户、来自任何域的全局组、来自任何域的其他通用组。通用组提供一种简单的方法访问森林中所有树的资源。
综上,简化使用组的准则如下:使用全局组将账户作为组的成员;使用域本地组来提供一个特定域下资源的访问;使用通用组提供广泛的资源访问。
组属性:包含常规(General)、成员(Members)、…的成员(Member of)、受…管理(Managed by)
了解用户配置文件
首次登录账户会在本地创建一个本地用户配置文件(user profile),这样子同一台计算机下的不同用户都可以有他们自己的自定义设置。配置文件也可以存储在网络服务器上,这样子用户也可以在其他计算机上使用(称为漫游配置文件,roaming profile);配置文件是必需的(mandatory)。
设置本地配置文件方法:在服务器上设置具有所需配置的通用账户——将Ntuser.dat文件复制到\Users\Default文件夹中
设置漫游配置文件方法:设置通用账户并自定义桌面——打开每个账户属性中的Profile选项——输入配置文件路径——设置用户访问用户配置文件
描述 Active Directory 中重要的附加功能
重启功能(restart capability):AD DS(domain service)可以在不关掉DC的情况下停用
只读DC(RODC):不能用来更新AD,也不会把信息复制到其他普通的DC中,但是RODC仍然可以用于Kerberos身份验证;RODC也可以配置为DNS服务器
克隆DC:适用于把多个虚拟机环境部署为DC,减少创建步骤。管理员可以创建虚拟DC的副本,之后使用cmdlet进行其他步骤
精细密码策略增强功能(fine-grained password policy enhancement):不同的安全组可以有不同的密码策略
受保护的用户全局组(protected users global group):受保护的组无法重新配置安全措施,更改安全性的唯一办法就是把成员从组中删除。受保护用户全局组的安全限制有:禁止使用较弱的身份验证形式;Kerberos生命周期只有4h,即每隔4h就要进行一次身份验证;无法连接不使用该组的系统;只能使用和Kerberos兼容的更高级的加密方法。
Summary
Active Directory (or AD DS) is a directory service to house information about network resources
Servers housing Active Directory are called domain controllers (DCs)
The most basic component of Active Directory is an object
The global catalog stores information about every object, replicates key Active Directory elements, and is used to authenticate user accounts when they log on
A namespace consists of using the Domain Name System for resolving computer and domain names to IP addresses and vice versa
Active Directory is a hierarchy of logical containers: forests, trees, domains, and organizational units
You can delegate management of many Active Directory containers to specific types of administrators
User accounts enable individual users to access specific resources
On a stand-alone or member server, you can create local security groups to help manage user accounts
User profiles are tools for customizing accounts
The ability to stop and restart Active Directory without taking down a DC is an important capability to know
The implementation of Read-Only Domain Controllers (RODCs) is another important feature for using and securing Active Directory in branch office and remote locations
The work of setting up multiple VMs as domain controllers can go faster and with fewer errors by using the ability to clone domain controllers
Fine-grained password policies give an organization more capabilities to customize password policies for different security groups of users
The protected users global group is newly available to create strict locked-in security measures that apply to all members of the group
Use this global security group for situations that require high security
Lecture 4 Configuring, Managing, and Troubleshooting Resource Access
设置文件夹和文件的安全性
创建好账户和组之后就要创建访问控制列表了(Access control list,ACL),ACL能够保护对象,并设置他们进行共享。
Discretionary ACL(DACL)是指由服务器管理员或对象持有者配置的ACL
System ACL(SACL)是包含用户审核对象访问信息的ACL
DACL和SACL的四大控件:属性(attributes)、权限(Permissions)、审核(Auditing)、所有权(Ownership)。接下来会一一介绍它们并阐述如何配置。
属性(Attributes):每一个文件或文件夹的标头信息(header information),也包含其他特性比如卷标签、创建日期等。
NTFS中保留了两个与FAT兼容的属性:只读(read-only)和隐藏(hidden)。NTFS的高级属性设置可以通过点击General——Advanced访问,分别有存档(archive)、索引(index)、压缩(compress)、加密(encrypt),接下来会一一介绍如何使用。
存档(archive):指示文件夹或者文件需要备份,因为它是新的或已被更改的。服务器可以通过检测archive属性,确保文件得到备份。
索引(index):为文件夹和文件编制索引以便索引服务(index service)快速寻找。其实2016版本提供了Windows Search Service服务,这比索引服务更快,但是需要安装文件和存储服务(File and Storage Services)
压缩(Compress):压缩可以节省空间,且可以像没有压缩的文件一样处理压缩文件,但是打开和复制压缩文件会增加CPU开销。压缩BPA:有大量写入和执行操作的服务器不适合压缩;很少访问的文件和服务器存档的文件可以压缩;很少繁忙或者主服务器有读取流量的服务器可以压缩。总之有高水平读写活动的都不适合压缩
加密(encrypt):保护文件夹和文件,只有对这些文件夹和文件加密的用户才能读取。加密使用Microsoft Encrypting File System(EFS)系统,这个系统将加密文件和将其加密的账户之间设置一个唯一的私有加密秘钥(private encryption key);EFS同时使用对称(symmetric)和非对称(asymmetric)加密技术;移动、重命名不影响加密状况。加密BPA:将加密文件移动到专门标记为加密的文件夹中以便识别;程序处理加密文件比人工处理更安全;服务器中的Documents文件夹可以加密;经常将证书和私钥导出到便携式媒体并存放到安全的地方
权限(Permissions):控制对对象的访问。配置域本地组只能读取文件夹内容的过程就是配置权限,配置权限的同时其实也在配置该文件夹安全描述符(security descriptor)的DACL。可以选择为特定组或特定用户设置权限。
权限设置BPA:配置权限以保护文件夹 \Windows;仅对管理者的组开启访问Server Utility文件夹的权限;使用读写执行三个权限保护应用程序;公开文件夹应该具有修改(modify)权限;用户对自己的主文件夹应该有完全控制权;谨慎使用拒绝(Deny)权限
审核(auditing):跟踪文件夹和文件的活动。账户创建文件夹(文件夹被账户拥有),文件夹所有者更改文件夹权限。
所有权(Ownership):只有拥有获取所有权(Take ownership)这个高级权限才能转移所有权。完全控制(Full Control)权限包括了获取所有权。
配置共享文件夹和共享文件夹安全性
共享文件夹可以通过网络访问
启用共享(enable sharing):确保文件夹/文件或打印机共享已打开,可以打开网络发现,网络发现是查看其他网络计算机和设备的能力。以上操作只需要进行一次,但是是必要的。
通过属性配置共享文件夹:共享权限可以在文件共享窗口/属性——共享Tab中配置。共享权限包含:读、写、更改(change)或添加(contribute)、自定义、完全控制、所有者。
缓存共享文件夹可以保证共享文件夹脱机可用(available offline),任何已修改的脱机文件都能和其网络版本同步。
文件夹的三种缓存方式:只有用户指定的文件和程序可以脱机使用;共享文件夹中的文件和程序不能脱机使用;从共享文件夹打开的所有文件和程序都可以自动脱机使用
基于访问的列举(access-based enumeration)指的是仅允许用户查看他们有权限的文件夹和文件。启用此列举可以隐藏共享文件夹,也可以使用$符号来隐藏
通过服务器管理器配置共享文件夹:服务器管理器提供GUI用于管理权限和共享,共享管理选项更容易访问。
服务器消息块协议(Server Message Block,SMB)使操作系统能在网络上提供共享资源。
网络文件系统协议(Network File System,NFS)用于UNIX和Linux系统的文件共享,在Windows中使用NFS可以允许UNIX和Linux系统访问它。
文件服务器资源管理器角色(File Server Resource Manager Role)设置文件夹配额
在AD中发布共享文件夹:发布对象(publish an object)指使用户能够在AD访问该对象,在搜索该对象的时候更容易找到。发布对象时可以将其发布为共享以允许域范围的访问,或者可以通过OU来进行共享和管理。
排查安全冲突
16版本在文件和文件夹的属性中提供有效访问选项卡(Effective Access Tab)作为帮助解决权限冲突(permission conflict)的工具
创建、复制或移动文件或文件夹时,文件和文件夹权限可能会受到以下方面的影响:
新创建的文件将继承文件夹中已设置的权限
从同一卷上的一个文件夹复制到另一个文件夹的文件将继承其复制到的文件夹的权限
如果文件或文件夹在同一卷上的一个文件夹移动到另一个文件夹,则会获得它在原始文件夹中的权限
将文件或文件夹移动或复制到其他卷上的文件夹时,将继承其移动或复制到的文件夹的权限
从 NTFS 卷移动或复制到 FAT 或 FAT32 卷中的文件夹的文件或文件夹不受 NTFS 权限保护。但是,如果共享权限被分配给 FAT/FAT32 文件夹,它会继承共享权限
从 FAT 卷移动或复制到 NTFS 卷中的文件夹的文件或文件夹将继承NTFS 文件夹中已分配的权限
实施工作文件夹
工作文件夹可以让用户使用类型设备访问和同步工作环境中使用的文件夹,专为自带设备环境(Bring-your-own-device)而设计。用户文件夹存储在服务器主文件夹里成为同步共享(sync share),即文件夹和文件可以在用户的其他设备与同步共享文件夹中的内容之间自动同步。
使用工作文件夹需要安装Work Folder Role
安装和设置分布式文件系统
DFS系统将文件夹设置为表面上仅从一个位置进行访问,实际上文件是分散在多个服务器中的共享文件夹。DFS使管理员更方便管理文件夹访问权限。在域中使用DFS可以将文件夹内容复制到其他DC或成员服务器。
DFS优势:让共享文件夹显示在一个层次结构中;节约搜索时间;NTFS适用于DFS;可以在多个服务器上复制文件夹实现容错(fault tolerance);支持负载均衡等
DFS复制:DFS可以在域中自动或手动复制文件夹;这样子当一台服务器上的磁盘驱动器故障时,重要信息不会丢失,用户始终可以访问共享文件夹;DFS和DFS复制可以通过GUI和cmdlet管理
独立DFS模型:没有AD管理共享文件夹;进提供单个和平坦级别共享
基于域的DFS模型:充分利用AD,适用于域成员服务器和工作站;支持有层次的共享文件夹;DFS复制以实现容错和负载平衡,这是独立DFS模型没有的功能。
DFS拓扑结构是指基于域的模型中DFS的层次结构
命名空间根(namespace root):AD主容器,即顶级文件夹,包含可从根访问的共享文件夹链接
命名空间服务器:顾名思义,用来维护命名空间根的服务器
在命名空间根创建后,它将由共享文件夹填充供用户访问。并且文件夹建立在层次结构中,表面上是位于一个服务器的位置。
复制组:用来复制一个或多个服务器中的一组共享文件夹
安装DFS:DFS在File System Role中作为一个服务,默认情况下已经被安装在了16版本中。但是基于域的DFS系统所需的元素不会被自动安装,也就是说内置的默认DFS没有命名空间和DFS复制。
设置好命名空间之后,管理命名空间根涉及以下任务:
在命名空间中创建文件夹:文件夹是指添加到命名空间根的共享文件夹;文件夹目标(folder target)是指使用通用命名约定(Universal Naming Convention,UNC)的路径。其中UNC是指网络服务器、计算机和共享资源的命名约定;访问命名空间的客户端可以看到层次结构的文件夹目标列表
委派(Delegation)管理:可以将DFS命名空间管理委派给其他人进行管理(右键命名空间——单击delegate management permissions进行设置)
优化(tuning)命名空间:以满足组织需求。比如配置显示的顺序;配置缓存持续时间等。
删除命名空间根:单击命名空间根——Delete
使用DFS复制:配置复制必须定义两个及以上的文件夹目标用来复制;需要自行确定哪个服务器是主要组成员,主要组成员包含最新的共享文件夹和文件的服务器
配置磁盘配额(disk quotas)
优势:组织用户填满磁盘容量;鼓励管理磁盘空间;基于用户跟踪磁盘容量需求;向管理员提供用户的磁盘容量情况。
配置磁盘配额可以使用File Server Resource Manager管理工具
Summary
Windows Server 2016 uses discretionary access control lists for managing access to resources
NTFS uses folder and file attributes for one level of security
When you use the encrypt attribute, this employs the Microsoft Encrypting File System to protect files and folders
Permissions provide another level of security for files and folders
Advanced permissions provide the option to further customize security at a more granular level than basic permissions
Folder and file auditing enable you to track who has accessed resources
Folder and file owners have Full control permissions, including the ability to change permissions
Folders can be shared for users to access over a network, and shared folder security is configured through share permissions
File can be shared over the network using SMB for Windows-based computers and UNIX or Linux computers that run Samba
Use the Effective Permissions capability to troubleshoot a security conflict
Users who need access to folders/files when they are not connected to the network can have access by making resource available offline
The Distributed File System (DFS) enables you to set up shared folders
Use disk quotas to manage the resources put on a server disk volume
Lecture 5 Configuring Windows Server 2016 Printing and Managing Data Storage
了解 Windows Server 2016 打印在网络和 Internet 上的工作原理
网络打印进程组件:本地打印设备、网络打印设备、打印客户端、打印服务器、打印作业、打印机驱动。
假脱机(spooling)是指释放服务器CPU以处理打印请求之外的处理请求。
网络打印进程步骤:当客户端应用程序生成打印文件并通过Windows GDI与打印机通信后,文件会被格式化并带有控制代码。然后,客户端的远程打印服务通过远程过程调用(RPC)来发送文件至网络打印服务器。服务器接收文件后,通过路由器、打印提供程序、打印处理器和打印监视器这四个组件来处理文件。在打印文件被暂存的同时,打印提供程序与打印处理器协作以确保文件使用正确的数据类型,最后打印监视器从暂存器的磁盘存储中取出文件并发送至打印机。
互联网打印进程:通过互联网处理打印作业需要安装Internet打印客户端。当一个2016版本拥有Internet打印客户端、打印和文档服务角色、Web服务器角色(IIS),就能成为基于Web的打印服务器。
互联网打印和网络打印有一些地方不同,比如:打印文件直接发送到GDI、客户端上远程打印提供程序是对服务器的IIS进行RPC,这一过程是基于TCP/IP的HTTP请求进行的。这种请求使用Internet Printing Protocol(IPP)协议。IPP封装RPC并打印进程信息,以HTTP格式传输。
了解并应用打印和文档服务角色
打印和文档服务角色可以将2016 Server设置为打印服务器;可以用组策略标准化打印机资源;打印管理工具可以管理共享打印机,也可以使用Event Viewer查看日志以跟踪打印事件。
提供的角色服务:打印机服务器、分布式扫描服务器、互联网打印、LPD服务(允许Linux/UNIX使用Win共享打印机)
使用 XPS 打印路径
XML Paper Specification(XPS)是XML纸张规范,一种用于打印文档的高级方法,包括查看电子界面和使用精美格式打印界面。XPS概念类似PDF。XPS是GDI打印路径的平替,用于传统文档。
XPS可以自定义打印路径;XOS提供高级颜色支持;XPS支持所见即所得(what you see is what you get,WYSIWYG)。XPS使用XPSDrv驱动程序模型,以支持XPS的打印机进行打印。2016 Server已经内置XPS服务。
使用打印管理工具配置网络打印资源
Windows Server 2016 Devices and Printers Utility是一个可以用于配置打印资源的工具,可以让用户直接连接到服务器打印机、设置网络打印和通过蓝牙设置打印机。该实用程序可以从控制面板打开;打印管理工具也可以进行以上操作。
打印管理工具(Print Management Tool):将本地和共享打印机集中,使管理员和操作员可以管理大部分共享打印机的打印功能。
PMT可以安装和配置本地或网络打印机;配置属性、共享和安全性。
PMT可以在Server Manger的Tool中、mmc中等打开。PMT可以设置使用的格式、配置后台处理程序属性、配置安全性、查看打印机驱动信息、更新驱动程序等
安装本地打印机和共享打印机
PMT安装本地和共享打印机:将连接到服务器的打印机配置为本地打印机,然后再将其启用为共享打印机;也可以将网络打印机配置为服务器管理的共享打印机。添加共享打印机的时候要注意名称不能太阴间,要包含描述性信息,易于理解。
配置网络或 Internet 打印机
配置打印机属性:右键打印机——属性
配置的属性有:基本信息、共享、端口设置、可用性、调度和高级、安全、设备设置、特定打印机的注意事项。接下来会一个一个介绍。
共享(sharing):这个tab可以启用或禁用共享,可以设置共享名称;如果启用共享,需要勾选“List in the directory”以通过AD来发布打印机。
端口(port):这个Tab可以指定打印机使用的服务器端口(LPT1/COM1),也可以用来设置双向打印(bidirectional printing)和打印机池(printer pooling)。Add port用来添加新端口(默认选项为Local Port和Standard TCP/IP port);Delete Port;Configure Port
双向打印:用于具有双向功能的打印机,即可以与打印服务器和软件应用程序进行双向通信。
打印机池:涉及配置连接到一个打印机服务器的多台相同的打印机。打印机池中的所有打印机必须相同,以便使用相同的驱动程序并以相同方式处理打印文件。
高级(advanced):这个Tab用来设置打印机可用性、限制打印机的使用时间;设置打印机或打印机池连接到服务器的优先级;打印机调度在一个打印机有多个打印对象时有用。这个选项卡也提供了打印机是否跳过假脱机程序(spooler),以便于使用先到先得的方式打印作业,减少CPU占用。
安全(security):配置打印机安全的前提是有Manage Printer的权限;这个Tab可以设置共享权限。
这个Tab里有advanced选项,里边可以为特定组或用户设置权限;设置打印机审核;获得打印机所有权;查看组或成员的权限。
管理打印作业
普通用户:可以发送自己的打印作业,以及暂停、恢复、重启和取消自己的作业。
高级用户(打印操作员、服务器操作员、管理文档权限组):可以发送任何人的打印作业,以及对任何人的作业进行暂停、恢复、重启和取消操作。
以管理员身份管理打印的文档:使用打印管理工具
暂停打印机的打印的两种方式:
右键Print Management——选中打印机——Pause Printing;
打开打印队列窗口(queue windows)——单击打印机——暂停打印
打印队列:先到先打,所有作业在假脱机程序中等待被拆能送到打印机。暂停打印之后需要点击文档的resume或者restart才能重新开始打印进程。作业将会按照顺序打印,除非设置了优先级
常见打印问题疑难解答
使用打印管理工具快速检查打印机的状态,以查看打印机是脱机还是暂停
当 Print Spooler 服务遇到临时困难、不同步或挂起时,可能会出现典型的打印问题。要停止并重新启动 Print Spooler 服务:
打开Server Manager——单击工具——找到 Print Spooler 服务
检查状态以确定 Print Spooler 服务是否正在运行以及它是否设置为自动启动
由于 Print Spooler 服务依赖于 RPC 服务,因此请检查以确保远程过程调用服务也已启动并设置为自动启动
了解 Windows Server 2016 的存储选项
支持基本磁盘和动态磁盘。
基本磁盘使用传统的磁盘管理技术,比如主分区、扩展分区、逻辑驱动器
动态磁盘的体系结构比基本磁盘有更大的灵活性,因此卷数量没有限制。
接下来会分别对两种磁盘进行介绍。
基本磁盘
分区(partitioning):分配一组磁道(track)和扇区(sector)用于特定的文件系统(比如NTFS)使用的进程
格式化(Formatting):创建一个包含分区中特定文件系统文件和文件夹信息的表格的进程
卷(volume):从一个或多个物理磁盘中创建的磁盘存储的逻辑名称,使用一个文件系统进行分区和格式化
基本磁盘可识别主分区和扩展分区
基本磁盘也可以配置为以下三个独立磁盘冗余阵列(redundancy array of independent disk,RAID)级别中的任何一个:
磁盘条带化(disk striping)(RAID 0)
磁盘镜像(disk mirroring)(RAID 1)
带奇偶校验的磁盘条带化(disk stripping with parity)(RAID 5)
RAID是用于延长磁盘寿命和防止数据丢失(lengthening disk life and preventing data loss)的一组标准
磁盘条带化:将数据分布到多个磁盘或卷的能力
磁盘镜像:在原始磁盘上创建所有数据的镜像,以便将数据完全复制或镜像到备份磁盘的做法
MBR磁盘:分区时,将在磁盘上的起始轨道和扇区创建主引导记录(master boot record,MBR)和分区表(partition table)
MBR位于硬盘的第一个扇区和磁道中,包含有关分区以及如何访问磁盘的启动信息(startup information);分区表包含有关创建的每个分区的信息
主分区:引导操作系统的分区,必须至少将一个主分区标记为活动分区;给定时间中只有一个主分区可以处于活动状态。活动分区是在其中查找特定于硬件的文件以启动操作系统的分区
扩展分区:从尚未分区的空间创建的分区,目的是能够超过基本磁盘的4个分区限制,一个基本磁盘只能有一个扩展分区。
具有多个分区的计算机从指定为活动分区的分区启动,这个活动分区也一定是系统分区。
GPT磁盘:全局唯一标识符分区表(globally unique identifier partition table,GPT)是一种新的磁盘分区方法,不会对分区数量施加与MBR相同类型的限制。
GPT 是统一可扩展固件接口(unified extensible firmware interface,UEFI)方法的一个元素,UEFI 是使用 BIOS 固件的平替;
GPT磁盘不将分区信息存储在MBR和分区表中,而使用主表和备份表将分区信息存储在每个分区中。每个分区由不同的GUID 或参考编号标识;一个 GPT磁盘最多可容纳128个分区。MBR磁盘和GPT磁盘互相转换。
卷集(volume set):由两个或多个分区组成,这些分区组合在一起后看起来像一个卷,只有一个驱动器号。
条带集(stripe set):由两个或多个磁盘组成,像卷集一样组合在一起,但针对RAID 0或RAID 5进行了条带化
动态磁盘
动态磁盘不使用传统分区,它可以在一个磁盘上设置大量卷,并提供将卷扩展到其他物理磁盘的能力;可以合并到一个跨区卷中的磁盘数限制为32;动态磁盘支持RAID级别0 1 5。
引导卷(boot volume):包含\Windows文件夹
系统卷(system volume):包含用于启动计算机的文件
简单卷(simple volume):动态磁盘的一部分或整个磁盘,可以扩展到同一磁盘的多个部分。
简单卷不提供容错能力,无法设置任何RAID级别
跨区卷(spanned volume):存储在2到32个被视为一个卷的动态磁盘上。添加新磁盘时,可以扩展跨区卷以包括这个磁盘。跨区卷能够轻松管理多个小型磁盘驱动器,或最大限度地利用多个磁盘上分散的磁盘空间
条带化卷(striped volume):通常被称为RAID-0,条带化卷通过将数据平均分布(spread data equally)在多个驱动器上来延长硬盘驱动器的使用寿命。条带化卷的另外一个优点是可以提高磁盘性能。
条带化至少需要两个磁盘,适用于存储大型数据库的卷或从一个卷到另一个卷的数据复制。条带化卷发生故障时数据可能丢失,因为没有自动重建数据的方法
收缩卷(shrinking a volume):通过减小卷的大小,可以释放出未使用的磁盘空间,以便用创建新的分区或安装其他操作系统。收缩卷从卷末尾开始,通过连续空间返回(back through contiguous space)创建未分配的磁盘空间。用户可以指定要恢复的空间量。
使用磁盘管理工具配置和管理存储
DMT为磁盘管理等任务提供集中化服务,可以进行创建分区和简单卷、转换为动态磁盘、挂载驱动器等。
创建分区和简单卷:分区在硬盘上作为一个单独的存储单元运行;最简单创建简单卷的方法是使用未分配的磁盘空间——使用New simple volume wizard;一个分区被格式化就成为了卷,每个卷都被分配一个驱动器号(drive letter),格式化需要打开DMT——右键分区——格式化
转换为动态磁盘:右键磁盘——convert to dynamic disk
挂载驱动器(mount):是分配驱动器号的平替;挂载驱动器呈现的就是一个文件夹,可以通过路径访问;可以挂载的有基本磁盘、动态磁盘、CD/DVD驱动器、USB等。当一个驱动器被挂载,其他的驱动器也可以加到同样的文件夹中,看起来仍然像只有一个驱动器。
主目录(directory)或主文件夹(folder):与账户关联的服务器文件夹,是用户存储文件的指定工作区。
说明和配置 RAID 磁盘存储容错
容错(Fault Tolerance):系统从硬件/软件故障中恢复为正常的能力。2016版本通过RAID提供一定程度的容错能力,数据写入多个驱动器,其中一个驱动器故障,也可以从其他驱动器之一访问到数据。
RAID是一组用于延长磁盘寿命,防止数据丢失的一组标准。
RAID 0:条带化
RAID 1:磁盘镜像。磁盘镜像与磁盘双工(disk duplexing)一样都有备份磁盘,但是磁盘双工将备份磁盘放置在住磁盘之外的控制器或适配器(controller or adapter)上。
RAID 2:使用磁盘阵列,在阵列中的所有磁盘中对数据条带化
RAID 3:使用条带化并存储纠错信息(error-correcting information),但是纠错信息值写入阵列中的一个磁盘
RAID 4:使用条带化并在阵列中所有磁盘都存储纠错信息,增加执行校验和验证功能
RAID 5:使用条带化,所有磁盘存储纠错信息,进行校验和验证
Server 2016支持RAID 0、1、5以实现磁盘容错;不推荐使用RAID 0因为没有容错能力。
RAID 1和5使用场景:
| 特性 | RAID 1 | RAID 5 |
| 适用 | 适合放置启动和系统文件 | 适合数据存储 |
| 硬盘 | 需要2块硬盘 | 需要3到32块硬盘 |
| 成本 | 更昂贵 | 相对便宜 |
| 内存需求 | 较低 | 较高 |
| 性能 | 读速度通常比写速度快 | 读速度通常比写速度快 |
使用条带化卷(RAID 0):平均负载可以减少磁盘磨损;提高磁盘性能。创建条带化卷:右键未分配空间——创建条带化卷。只有动态磁盘可以设置条带化卷。
使用镜像卷(RAID 1):在备份磁盘上创建数据的卷影副本(shadow copy);只有动态磁盘可以创建镜像卷;磁盘容错得到十分保证;镜像卷读取性能和单个磁盘驱动器读取性能相同;镜像卷适合数据在任何情况下都不能丢失的情况,比如客户文件等;镜像文件通过DMT来创建。
使用RAID 5级别的卷:RAID-5卷比RAID-0的容错能力更好。一个RAID-5卷至少需要三个磁盘驱动器。奇偶校验信息(parity information)在每一个磁盘上;如果磁盘故障,还能重建信息;奇偶校验使用布尔逻辑。
RAID-5卷没有条带化卷快,因为写入数据和计算奇偶校验块需要更长时间,但是读取访问数据和条带化卷一样快;RAID-5常用于单独的数据库进行查询和创建报告的客户端/服务器系统;RAID-5也可以用DMT创建。
软件RAID vs 硬件RAID
| 特性 | 软件RAID | 硬件RAID |
| 实现方式 | 通过服务器操作系统实现 | 通过服务器硬件实现 |
| 操作系统依赖性 | 依赖 | 独立 |
| 硬件RAID优势:快速的读写响应;能够在不同RAID上放置启动和系统文件;支持热插拔(hot swap)故障硬盘;更多设置选项用于恢复损坏数据 | ||
将存储空间用于磁盘存储和容错
存储空间:能形成物理磁盘和可用磁盘空间的分组,作为单独的虚拟磁盘仪器管理。每一个分组都是一个存储池,存储池将物理磁盘收集在一起,表面上看起来就像是一个虚拟磁盘。
物理磁盘可以使用的一些技术
串行高级技术附件Serial Advanced Technology Attachment (SATA)
固态硬盘Solid state drive (SSD)
非易失性内存标准Non-volatile Memory Express (NVMe)
通用串行总线Universal Serial Bus
小型计算机系统接口Small Computer System Interface (SCSI)
互联网SCSI(iSCSI)
串行链接SCSI(Serial Attached SCSI,SAS)
存储池形成的虚拟磁盘有三种:普通、镜像、奇偶校验,分别对应于RAID-0、1、5。
存储空间优点:镜像或奇偶校验类型的存储池出现故障时,系统可以用池中的热空间(hot space)或在池中物理磁盘上未使用的空间来自动修复磁盘故障;存储池中磁盘故障性能不会有明显延迟。
分层存储空间:一般建立两个层级——慢速层(slow)和快速层(fast);慢速层由SATA驱动器组成以满足高容量存储;快速层由SSD驱动器组成,保存经常访问的数据。存储池中分配磁盘空间的配给制度(provisioning method)分为thin和fixed。
存储空间直通(Storage Space Direct,SSD):软件定义存储通过更方便的按需配置存储而使存储更加通用。
软件定义存储指的是使用独立于实际存储硬件的软件进行数据存储管理
SSD使用SMBv3(server message block version 3),跟共享文件夹和文件使用的协议一样
存储空间也适用于Hyper-V下的虚拟机,以及集群VM。其中集群内最多有240个硬盘,SSD中最多有12个节点。
部署SSD方法:超融合(hyper-converged),即集群服务器和存储位于同一硬件和分解(disaggregated),即群集和SSD组件存在于不同的硬件上。
备份和恢复磁盘、文件夹和文件
磁盘备份:确保不丢失有价值的信息的最佳办法之一。可以从网络服务器执行备份。
从服务器备份:不产生额外网络负载;可以在多服务器网络进行备份;为关键系统文件、配置提供更多保证
从网络备份:备份作业可以存储在单个介质;一个管理员可以负责多个服务器备份;但是会造成网络流量增加
Windows Server Backup Tool(WSBT)提供了备份所有服务器和已更改文件的功能。包括完整备份和增量备份(incremental backups);更多选项比如卷影复制(shadow copy);提供可靠的数据恢复;提供磁盘信息;提供wbadmin命令行工具;支持备份到光学介质(optical media)比如CD。注意WSBT只备份NTFS卷,且不备份到磁带(type);08版之前的备份需要使用Ntbackup.exe
完整备份(full):整个系统的备份。包括系统文件、程序、数据。它会更改文件存档属性以显示已备份。
增量备份(incremental):仅备份新的和已更改文件。仅备份存档属性被标记的文件
自定义备份(custom):自行在每个卷上配置不同备份。可以选择特定驱动器、文件夹和子文件夹
WSBT还支持恢复文件、文件夹、卷、应用程序和数据、备份目录中的信息、操作系统。恢复文件需要确定:恢复的备份日期、恢复类型、恢复位置
Summary
打印配置
打印组件:包括本地打印设备、网络打印设备、打印客户端、打印服务器、打印作业和打印机驱动。
假脱机(Spooling):释放服务器CPU以处理其他请求。
网络打印过程:
客户端应用程序生成打印文件,通过Windows GDI与打印机通信。
文件被格式化并发送至网络打印服务器。
服务器通过路由器、打印提供程序、打印处理器和打印监视器处理文件。
互联网打印:
需要安装Internet打印客户端。
基于Web的打印服务器使用IPP协议,封装RPC和打印进程信息,通过HTTP传输。
打印和文档服务角色
允许将2016 Server设置为打印服务器。
可以标准化打印机资源和使用打印管理工具管理共享打印机。
XPS打印路径
XML Paper Specification(XPS)是用于打印文档的高级方法,类似于PDF。
XPS使用XPSDrv驱动程序模型,2016 Server已内置XPS服务。
打印管理工具
用于配置网络打印资源,可以安装和配置本地或网络打印机。
可以配置属性、共享和安全性。
安装和共享打印机
将连接到服务器的打印机配置为本地打印机,然后启用为共享打印机。
也可以将网络打印机配置为服务器管理的共享打印机。
配置网络或Internet打印机
配置打印机属性,包括基本信息、共享、端口设置、可用性、调度和高级、安全、设备设置等。
管理打印作业
普通用户可以管理自己的打印作业。
高级用户可以管理所有人的打印作业。
常见打印问题
使用打印管理工具检查打印机状态
停止并重新启动Print Spooler服务。
Windows Server 2016 存储选项
基本磁盘和动态磁盘
基本磁盘使用传统的磁盘管理技术。
动态磁盘提供更大的灵活性,没有卷数量限制。
RAID磁盘存储容错
RAID用于延长磁盘寿命和防止数据丢失。
Server 2016支持RAID 0、1、5。
磁盘管理工具
用于创建分区和简单卷、转换为动态磁盘、挂载驱动器等。
软件RAID vs 硬件RAID
软件RAID通过操作系统实现,硬件RAID通过硬件实现。
存储空间
形成物理磁盘和可用磁盘空间的分组,作为单独的虚拟磁盘仪器管理。
存储池中的虚拟磁盘有普通、镜像、奇偶校验三种类型。
备份和恢复
磁盘备份是确保不丢失信息的最佳办法之一。
Windows Server Backup Tool(WSBT)提供备份所有服务器和已更改文件的功能。
Windows Server 2016 printing uses the graphics device interface (GDI) to integrate print file information with the printer driver
Internet printing enables users to print files through an Internet connection using HTTP and Internet Printing Protocol (IPP)
Windows Server 2016 can be a full-featured printer server with the Print and Document Services role
Windows Server 2016 supports using XML Paper Specification (XPS) for polished print documents
The Devices and Printers utility is one way to set up local and Network printing
The Windows Server 2016 Print Management tool is popular among server administrators for managing print server resources
The properties of an installed printer enable you to configure printer sharing, printer port setup, scheduling, security, and specialized device settings
Through the Network Printer Installation Wizard, you can install a local, network, or Internet printer
Printers are configured with permissions to control who can use or manage specific printers
Managing a printer and its printer queue involves actions such as pausing and resuming printing and setting the default printer
Printer problems can occur at any time
Windows Server 2016 uses basic and dynamic disks
Dynamic disks can be configured as simple, spanned, striped, mirrored, and RAID-5 volumes
If you need to recover space from a basic or dynamic disk, you can shrink the disk
The Disk Management tool enables you to create basic and dynamic disks
For optimum disk performance, plan to set up a schedule to regularly defragment disks on a server
Use the Disk Check and chkdsk tools to find and repair disk problems
RAID provides fault tolerance for hard disks
RAID level 0 is disk striping
With disk mirroring or duplexing (RAID level 1), the same data is written to a partition on each of the two disks included in the mirror
With RAID level 5, data is written across a minimum of three disks
Storage Spaces enables you to create storage pools containing different types of storage technologies, such as combining SATA and SSD storage in the same pool
Three RAID-like resiliency types are offered through Storage Spaces: simple, mirror, and parity
New to Windows Server 2016, Storage Spaces Direct makes it even easier to add and access storage spaces and is especially targeted for virtual machines
Windows Server Backup offers features to schedule backups, perform full or incremental backups, and recover data from backups
Lecture 7 Managing Network Services
安装、配置 DNS 并对其进行故障排除
DNS:一个TCP/IP协议,能进行域名/计算机名称和IP地址之间的解析转换(resolve)。DNS服务器为企业提供命名空间。使用AD的要求之一就是要有DNS服务器
DNS区域(DNS Zone):DNS使用计算机名称和IP地址的关联表来进行名称解析;这些表和DNS服务器中的DNS区域的分区相关联,表格包括资源记录比如Host(A)等。每个DNS区域都包含不同类型资源记录的表,这些表成为区域文件或区域数据库。
DNS区域分为两种
正向查找区域(Forward Lookup Zone):将计算机名称链接到IP地址的区域。保存的主机记录叫做地址记录(address record)。
在IPv4中主机记录成为host address(A);IPv6中主机记录成为host address(AAAA)
当域中的DC安装DNS时将会自动为DNS服务器地址记录的域创建正向查找区域。一个DNS服务器可以有多个正向查找区域,其父域至少有一个。
反向查找区域(reverse lookup zone):保存指针(PTR)资源记录,包括IP地址到主机名。没有正向查找常用,因此安装DNS时不会自动配置
DDNS:动态DNS。使客户端计算机可以和DHCP服务器能自动注册IP地址。DNS dynamic update protocol允许DHCP协调自动更新DNS服务器信息。当配置DDNS之后,要确保其支持DNS动态更新协议,这会节省管理员时间因为不需要手动配置IP
主DNS服务器(primary):一个区域内的主要管理服务器,也是权威服务器(authoritative server)
辅DNS服务器(secondary):主DNS服务器的备份DNS服务器,包含其只读副本,但是没有管理权限。
主辅DNS服务器之间启用DNS负载平衡;如果AD中有多个DC,那个多主复制模型会使每个DC上都有DNS信息,能在一个DC故障的情况下也能提供DNS服务。
存根区域(stub zone):只包含DNS功能的基本必需内容,是SOA记录区域、用户标识权威服务器的名称服务器记录、权威名称服务器的记录三者的副本。
存根区域用途:快速解析链两个不同命名空间之间的计算机名称。因为存根区域包含了权威服务器的名称,因此客户端可以立即找到不同命名空间中的权威服务器,从而可以找到其寻找的计算机名称。
DNS转发(DNS forwarding):允许一个DNS服务器将域名解析请求发送到一个特定的远程DNS服务器。如果接收转发请求的DNS服务器无法解析该域名,那么最初转发请求的服务器会尝试解析这个域名。这种转发方式被称为非独占性转发(nonexclusive forwarding)。
2016支持使用根提示(root hints),是一种资源记录。根提示帮助DNS服务器在处理跨区域域名解析时,能够高效地找到正确的权威服务器。
缓存服务器(caching server):DNS服务器可以作为缓存服务器,通过将查询结果存储在RAM中,用于提供快速的域名查询服务。但是每个缓存服务器都需要时间来构建一个全面的已解析域名到IP地址的集合,因此有时可能需要清空DNS服务器的缓存,以确保数据的最新性。
没有区域数据的DNS服务器被称为仅缓存服务器(caching only)。
DNS轮询(round robin):负载均衡技术,通过DNS将请求均匀分配给同名的多个服务器,实现负载均衡。这避免单个服务器过载,同时确保其他服务器不会闲置,适用于那些有独立数据集且频繁使用的应用程序。
创建 DNS 实施计划
创建DNS实施计划BPA:与AD集成,支持IPv4和IPv6,合理规划命名空间,确保安全,部署多个服务器以实现负载均衡和容错,并根据组织需求设置DNS转发器(通常为1个)。在用户众多的分支位置,应将只读域控制器(RODC)设为辅助DNS服务器,而非主服务器;对于多服务器应用,使用DNS轮询来分配负载。
DNS组策略:过滤恶意IP地址并将恶意客户端重定向到无效地址;根据时间重定向客户端到特定的数据源或服务器;管理客户端访问以应对高流量情况;指导客户端到特定应用的最佳资源
DNS支持客户端电脑拥有多个网络接口卡(NIC)
cmdlets可用于配置DNS。
排查 DNS 问题的步骤:重新启动DNS服务器和DNS客户端服务——检查与DNS相关的最新日志错误
安装、配置 DHCP 并对其进行故障排除
动态主机配置协议(DHCP):自动为网络中的新工作站分配IP地址。
安装DHCP服务器
DHCP服务器管理一个预设的IP地址池,用于提供给新客户端,池内的IP地址范围称为scope,可以有效地管理IP地址分配,避免冲突,并提高利用率。
2016可以配置成DHCP服务器,其在分配IP地址时自动更新DNS服务器,通过DDNS更新节省了手动创建DNS记录的时间
DHCP服务器能够为特定计算机保留IP地址,广播DHCP设置变更,服务多个子网,排除特定IP地址,并配置故障转移以提高冗余,即通过两台服务器共享DHCP数据实现负载均衡和故障备份。
配置DHCP服务器
配置作用域:设置一个或多个连续的地址范围(作用域,scope)并激活它们。包括确定地址范围、子网掩码、作用域名称(反映组织部门或分支)、IP地址租期(lease time)以及是否排除特定地址。其中设置DHCP租期时,小网络可设为8天或更短,稳定网络可延长至16-24天,移动设备多的网络设为会话时长(8-24小时),高流动场所1-8小时。
授权DHCP服务器:确保只有管理员管理的DHCP服务器能分配IP地址。为了节省管理DNS的时间,可以配置DHCP服务器及其客户端自动更新DNS记录。
DHCPv6:Windows Server 2016支持两种配置方式
有状态自动配置:设备向DHCP服务器请求租用的IPv6地址
无状态自动配置:设备基于其NIC的MAC地址自行分配IPv6地址,无需DHCP服务器
设置DHCP服务器时的问题及其解决方案:
服务器无法启动(检查DHCP服务是否启动)
服务器无响应(检查网络连接)
系统日志报告Jet数据库错误(使用DHCP管理工具协调作用域)
产生额外网络流量(增加每个作用域的租期)。
安装 IP 地址管理工具
IPAM(IP地址管理):用于集中管理IP地址,包括规划、配置和监控网络中的DHCP作用域。提供了一个中心位置来启动DNS和DHCP工具。
IPAM不能在DC上使用,且不与网络设备中的DHCP服务集成
配置 NIC 组合
NIC组合(NIC teaming):是将多个网络接口卡(NIC)聚合为一个逻辑连接。NIC组合可以实现负载均衡以加快用户访问服务器的速度,在某个NIC故障时仍能访问服务器,聚合带宽以提速。
NIC组合三种配置方式:静态组合(static)、交换机独立组合(switch-independent)和链路聚合控制协议(Link Aggregation Control Protocol,LACP)。配置NIC组合的三种负载均衡方法:Hyper-V端口(hyper-V port)、地址哈希(address hash)和动态(dynamic)
安装、配置Microsoft Internet Information Services(IIS)并对其进行故障排除
Microsoft Internet Information Services (IIS):提供完整的网站服务。IIS在2016中被划分为多个模块或功能,只需要安装所需功能计科
ISAPI:IIS的一部分,是一组使IIS服务快速且能与其他程序集成的DLL文件。IIS角色服务包括万维网服务、FTP服务和SMTP服务。
2016适合作为Web服务器:具有特权模式架构和容错能力;兼容各种数据库;支持IIS ODBC驱动程序登录数据库,以及MPPE、IPsec和SSL等安全技术。
IIS安装条件:安装Windows Server 2016、配置TCP/IP、连接ISP、足够的磁盘空间以及DNS解析。
IIS安装BPA:BPA侧重于安全性和监控。设置防火墙;置于隔离区(demilitarized zone);仅使用必要的应用和服务;保持安全更新;记录监控用户活动;识别攻击;使用入侵检测软件。
IIS管理器是一个多功能工具,用于管理、配置和故障排除Web服务器环境
虚拟目录:指向物理文件夹或URL重定向的快捷路径,是用于访问和管理服务器内容的便捷方式。
虚拟目录允许通过互联网、内网或VPN访问特定IIS服务器内容。创建虚拟目录时会为其设置别名,以便Web浏览器识别。
访问虚拟目录中的文件需要指定服务器名、虚拟目录别名(alias)和文件名。URL格式:\\Server name\Virtual directory alias\filename
虚拟目录的权限设置与NTFS文件夹和文件相同,可以在IIS管理器中修改其属性,并可以设置为共享,以便网络用户添加内容。
IIS管理器:用于管理IIS组件,有以下组件
应用程序池:允许将相似的Web应用程序分组到池或组中进行管理。
站点(site):从一个管理Web服务器管理多个Web站点的文件夹。
SMTP电子邮件:通过电子邮件程序管理互联网电子邮件,并利用system.net.mail应用程序编程接口。
证书(certificates):配置和监控与其他网站一起使用的证书安全。
Web服务器可能遇到的三个问题:
Web服务器无响应:确认IIS服务是否正在运行;查看系统和IIS日志,寻找可能的错误信息或异常。
无法访问Web服务器:确认DNS设置是否正确;检查网络路由和防火墙设置
客户端无法访问Web服务器内容:检查Web服务器的文件系统权限;确认IIS虚拟目录和应用程序池设置正确
Summary
DNS管理:
DNS用于域名和IP地址之间的解析,对企业命名空间至关重要,尤其是与AD集成时。
管理DNS区域,包括正向和反向查找区域,以及动态DNS(DDNS)以自动更新IP地址。
处理主DNS和辅助DNS服务器,以及存根区域和DNS转发。
使用DNS组策略和PowerShell cmdlets进行高级配置。
DHCP配置:
DHCP自动分配IP地址,管理IP地址池,并与DNS集成以自动更新记录。
配置DHCP作用域,授权DHCP服务器,并处理DHCPv6的有状态和无状态自动配置。
IPAM工具:
IPAM集中管理IP地址,规划、配置和监控DHCP作用域,但不支持在域控制器上使用。
NIC组合:
NIC组合通过聚合多个NIC来提高网络的负载均衡和冗余。
IIS配置:
IIS提供网站服务,分为多个模块,允许仅安装所需功能以减少攻击面。
IIS管理器用于管理应用程序池、站点、SMTP电子邮件和证书。
虚拟目录提供了访问IIS服务器内容的快捷方式。
故障排除:
针对Web服务器无响应、无法访问以及客户端无法访问内容的问题,提供了相应的解决方案。
DNS is used to resolve domain and computer names to IP addresses and vice versa
Before you install DNS, ensure that the server to house this role has a static address
After you install DNS as a server role, the next step is to configure forward and reverse lookup zones, as well as DNS resource records
When you configure Dynamic DNS, you enable automated IP address registration in a coordinated way with a DHCP server
Plan to set up two or more DNS servers on most networks
DHCP dynamically leases IP addresses to client computers
Configuring DHCP involves configuring scopes that are IP address ranges from which addresses are leased to clients
Windows Server 2016 DHCP server supports both IPv4 and IPv6
IPAM is a set of tools you can use for IP address management
NIC teaming enables you to aggregate multiple NICs in a server to appear as one logical connection
To create a Windows Server 2016 Web server, install the Web Server (IIS) role to implement Internet Information Services
Create IIS virtual directories to enable multiple users to publish information on a Web site
Use standard NTFS and share permissions to protect virtual directories
After you install a Web server, configure it to customize features
Lecture 8 Configuring Remote Access Services
了解 Windows Server 2016 远程访问服务
远程访问服务(RAS)角色通过三种方式提供远程访问:
VPN为指定客户端提供网络隧道;
DirectAccess建立两个隧道以实现无缝远程访问,对用户透明
Web应用代理(proxy)允许外部用户访问组织服务器上的应用
实施和管理虚拟专用网络
VPN利用互联网或内部网络作为传输介质连接到VPN服务器,使用LAN和隧道协议来封装数据,确保通过公共网络传输的数据安全。
VPN的好处:用户可以通过本地ISP连接到本地网络,并且VPN在客户端和RAS服务器之间创建加密隧道。
VPN服务器使用两个或更多NIC进行通信,一个连接到使用私有IP地址的组织内部私有网络,另一个连接到外部公共网络。
客户端首先通过远程访问协议(remote access protocol)连接到互联网,然后与VPN服务器建立第二个连接,并与VPN服务器协商数据在虚拟隧道中的封装和加密方式。
远程访问协议:通过广域网(WAN)链接传输网络数据包,将数据包(如IP数据报)封装以便在WAN的两端之间传输,其中IP是最常用的传输协议
2016早期使用的远程访问协议:
点对点协议(PPP):用于旧式远程通信,涉及调制解调器。支持连接认证和网络通信加密,但不如现代选项安全。可以自动协商多个网络通信层的通信。
2016 VPN服务器使用的三种远程访问隧道协议:
点对点隧道协议(point-to-point tunneling protocol,PPTP):
提供基于PPP的认证技术
通过Microsoft点对点加密(MPPE)加密PPTP传输的数据。
二层隧道协议(layer 2 tunneling protocol,L2TP):
类似于PPTP,但是使用基于MAC地址的二层转发。
使用IP安全(IPsec)进行额外的认证和数据加密,IPsec是IETF创建的基于IP的安全通信和加密标准集。
安全套接字隧道协议(secure socket tunneling protocol,SSTP):
使用PPP认证技术;将数据包封装在通过Web通信使用的超文本传输协议(HTTP)中。
使用安全套接层(SSL)通道进行安全通信,SSL是服务器和客户端之间使用的数据加密技术,已发展为传输层安全(TLS)。
SSTP被认为比PPTP或L2TP更安全。
配置 VPN 服务器
一般步骤:安装Network Policy and Access Service角色;将2016配置为VPN服务器,包括配置正确的协议以向客户端提供VPN访问;将VPN服务器配置为TCP/IP的通信的DHCP的中继代理;配置VPN服务器属性;配置远程访问策略
服务器防火墙:如果server上使用了windows防火墙,那么VPN使用的TCP和UDP端口不会被组织,但是最好还是确认一下。PPTP:1723,L2TP:500、1701 和 4500(如果使用 NAT),SSTP:443,VPN:1194
DHCP中继代理(Relay Agent):用来在网络上的DHCP服务器和获取地址的客户端之间广播IP配置信息。VPN服务器可以使用路由和远程访问工具(Routing and Remote Access tool)被设置为DHCP中继代理
设置好VPN服务器之后可以在properties中进一步配置
通过远程访问策略(remote access policy)设置VPN安全:可以减少管理工作量,提供更灵活和可控的连接授权。
远程访问策略包括访问权限、条件、约束和设置。
首先评估访问权限,VPN服务器默认设置为拒绝(deny)访问,可以更改为允许(grant)。如果连接尝试符合策略条件,将评估约束,并检查设置,包括IP过滤、加密和IP设置等。
使用路由和远程访问工具可以创建和配置远程访问策略
创建新策略:通过激活并右键点击VPN服务器下的远程访问日志和策略文件夹,启动网络策略服务器工具。
监控VPN用户:使用路由和远程访问工具
实施 DirectAccess 服务器
DirectAccess:基于IPv6,允许客户端通过互联网连接。实现自动远程访问和设备管理。
优势包括用户开机即连,无需登录或密码。
启动后,客户端会建立到组织域的基础隧道,并访问DNS和DHCP服务器,同时可从域管理客户端电脑。
使用DirectAccess需要的东西:服务器和客户端启用IPv6、IPv6兼容应用、数字证书(自签名或PKI管理)、安全组以及运行Windows 7及以上版本的客户端电脑,并配置Windows防火墙。
DirectAccess通过路由和远程访问工具安装,如果之前未安装VPN服务器,可以直接配置启用;如果已安装VPN,可以使用启用DirectAccess向导与VPN共存。
对虚拟专用网络和 DirectAccess 远程访问安装进行故障排除
对 VPN 或 DirectAccess 服务器通信问题进行故障排除可分为硬件和软件故障排除提示
硬件故障解决方法:检查设备管理器中的网络适配器和WAN适配器是否正常且无资源冲突,确保DSL适配器或路由器配置正确并检查指示灯,最后联系ISP确认WAN是否存在问题。
软件故障解决办法:确保VPN/DirectAccess服务正常,需要启动关键服务,配置Windows防火墙,授权访问权限,并检查网络设置和用户组。如果部分客户端连接有问题,验证他们的通信协议和安全组配置。
安装和配置远程桌面服务
远程桌面服务(Remote desktop service,RDS)允许客户端运行基于会话(session-based)的桌面、虚拟桌面和软件应用程序。基于会话的桌面让客户端在连接会话期间访问RDS服务器来运行应用程序。虚拟桌面与通过Hyper-V访问虚拟机相关联,可以为不同目的创建多个虚拟桌面池。
RDS的三个主要用途:在服务器而非客户端上运行应用程序、支持瘦客户端、集中程序访问控制。
瘦客户端(thin clients)是功能简化的PC,它们访问服务器以执行大部分CPU密集型操作,通常用于节省成本和减少培训与支持需求。RDS也支持瘦客户端以及其他操作系统
RDS的四个主要组成部分:多用户远程桌面服务、远程桌面服务客户端、远程桌面协议(RDP)和远程桌面服务管理工具。
安装RDS时,可以安装不同的角色服务
RDS服务器使用RemoteApp功能:即允许客户端在不加载远程桌面的情况下运行应用程序,程序在本地计算机窗口中运行。
客户端可以通过桌面图标、开始菜单、Remote Desktop Web Access网站上的链接或 .rdp文件启动RemoteApp程序。
安装RDS:安装RDS时需配置许可服务、实施NLA,并提前规划用户访问权限和组策略。
从客户端访问RDS服务器:开始——Windows附件——远程桌面连接(remote desktop connect——输入用户名和密码——OK
Summary
远程访问服务(RAS):通过VPN、DirectAccess和Web应用代理提供远程访问。
VPN配置:利用互联网或内部网络连接到VPN服务器,使用LAN和隧道协议确保数据安全。支持PPP、PPTP、L2TP和SSTP协议。
DirectAccess:基于IPv6,自动实现远程访问和设备管理,无需用户登录。
故障排除:包括硬件(检查网络适配器、DSL适配器配置和ISP服务)和软件(服务启动、防火墙配置、访问权限和用户组配置)故障排除。
远程桌面服务(RDS):允许客户端运行基于会话的桌面、虚拟桌面和应用程序。RDS支持瘦客户端,集中控制程序访问,并包括多用户远程桌面服务、客户端、RDP和管理工具。
RDS安装和配置:涉及许可服务配置、NLA实施和用户访问权限规划。RDS服务器可使用RemoteApp功能,允许客户端在不加载远程桌面的情况下运行应用程序。
客户端访问RDS:通过“远程桌面连接”访问RDS服务器,输入用户名和密码即可连接。
Windows Server 2016 offers Remote Access Services to enable users to have remote access to a server
Remote Access Services includes virtual private network (VPN) and DirectAccess services that can be installed individually or together on a server
Remote access protocols include PPP, PPTP, L2TP, and SSTP
Use Server Manager to install the Network Policy and Access Services and the Remote Access roles in Windows Server 2016
Use Server Manager to initially configure a VPN
After a VPN is installed, it should be configured to be a DHCP Relay Agent
A VPN has many properties that can be configured
Plan to configure a remote access policy to govern how a VPN server is accessed
DirectAccess is another remote access service that can be configured with VPN or stand-alone
Many troubleshooting strategies can be used if your VPN or DirectAccess remote access server is having problems
Use Server Manager to install the Remote Desktop Services role and to configure the role after it is installed
Lecture 9 Securing Windows Server 2016
Windows Server 2016安全功能总览
Server Core和Nano Server作为处理关键网络操作的服务器解决方案,例如DNS和DHCP服务。它们也可以作为网络非军事区(Demilitarized zone,DMZ)中的Web服务器或其他服务器使用,提供更好的性能和更少的问题。
DMZ是位于两个网络之间的网络部分,例如私有网络和互联网之间,DMZ中的计算机通过路由器和防火墙拥有较少的安全防护。
Windows防火墙和IPsec合并设置以保持一致性。Windows Defender作为Windows Server 2016中首次包含的软件,用于扫描病毒、间谍软件和恶意软件。安全模板和安全配置分析工具使管理员能够配置服务器范围的安全策略。
用户账户控制(UAC)是Windows Server 2016中的一个重要安全特性,旨在保持用户以标准用户模式运行,以此作为隔离内核和保持操作系统及桌面文件稳定的手段。
UAC通过管理员审批模式(administrator approval mode)防止恶意软件或入侵者在管理员不知情的情况下通过后门(back door)获取控制权。此外,UAC还包括BitLocker驱动器加密,以防止入侵者绕过文件和文件夹的访问控制列表(ACL)保护。
了解 Windows Server 2016 如何使用组策略
组策略在Windows Server 2016中允许管理员通过在Active Directory中设置策略来标准化客户端和服务器的工作环境。
组策略可以设置在站点、域、组织单位(OU)或本地计算机上,但不能设置在非OU文件夹容器中;组策略设置存储在组策略对象(GPOs)中,这些对象可以是本地的或非本地的,并且可以设置为影响用户账户和计算机;当组策略更新时,旧的策略会被移除或更新,以适用于所有客户端。
了解和配置安全策略
安全策略是组策略的一个子集,可以为站点、域、OU或本地计算机的更大组策略设置。安全策略包括账户策略、审核策略、用户权限、安全选项和IP安全策略。
账户策略:是在组策略中设置的安全措施,适用于所有账户或在安装Active Directory时的所有账户容器。可以配置的账户策略选项影响三个主要领域:密码安全、账户锁定和Kerberos安全。
密码安全:其中一个选项是设置密码过期期,要求用户定期更改密码。一些组织还要求所有密码具有最小长度。
具体的密码安全选项,包括强制执行密码历史记录、最大密码年龄、最小密码年龄、最小密码长度、密码必须满足复杂性要求以及使用可逆加密存储密码。
账户锁定(account lockout):操作系统可以采用的一种安全措施,用于在一定次数的不成功尝试后阻止对账户的访问(包括真正的账户所有者)。账户锁定可以设置为在指定时间后自动释放,或由服务器管理员干预。常见的策略是在五到十次不成功的登录尝试后触发账户锁定。
账户锁定的参数设置,包括账户锁定持续时间(以分钟计)、账户锁定阈值(尝试登录失败的次数限制)以及重置账户锁定计数后的时间(等待的分钟数)。这些参数帮助管理员定制账户锁定策略,以适应组织的安全需求。
Kerberos安全:涉及在请求登录和网络服务访问的客户机与授权访问的服务器或活动目录之间交换票据(ticket)。当使用活动目录时,每个域控制器(DC)都是一个关键分发中心。用户认证后,Kerberos票据授予服务授予一个永久票据(称为服务票据),该票据在登录会话期间有效。
配置Kerberos的可用选项,包括强制用户登录限制、服务票据的最大生命周期(分钟)、用户票据的最大生命周期(小时)、用户票据续期的最大生命周期(天)以及计算机时钟同步的最大公差。
审计策略:包括账户登录(和注销)事件、账户管理、目录服务访问、本地计算机的登录(和注销)事件、对象访问、策略更改、权限使用、进程跟踪和系统事件。
用户权限:允许账户或组执行预定义任务。最基本的权利是访问服务器的能力,更高级的权利则赋予创建账户和管理服务器功能等特权。
用户权利分为两大类别:特权(通常与管理服务器或活动目录功能的能力相关)和登录权利(与账户、计算机和服务的访问方式相关)。
特权:向域添加工作站、备份文件和目录、更改系统时间、创建永久共享对象、生成安全审计、加载和卸载设备驱动程序、执行卷维护任务和关闭系统。
登录权利:从网络访问此计算机;允许本地登录;允许通过远程桌面服务登录;拒绝从网络访问此计算机;拒绝作为服务登录;拒绝本地登录;拒绝通过远程桌面服务登录
建议将用户权利分配给组而不是单个用户账户。当用户权利分配给一个组时,该组的所有用户账户(或组)都会继承分配给该组的用户权利,从而简化了管理。
安全选项:
IP安全策略:Windows Server 2016支持IP安全(IPsec)。当两台计算机之间开始IPsec通信时,它们首先交换证书以认证接收者和发送者,然后数据在发送计算机的网络接口卡(NIC)上被加密,并格式化为IP数据包。IPsec可以为所有基于TCP/IP的应用程序和通信协议提供安全性,包括在互联网传输中使用的FTP和HTTP。
配置为使用IPsec通信的计算机可以扮演三种角色之一:
客户端(仅响应)
安全服务器(要求安全性)
服务器(请求安全性)
IPsec安全策略可以通过默认域策略建立,也可以通过IP安全策略管理MMC snap-in进行配置。
实施 Active Directory Rights Management 服务
Active Directory Rights Management Services(AD RMS):是微软开发的一种安全权利管理服务,用于保护各种文件类型。
AD RMS通过使用加密、用户认证和安全证书等安全功能来帮助保护信息。它管理对文件进行操作的权利。这些权利被授予用户账户和组。
RMS安全过程中涉及的一般步骤:当用户创建一个Word文档并使用RMS保护该文档时,Word会使用AES密钥和额外的RSA密钥对文档进行加密。AD RMS服务器会向可以访问文档的客户端颁发一个身份许可。客户端向AD RMS服务器显示其访问文档的许可,AD RMS服务器对客户端进行认证并确定访问级别。
使用安全模板snap-in以及安全配置和分析管理单元管理安全性
snap-in允许设置的安全:账户策略;本地策略;事件日志跟踪策略;组限制;服务访问安全;注册表安全
安全模板snap-in的实用性:当有多个组织单位(OUs)且许多OUs共享相同的组策略时,安全模板snap-in可以帮助管理员更有效地管理和部署一致的安全策略。
文件系统安全为客户端计算机配置安全策略
客户端提供自定义设置的优势:增强安全性和在组织内提供一致的工作环境。这些设置是通过在客户端访问的Windows Server 2016服务器上配置策略来实现的。当客户端登录到服务器或网络时,这些策略会被应用到客户端。
使用组策略管理工具或组策略对象编辑器snap-in手动配置一个或多个策略,以适用于客户端。在任一工具中,管理员可以通过使用管理模板策略对象,在组策略对象中的用户配置和策略下来自定义客户端计算机的桌面设置。
通过组策略设置软件,使得软件可供用户从中央应用程序分发服务器安装。这包括“发布应用程序”和“分配(assign)应用程序”两种方式。
发布应用程序:允许用户从用户的桌面通过“程序和功能”安装软件
分配应用程序:自动在用户的桌面上表示应用程序,并在下次用户启动或登录到计算机时自动安装应用程序
结果集策略(resultant set of policy,RSoP):用于简化管理员对组策略的实施和故障排除。RSoP可以查询现有的策略,并提供策略变更的报告和结果。RSoP支持两种模式:
规划模式:生成报告并提供拟议策略变更的结果。
日志模式:基于当前的策略生成报告,并提供结果策略设置。
使用 cipher 命令进行加密
部署NTFS时使用“加密”属性来保护文件夹和文件。只有加密文件夹或文件的用户才能读取它,使用的是微软的加密文件系统(EFS)。
配置一个独特的私有加密密钥,与加密文件夹或文件的用户账户相关联。用户可以通过修改文件夹或文件的属性来设置“加密”属性。
可以使用Windows PowerShell或命令提示符窗口中的cipher命令来实现EFS。
使用 BitLocker 驱动器加密
BitLocker驱动器加密:一个有效保护硬盘上数据的工具,包括通过USB端口连接的可移动硬盘。
BitLocker支持基于EFI的计算机以及使用BIOS的计算机,并使用可信平台模块(trust platform module,TPM)作为安全方法之一。
TPM是一个安全规范,用于保护一个硬件设备上的信息,例如硬盘。当用于保护硬盘时,TPM验证连接硬盘的计算机是否有权访问该硬盘。如果硬盘被盗,它不能被另一台计算机访问。
如果计算机没有配备TPM芯片,可以使用BitLocker驱动器加密与包含个人识别码(PIN)的USB闪存驱动器一起使用。BitLocker驱动器加密可以加密整个驱动器,包括操作系统、程序和数据文件。BitLocker可以检查文件是否被篡改或被未经授权的来源访问。如果检测到未经授权的访问,它会锁定驱动器上的文件。
配置网络地址转换
网络地址转换(NAT)的两个重要功能:使组织能够在内部网络上自动分配自己的IP地址,而无需为外部网络设置许多全球唯一的地址;保护内部网络上的计算机,使外部网络上的计算机无法识别内部网络上的真实IP地址。
NAT使用内部网络的专用地址池,因为内部地址不被外界看到,所以不需要拥有大量可以在外部网络上使用的IP地址。
NAT也是一个很好的安全技术,因为内部IP地址被隐藏在外部世界之外。在典型的安装中,NAT像防火墙一样工作,使得外部世界(外部网络)只看到一个地址。当安装远程访问角色并使用入门向导时,可以配置NAT。
配置 Windows 防火墙
Windows防火墙:保护服务器免受未经授权的传入和传出通信,还通过合并防火墙过滤器与IPsec设置来避免设置冲突。
提供了Windows防火墙与高级安全MMC snap-in工具,允许管理员配置特定的程序、服务以及TCP和UDP端口的防火墙例外规则,从而在确保安全性的同时灵活管理网络流量。
使用 Windows Defender
Windows Defender专门设计来保护系统免受恶意软件、病毒、间谍软件以及其他网络威胁的侵害。Windows Server 2016 版本是首个包含 Windows Defender 的 Windows Server 系统。
Summary
Windows Server 2016 安全特性
减少内核攻击面:通过Server Core和Nano Server实现,它们提供了最小化的服务器足迹,减少了潜在的攻击面。
扩展组策略:用于管理和标准化Windows Server 2016的安全设置。
服务器核心和Nano Server
适用于关键网络操作:如DNS和DHCP服务。
网络非军事区(DMZ):适用于网络DMZ中的Web服务器或其他服务器。
性能和问题:提供更好的性能和更少的问题。
Windows防火墙和IPsec
合并设置:保持一致性,避免设置冲突。
Windows Defender:内置防病毒和反恶意软件工具,提供实时保护。
用户账户控制(UAC)
标准用户模式:保持用户以标准用户模式运行,隔离内核,保持系统文件稳定。
管理员审批模式:防止恶意软件或入侵者通过后门控制系统。
组策略
标准化工作环境:通过在Active Directory中设置策略来标准化客户端和服务器的工作环境。
组策略对象(GPOs):存储组策略设置,可以是本地的或非本地的。
影响用户账户和计算机:可以设置为影响用户账户和计算机。
安全策略
账户策略:包括密码安全、账户锁定和Kerberos安全。
审核策略:跟踪资源访问,如文件夹、文件或用户账户。
用户权利:创建特定安全控制。
安全选项:专门的策略,如账户、审核、DCOM等。
账户策略
密码安全:设置密码过期期,要求用户定期更改密码。
账户锁定:在一定次数的不成功尝试后阻止对账户的访问。
Kerberos安全:使用票据在客户端和服务器之间交换认证信息。
Kerberos安全
票据交换:在客户端和服务器之间交换票据以认证访问。
AES加密:支持高级加密标准(AES)加密。
NTLMv2:当Active Directory未安装时,默认认证通过Windows NT LAN Manager版本2(NTLMv2)。
审核策略
审计事件类型:包括账户登录、账户管理、目录服务访问等。
用户权利
特权:与管理服务器或Active Directory功能的能力相关。
登录权利:与账户、计算机和服务的访问方式相关。
专门的安全选项
账户:重命名管理员账户以隐藏身份。
审计:跟踪特定事件和访问。
DCOM:分布式组件对象模型的安全设置。
设备:控制设备访问。
域控制器:域控制器特定的安全设置。
交互式登录:控制交互式登录的行为。
Microsoft网络客户端:网络客户端的安全设置。
网络访问:控制网络访问权限。
网络安全:IP安全策略和设置。
IP安全(IPsec)
证书交换:在两台计算机之间开始IPsec通信时,首先交换证书以认证接收者和发送者。
数据加密:数据在发送计算机的网络接口卡(NIC)上被加密。
通信协议:为所有基于TCP/IP的应用程序和通信协议提供安全性。
Active Directory Rights Management Services (AD RMS)
文件保护:保护文档、电子表格、电子邮件等文件类型的安全权利。
加密、用户认证、安全证书:使用这些安全功能来保护信息。
安全配置管理工具
管理多种安全策略:包括账户策略、本地策略、事件日志跟踪策略等。
客户端自定义设置
增强安全性:通过配置Windows Server 2016服务器上的策略来增强安全性。
一致的工作环境:在组织内提供一致的工作环境。
软件发布和分配
软件分发:通过组策略设置软件,使其可供用户安装。
自动安装:分配的应用程序在用户下次启动或登录时自动安装。
结果集策略(RSoP)
策略实施和故障排除:简化组策略的实施和故障排除。
规划和日志记录模式:支持规划和日志记录两种模式。
NTFS和EFS加密
保护文件夹和文件:使用“加密”属性和EFS保护文件夹和文件。
私有加密密钥:配置一个独特的私有加密密钥,与用户账户相关联。
BitLocker驱动器加密
保护硬盘数据:保护整个硬盘的数据,包括操作系统、程序和数据文件。
TPM:使用可信平台模块(TPM)作为安全方法之一。
网络地址转换(NAT)
自动分配IP地址:在内部网络上自动分配IP地址,无需设置许多全球唯一的地址。
保护内部网络计算机:保护内部网络上的计算机,使外部网络上的计算机无法识别内部网络上的真实IP地址。
Windows防火墙
保护通信:保护传入和传出通信。
防火墙过滤器与IPsec设置:合并防火墙过滤器与IPsec设置,避免设置冲突。
Windows Server 2016 has many important security features
Group policy offers a way to standardize security across a domain, OU, site, or local server
Configure account policies to include security features such as password security, account lockout, and Kerberos authentication
Use audit policies to track how resources are accessed, such as folders, files, or user accounts
User rights policies enable you to create specific security controls
Security options are specialized policies
Configure IPsec security policy for strong client authentication
Implement Active Directory Rights Management Services for application-level security
Use the Security Templates and Security Configuration and Analysis snap-ins to configure consistent security policies for an Active Directory container
For better control over the activities of clients, configure security policies on the local server or in the domain that applies to clients
Use Resultant Set of Policy to plan and troubleshoot Group Policy
The cipher command is a valuable tool for implementing the Encrypting File System from the Command Prompt window
BitLocker Drive Encryption is a security measure for protecting entire hard drives
Network Address Translation is used to disguise IP addresses on an internal network from the outside world
Windows Firewall can be configured to allow traffic exceptions and to manage incoming and outgoing traffic
Windows Defender is included with Windows Server 2016 to protect against malware, viruses, spyware, and other threats
Lecture 10
服务器监控是确保服务器性能和稳定性的关键活动。通过监控,我们可以及时发现并解决潜在问题,从而避免服务中断。
几种重要的监控工具:包括资源监控器、任务管理器和性能监控器。
资源监控器提供了对CPU、内存、磁盘和网络资源的实时快照,有助于快速识别和分析问题。
任务管理器则允许我们监控应用程序和进程,查看服务状态,并进行相应的管理操作,如启动、停止或重启服务。
性能监控器则更为强大,它不仅可以监控服务器的各个方面,还能帮助我们配置和使用性能数据收集器集合,以收集和分析性能数据。
性能和诊断数据收集是服务器管理中的一个重要环节。通过设置和使用数据收集器集合,我们可以收集性能和诊断信息,这对于性能分析和问题解决至关重要。
数据收集器集合可以是性能计数器报告、跟踪报告或系统配置数据。这些集合可以帮助我们跟踪特定对象的性能,监控特定事件,并收集系统配置信息。
简单网络管理协议(SNMP)服务:这是一种用于网络管理的标准协议,允许网络管理员监控和管理网络上的设备。
服务器监控的一个主要原因是建立性能基准,这有助于在问题发生时更容易地识别问题。
基准提供了一个比较的基准,使我们能够将问题发生时收集的数据与正常性能条件下的数据进行比较。本部分讨论了建立基准的重要性,并提供了一些可能的基准样本,包括在发布新操作系统、服务器硬件或复杂应用程序之前测试基准,以及监控服务器资源在不同使用情况下的表现。
资源监控器:提供了对服务器资源使用的实时视图,用来监控CPU、内存、磁盘和网络资源的使用情况。这个工具对于初步分析问题非常有用,因为它可以显示按照上述四个主要类别分类的服务器上运行的进程或服务。这有助于我们快速识别资源瓶颈,例如处理速度不足的CPU、内存不足或磁盘I/O问题。
任务管理器:一个多功能工具,它不仅可以监控应用程序和进程,还可以管理服务。当服务出现问题时,我们可以通过任务管理器检查服务状态,并执行启动、停止、暂停、恢复或重启服务等操作。此外,任务管理器还允许我们检查服务的依赖关系,这对于解决复杂的服务问题非常有用。
性能监控器:允许管理员监控和分析服务器的关键性能指标。通过性能监控器,管理员可以实时查看CPU和内存的使用情况,并通过图表和性能统计数据进行分析。性能监控器使用对象(如处理器或内存)、计数器(如%处理器时间)和实例(当需要监控不同元素时,例如个别进程)来收集数据。管理员可以根据需要选择不同的视图模式,包括线图、直方图条和报告视图,以获得最佳的数据分析方式。
数据收集器集合:性能监控器的一个功能,它允许管理员收集有关服务器或网络的数据,并将这些数据编译成报告或日志。这些集合可以包括性能计数器、跟踪和系统配置数据。管理员可以配置数据收集器集合的多个属性,包括一般设置、目录、安全性、计划、停止条件和任务。此外,管理员还可以使用预定义的数据收集器集合,这些集合提供了一个模板,帮助确定监控的内容,简化了监控设置的过程。
网络监控:提供了确定基线的方法,并允许管理员将基线数据与当前系统性能统计数据进行比较,以定位问题的源头。本部分强调了收集网络接口性能计数器、IPv4和IPv6性能计数器、TCPv4和TCPv6性能计数器等数据的重要性。这些数据有助于管理员了解典型的网络活动,并在网络错误水平上升时识别问题。
简单网络管理协议(SNMP)是用于基于TCP/IP网络的网络管理的标准协议。它为网络管理员提供了一种集中管理网络上的设备的方法,包括工作站、服务器、集线器和路由器。SNMP通过代理和管理系统集成网络管理服务,其中管理系统集成了发送和请求信息的功能,而代理则响应管理系统集成的请求。本部分还讨论了微软操作系统和组件与SNMP的兼容性,以及Windows Management Instrumentation (WMI) SDK如何使SNMP应用程序能够访问SNMP数据。
Lecture 11
目标:理解通用的问题解决策略,解决启动问题,使用和配置事件查看器,排查网络连接问题,以及远程管理一个或多个服务器。这些目标旨在提高服务器管理的效率和可靠性。
解决服务器和网络问题的最佳方法是开发有效的故障排除策略。这些策略包括理解服务器和网络如何相互作用,培训用户帮助解决问题,逐步解决问题,以及跟踪问题和解决方案。
许多服务器和网络管理员会创建整个网络或网络不同部分的图表,并在网络的任何方面发生变化时更新这些图表。这有助于更好地理解和管理网络结构。
网络图应包括服务器、工作站、网络打印机、无线网络设备、有线网络设备、电信链路、无线和有线链路、远程链路以及建筑位置等元素。
为了更有效地解决问题,网络用户应被培训成为报告问题的合作伙伴。他们应在问题出现时保存工作,记录问题信息,并迅速通过电话或语音邮件报告问题,避免通过电子邮件报告紧急问题。
解决服务器和网络问题的技巧包括获取尽可能多的问题信息,记录错误消息,检查其他用户是否遇到相同的问题,检查Windows Server 2016事件日志,使用性能监视器和其他工具来帮助诊断问题。解决问题的技巧包括确定可能的解决方案,考虑最佳或最可能的解决方案,评估解决方案对用户的影响,并在实施解决方案后继续监控服务器。
记录网络问题及其解决方案非常重要,这可以通过帮助台系统实现。这不仅有助于积累解决方案的信息,还可以作为计算机支持人员的教材和参考。同时,保持变更日志也是一个好的实践,记录对服务器硬件和软件所做的更改,为故障排除提供参考。
常见的启动失败原因包括磁盘故障、分区表损坏、启动文件损坏、主引导记录损坏和磁盘读取错误。通常,首先尝试关闭计算机并重新启动。如果简单的重新启动不能解决问题,可以尝试使用高级启动选项,例如安全模式,它使用最通用的默认设置启动服务器,并只启动启动基本配置所需的服务。要访问高级启动选项菜单,需要在计算机启动时立即按F8,然后选择所需的选项,例如安全模式。如果安全模式无法解决问题,可以使用启用启动日志选项来创建问题日志,或者使用安全模式带命令提示符选项来执行命令解决问题。
在Windows Server 2016中,可以通过“修复您的计算机”选项访问修复选项,无论是从高级启动选项菜单还是从安装DVD启动。这些选项包括继续、使用另一个操作系统、故障排除和关闭电脑。
当选择故障排除时,可以选择系统映像恢复或命令提示符选项。系统映像恢复需要之前拍摄的映像,用于完整恢复服务器上的所有文件。系统状态数据包括操作系统和额外组件,反映了服务器当前的配置状态。
停止消息是在服务器遇到严重问题并停止运行时显示的错误消息。
事件查看器存储记录有关所有类型服务器事件的信息的事件日志,以错误、警告和信息事件的形式。Windows Server 2016事件日志分为三个通用类别:Windows日志、应用程序和服务日志以及Microsoft日志。
Windows生成的日志用于报告一般操作系统和软件应用程序事件,包括应用程序日志、安全日志、安装日志、系统日志、转发事件日志和管理员日志。这些日志旨在帮助系统管理员了解特定问题及其原因,并可能建议如何解决该问题。
操作日志跟踪特定操作的发生,例如添加硬盘驱动器。事件查看器中可用的应用程序和服务日志部分取决于安装的角色和功能
分析日志和调试日志通常由应用程序或系统程序员使用,以了解程序的操作情况,并帮助追踪程序中的问题,以便修复程序代码或程序结构。处理事件日志时,涉及到查看日志事件、创建过滤器和维护事件日志等几个方面。
事件查看器中的日志事件会用图标显示事件的严重性,并提供每个事件的描述性信息,包括事件描述、记录事件的日志名称、事件源、事件ID、事件级别(信息、警告、错误)、与事件相关的用户(如果有)、事件的操作码等。
每个日志都显示了关于个别事件的描述性信息,包括更多系统日志中提供的信息,如更多信息的链接、事件被记录的日期和时间、事件的任务类别、与事件相关的关键词、事件发生的计算机名称。
事件查看器可以通过多种方式打开,包括从服务器管理器、Windows管理工具文件夹、作为MMC snap-in、计算机管理工具,以及通过右键点击开始菜单并选择事件查看器。
要查看日志的内容,只需点击事件查看器树下的相应日志。要查看事件的详细信息,双击事件即可。事件日志是帮助您排查软件或硬件问题的良好信息源。
所有事件日志在事件查看器中都有一个过滤选项,可以帮助您快速定位问题。可以根据以下标准过滤事件:事件被记录的时间、事件级别(如信息、警告、错误、严重、详细)、日志(如系统或安全日志)、事件源(如特定服务或软件组件)、事件的任务类别(如安全变更)、关键词(如审计失败和审计成功)、与事件相关的用户、与事件相关的计算机、日期和时间范围。
维护日志:包括设置每个日志的大小以防止其过快填满、当日志满时覆盖最旧的事件、当日志满时归档日志、手动清除日志(不会覆盖事件)。建议您制定一个维护计划,以保存日志内容指定的时间段,因为日志包含了有关历史服务器活动的重要信息。
调整事件日志:打开事件查看器,右键点击您想要调整的每个日志,并点击属性。在常规选项卡中,设置日志大小。要保存日志,右键点击树中的日志,点击“保存所有事件为”,输入日志文件的名称,然后点击保存。您可以将日志保存为.evtx、.xml、.txt、.csv等格式。
服务器和网络管理员经常需要排查TCP/IP连接问题。Windows Server 2016提供了命令行工具和图形工具来帮助排查连接问题。使用Windows PowerShell或命令提示符窗口,输入ipconfig可以查看适配器地址(MAC或以太网)、IP地址、子网掩码等信息。也可以显示多个网络适配器的情况,以及媒体是否已断开。输入ping可以检测另一台TCP/IP计算机的存在。netstat是验证工作站或服务器是否已成功建立TCP/IP连接的快速方式。netstat -e可以快速显示在该计算机的NIC检测到的传输错误和丢弃的数据包数量。
您可以使用图形用户界面(GUI)工具来诊断和修复网络问题,例如网络连接窗口。这个工具可以用来禁用然后启用网络连接,这样做会重置NIC和TCP/IP连接,确保您有一个干净的连接。您还可以使用网络连接窗口来诊断网络问题。
一些服务器管理员喜欢使用系统配置工具msconfig来帮助排查问题。通过在Windows PowerShell或命令提示符窗口中输入命令来启动msconfig。系统配置窗口有五个标签页:常规、启动、服务、启动和工具。
对于服务器管理员来说,能够远程访问服务器以便解决问题是非常有用的。您可以使用远程桌面客户端通过VPN服务器或互联网连接远程访问和管理服务器。您可以通过服务器管理器或控制面板中的系统应用程序来配置远程桌面,以访问系统属性对话框。点击允许远程连接到此计算机,并允许仅从运行远程桌面的计算机建立连接。
配置用于执行管理操作的帐户的强密码非常重要。微软定义了强密码的几个特征:包含七个或更多字符(八个或更多更好)、不反映您可能被他人猜测的特质、不是可以在字典中找到的词、定期更改且不重复之前使用的密码、包含大小写字符、数字和符号的组合。
远程服务器管理工具(RSAT)使您能够从一台Windows Server 2016服务器管理多台服务器。远程服务器管理工具通过服务器管理器提供。角色管理工具是远程服务器管理工具的一个子集,自动安装,但仅用于管理Active Directory DS、Active Directory LDS和DNS服务器。您可以通过服务器管理器安装更多的角色管理工具。远程服务器管理工具使您能够管理安装在服务器上的角色和功能。
在问题发生之前,制定问题解决策略是非常重要的。Windows Server 2016为您提供了高级启动选项菜单,以便在启动问题时使用。高级启动选项菜单或使用Windows Server 2016安装DVD上的相同选项提供了恢复系统或处理无法启动的系统的工具。定期执行包括系统状态数据的完整备份,以便在系统失败时完全恢复系统。事件查看器是日志的存储库,您可以从中监控系统并诊断问题。
定期使用事件查看器监控日志内容。Windows Server 2016包含用于排查网络连接问题的命令行和图形工具。Windows Server提供了远程服务器管理工具,使您能够远程管理服务器。您可以使用远程桌面客户端功能远程管理Windows Server 2016服务器。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
