本系列文章一共有六篇,第一至四篇將會為大家介紹Windows Server 2008新的改變,第五篇則會為大家介紹從Windows 2000 Server昇級到Windows Server 2008的程序以及注意事項,最後一篇則會為大家介紹Windows Server 2008的自動化及遠端管理功能。在這一篇中將為大家介紹Windows Server 2008中的新改變:伺服器管理員以及Active Directory。
自從微軟在西元2000年發佈Windows 2000 Server至今已有九個年頭。根據微軟對產品生命週期的承諾,Windows 2000 Server即將在明年停止支援,並且停止大多數的更新(除了會造成立即性危害的重大安全性更新之外,讀者可造訪http://support.microsoft.com/lifecycle/?p1=7274 )。而隨著微軟在去年發佈最新一版的Windows Server 2008,許多目前還在使用Windows 2000 Server的公司,也開始在討論昇級到Windows Server 2008的相關議題。
在這個系列的文章中,我們將為大家介紹微軟在Windows Server 2008中所做的改變,以及這些改變將如何的改善你目前現有的Windows 2000 Server環境。此外,我們也會針對從Windows 2000 Server昇級到Windows Server 2008的環境時,有哪些是必需注意的事項。正所謂知已知彼,掌握這些新的改變功能將會對日後的昇級提供更順利的途徑。
全新的伺服器管理員
當部署完裝完Windows Server 2008第一次登入時,便會馬上出現一個全新的管理工具:伺服器管理員。伺服器管理員使用了全新整合式的Microsoft Management Console(MMC),提供了針對單一台伺服器最佳的管理工具架構。它取代了在Windows 2000及2003時代中的「新增或移除 Windows 元件」功能。也取代了在Windows Server 2003中的「管理你的伺服器」以及「設定你的伺服器」兩個功能,另外它也取代了「電腦管理」的MMC工具。
全新的伺服器管理員。
從圖1中你可以看到伺服器管理員的整合式管理晝面,伺服器管理員可提供單一介面讓系統管理員看到簡要的伺服器概述、變更伺服器的系統屬性,以及安裝或移除角色或功能。利用伺服器管理員,系統管理員可以輕易地:
.檢視及變更伺服器中所安裝的伺服器角色和功能。
.執行伺服器運作生命週期的相關管理工作,例如啟動或停止服務,以及管理本機使用者帳戶(當Windows Server 2008未安裝Active Directory網域服務時)。
.執行伺服器中之安裝角色的運作生命週期的管理工作。
.瞭解伺服器的狀態、辨別重大事件,以及進行設定問題或故障的分析和疑難排解。
.利用 Windows 命令列安裝或移除角色、角色服務和功能。
由於Windows Server 2008將原先的「新增或移除 Windows 元件」功能中所管理的Windows元件一分為二變成了「角色」與「功能」。伺服器管理員中的精靈是透過縮短安裝、設定或移除角色、角色服務和功能的時間,來簡化在企業內部署伺服器的工作,因此你僅需利用伺服器管理員的安裝精靈,即能夠在單一工作階段中安裝或移除多重角色、角色服務或功能。伺服器管理員的精靈會在執行過程中執行依存性檢查,以確定選用角色所需的角色和角色服務皆已安裝,且不會移除其餘角色或角色服務可能還會使用到的角色和角色服務。
伺服器角色
伺服器角色說明伺服器的主要功能。系統管理員可以選擇將整部電腦專用於一個伺服器角色,或者在單一電腦上安裝多個伺服器角色。每個角色均可包含一或多個角色服務,稱為角色的子元件。Windows Server 2008 中提供下列伺服器角色,可使用伺服器管理員來安裝及管理。
Windows Server 2008所提供的伺服器角色。
如果你是安裝Windows Server 2008標準版、企業版或是Data Center的64位元版本,還會多增加一個Hyper-V的伺服器角色(註1)。
一般而言,功能不會說明伺服器的主要功能。功能會為伺服器提供輔助或支援功能。一般而言,系統管理員新增功能的目的不是做為伺服器的主要功能,而是為了加強已安裝之角色的功能。Windows Server 2008中提供下列功能,並可於伺服器管理員中中使用命令來安裝。
Windows Server 2008所提供的功能。
在絕大多數的情況下,你只需要透過單一的伺服器管理員儀表版就可以管理所有安裝在此伺服器上的所有角色及功能,而毋需另外再開啟相對應的MMC管理工具。例如在圖1中已經新增加了『Active Directory網域服務』及『DNS伺服器』的伺服器角色,直接就可以透過伺服器理員對Active Directory的使用者及電腦進行管理。除了新增和移除『角色』及『功能』之外,伺服器管理員還提供單一窗口來執行診斷工具(例如事件檢視器和 PerfMon)和系統設定公用程式(例如裝置管理員和 Windows防火牆嵌入式管理單元)。
伺服器管理員就像一份報紙的頭版頭一樣,它提供單一位置,讓系統管理員可以查看伺服器的簡要概觀、變更伺服器的系統內容,以及安裝或移除角色或功能。
大變革後的Active Directory網域服務
微軟在西元2000年所發表的Windows 2000 Server是第一個內含Active Directory的Windows伺服器版本。在第一版中的Active Directory不過是在使用者登入時驗證他的身分、套用群組原則到使用者及其電腦,以及幫助他找出他正在尋找的印表機的一項技術。之後的Windows Server 2003重大版本則大幅度的做了改進,以提升此核心網路服務的安全性和管理性。又過了幾年後微軟推出了Active Directory的獨立變體:Active Directory Application Mode應用程式模式(ADAM)。隨著時間不斷的演進,如今Active Directory已經算是相當穩固且成熟的技術。現在,Active Directory不再是特定的技術,它現在是一項產品,可識別許多Windows內建識別和存取控制服務。
新制與舊制比較說明
在Windows Server 2008中的Active Directory使用的名稱上做了一些更改並且使用了相對應的縮寫。下列將簡單的介紹了新舊Active Directory服務在名稱對照上的差異。
Active Directory與Active Directory網域服務(AD DS) Active Directory Domain Services (AD?DS) 儲存使用者、電腦與網路上其他裝置的相關資訊。AD?DS協助系統管理員以安全的方式管理這項資訊,並有助於使用者之間的資源共用與協同作業。若要安裝支援目錄功能的應用程式(例如,Microsoft Exchange Server)以及應用其他Windows Server技術 (例如,群組原則),就必需安裝使用ADDS。
#小標=Active Directory應用程式模式(ADAM)與Active Directory輕量型目錄服務(AD LDS) 組織中若有需要使用目錄才能儲存應用程式資料的應用程式,則可以使用Active Directory輕量型目錄服務(AD LDS)做為資料存放區。AD LDS可以用非作業系統服務的形式執行,因此,它不需部署在網域控制站上。由於可以用非作業系統服務的形式執行,你可以在單一伺服器上同時執行多個 AD LDS執行個體,且每個執行個體均可個別設定供多個應用程式使用。
憑證服務與Active Directory憑證服務(AD CS) Active Directory憑證服務(AD CS)提供建立及管理公開金鑰憑證的自訂服務,這些憑證可用於採用公開金鑰技術的軟體安全性系統。組織可利用Active Directory憑證服務,將個人、裝置或服務的識別身分繫結至對應的私密金鑰,以強化安全性。Active Directory憑證服務也包含其他功能,讓你管理各種彈性環境中的憑證註冊與撤銷。
Active Directory憑證服務所支援的應用程式包括安全/多用途網際網路郵件延伸(S/MIME)、安全無線網路、虛擬私人網路(VPN)、網際網路通訊協定安全性(IPsec)、加密檔案系統(EFS)、智慧卡登入、安全通訊端層/傳輸層安全性(SSL/TLS)與數位簽章等。
版權管理伺服器與Active Directory Rights Management Services (AD RMS) AD RMS 是一種資訊保護技術,可與支援AD RMS的應用程式搭配使用,以防止數位資訊遭到未經授權使用。內容擁有者可定義接收者可使用資訊的確切方式,例如哪些人可開啟、修改、列印、轉寄資訊,或是對資訊執行其他動作。組織可建立「機密 - 唯讀」之類的自訂使用方式權限範本,以直接套用到財務報表、產品規格、客戶資料與電子郵件訊息等資訊上。
Active Directory Federation Services與Active Directory Federation Services(ADFS) Active Directory Federation Services (AD FS)提供網頁單一登入(SSO)技術,以使用單一使用者帳戶對多個網頁應用程式驗證使用者。AD FS可在夥伴組織間透過數位宣告的形式安全地建立使用者識別身分與存取權限的聯盟或共用,以完成上述作業。
這些新舊的比較有些是從Windows 2000 Server時代便有的名詞,有些則是在Windows Server 2003時代才開始出現。然後不論其出現的順序,在Window Server 2008都做了名稱對應的縮寫。這些縮寫名稱將會大量的被使用到官方或非官方的正式文件之中,因此記住這些縮些在閱讀相關的文件時會更加容易理解。
可重新啟動的Active Directory服務
眼尖的你或許已經發現Windows Server 2008中的Active Directory已經以作業系統的服務(Service)方式來提供,不再像舊版的Active Directory是與整個作業系統綁在一起。這意謂著以服務方式提供存取的Active Directory變得更加有彈性。
例如當你要為Active Directory進行手動維護的時候,不用再像舊版的Active Directory必需要將整台DC重新開機並進行目錄還原模式中進行操作,現在只需要執行NET STOP NTDS(圖4) Active Directory Domain Services即可對DIT資料庫執行離線的重組,之後若想要重新啟動ADDS只需要執行NET START NTDS(圖5)即可。
停用ADDS也會一併停用相關的相依服務。
重新啟用ADDS也會一併將圖五中的相關依存服務啟用。
DCPROMO的變更
由於Windows 2000 Server與Windows Server 2008作業系統有著本質上的差異,因此在昇級的時候並不支援你從Windows 2000的網域控制台直接做本機的昇級動作(註2)。因此,你在Windows Server 2008 ADDS中第一個發現的變更就是DCPROMO,它完全不同於Windows 2000,因為重新徹底改寫過以更利於使用。
還記得筆者第一次接觸Windows 2000 DCPROMO時,就被那DNS伺服器的設定搞得團團轉。由於當時筆者是初次接觸到Active Directory,所以壓根就不知道Windows Active Directory必需非常的依賴DNS伺服器的樹狀架構,因此在安裝Windows 2000網域的第一台網域控制站之前必需先手動設定好Windows DNS 網域名稱的正向及反向DNS對應區域。偏偏那時候對DNS伺服器的運作一知半解,結果DCPRMO起來的Windows 2000 DC都會有複寫上的錯誤。所以在Windows 2000時代你必需先搞懂DNS Server的設定及運作原理,才有辦法將Windows 2000 DC順利的Promote起來。
新的DCPROMO提供了檢測本機TCP/IP元件中所指向的DNS伺服器是否存在或者符合DCPROMO的需求。當無法符合需求時,可以讓你選擇使用精靈自動安裝設定的方式(圖6)將DNS伺服器部署完成而毋需再手動事先加以設定。
透過ADDS安裝精靈自動安裝設定DNS。
新的DCPROMO還會將所有設定選項全都收集到單一頁面上,提供一個位置讓你選擇新的DC是要作為通用類別目錄(GC)、DNS伺服器,還是唯讀DC。你不必在Active Directory [站台及服務] 嵌入式管理單元中,進入難找的地方將DC標示為GC。如果在你是屬於需要大量部署網域控制站的環境,那麼新的DCPROMO還提供將升級程序開始前將所有DCPROMO設定全都儲存到一個回應檔中的功能,之後便可以使用該回應檔在其他伺服器上執行自動DCPROMO作業(圖7)。
使用新的DCPROMO匯出的回應檔。
唯讀網域控制站
在早期規劃Active Directory架構時,大家都會在有使用者登入需求的站台放置一台DC或GC。這樣做的目地無法是當分點的WAN斷線時,當地的使用者還可以藉由當地的DC/GC登入網域存取當地的資源。然而這樣的設計規劃若是沒有相對的配套措施(例如:分點沒有人力及適當的保全地點可以管理保全DC機器),將對Active Directory造成很大的安全風險。
唯讀網域控制站Read Only Domain Controller(RoDC)以及唯讀通用目錄伺服器Read Only Global Catalog Server(RoGC)。要實作它們很簡單,你的網域必須是位於Windows Server 2003樹系功能等級,而且網域裡面必須至少有一個Windows Server 2008 DC。然後執行adprep /rodcprep Active Directory準備之後便可以安裝一台唯讀的網域控制站或唯讀的通用目錄伺服器(註3)。
為此,Active Directory設計小組以『在分點發生的,就留在分點』的觀點,設計了全新的 RODC預設並不會將密碼雜湊儲存在RODC的目錄資訊樹(Directory Information Tree,DIT)中。因此若要向網域驗證使用者,當使用者先向特定RODC進行驗證時,RODC會將要求傳送給網域內的完整網域控制站(FDC)。FDC會處理該要求,若成功,RODC便會發出密碼雜湊的複寫要求。密碼複寫原則是由RODC的電腦物件上的兩個屬性構成。
msDS-RevealOnDemandGroup屬性包含其密碼可快取在RODC上的群組、使用者或電腦帳戶的分辨名稱(這些一般是跟RODC位於相同站台的使用者和電腦)。而msDS-NeverRevealGroup則包含其密碼不可快取在RODC的群組、使用者或電腦帳戶的分辨名稱(例如網域系統管理員帳戶絕對不應該將它的密碼雜湊快取在RODC上)。當RODC要求特定帳戶的密碼雜湊時,FDC會比照密碼複寫原則來評估要求,以判斷是否應該將密碼雜湊複寫到RODC。
當DC遭竊時,這可將受影響的範圍侷限在那些在遭竊的RODC從網路移除當時快取的密碼,並且也消除了重要密碼遭到入侵的可能性。在網域中完整的DC並不會信任RODC為網域控制站。從信任的觀點來看,FDC會將RODC當作網域中的成員伺服器來對待。RODC並不是企業網域控制站或網域控制站群組的成員。RODC帳戶更新目錄內容的能力非常有限,因此即使攻擊者真的入侵RODC 帳戶,所獲得的權限也幾乎無用武之地。
RODC甚至不會顯示在標準DS複寫拓樸中。因為RODC看起來像一般的成員伺服器,而不像網域控制站,所以知識一致性檢查程式(KCC,這是每個DC上負責計算DS應用程式拓樸的處理程序)不會從RODC建立連線物件。完整DC或RODC全都不會嘗試從RODC複寫。但是,RODC會建立一個連線物件來代表完整DC的輸入複寫授權合約,不過這個連線物件只存在於RODC的複本中,其他DC完全沒有該連線物件的複本。
從複寫的觀點來看,RODC就像是目錄物件的蟑螂屋。物件只能往內複寫,不能往外複寫。在Windows Server 2008的系統管理員可以定義「唯讀 DC 已篩選屬性集」(Read-Only DC Filtered Attribute Set,RO-FAS)。你可以在架構中將相對應attributeSchema物件的searchFlags屬性設為位元9 (0x0200),將屬性指定到RO-FAS。當屬性被定義成RO-FAS時該屬性永遠都不會複寫到RODC。如此可以更大幅度的降低RODC被竊或入侵時的風險。
更具彈性的密碼原則
如你所知道的一樣,在Windows 2000或Windows Server 2003的Active Directory網域中只能設定一組有效的密碼原則。而且這個密碼原則會套用到相同網域中的所有安全性物件之中,如果有部份的使用者或群組成員需要套用不同的密碼原則,就必需要建立另一個網域來存放這些具有特殊需求的使用者帳號。但在新版的Window Server 2008的Active Directory則應大家熱烈的需求允許可以為指定的帳戶或是以群組為單位的方式來套用不同的密碼原則。
在Windows Server 2008網域服務中使用『密碼設定容器(Password Settings Container,PSC)』以及『密碼設定物件(Password Settings objects,PSO)』兩個物件來儲存新的密碼原則。密碼設定容器 (PSC) 物件類別預設會建立在網域的『SYSTEM』容器下(圖8)。此容器儲存網域的密碼設定物件 (PSO)。你無法重新命名、移動或刪除這個容器。
PSC密碼設定容器。
要設定新的密碼原則你必需在PSC上建立新的密碼設定物作PSO。底下表1則列出PSO可使用定義的屬性值。
表1=PSO可使用定義的屬性值。 屬性名稱 用途說明 msDS-PasswordHistoryLength 強制密碼歷程記錄 msDS-MaximumPasswordAge 密碼最長使用期限 msDS-MinimumPasswordAge 密碼最短使用期限 msDS-MinimumPasswordLength 最小密碼長度 msDS-Password-ComplexityEnabled 密碼必須符合複雜性需求 msDS-PasswordReversibleEncryptionEnabled 使用可還原的加密來存放密碼 msDS-LockoutDuration 帳戶鎖定期間 msDS-LockoutThreshold 帳戶鎖定閾值 msDS-LockoutObservationWindow 重設帳戶鎖定計數器的時間 msDS-PSOAppliesTo PSO 連結。此為多重值的屬性,它會連結到使用者和群組物件。 msDS-PasswordSettingsPrecedence 優先順序。這是整數值,用於解決當多重 PSO 套用至使用者或群組物件時的衝突。
Windows Server 2008 ADDS雖然提供了更加彈性的密碼原則,但是目前僅能透過ADSI的編輯工具來設定上述的相關屬性值。因此你必需相當小心的管理這些原則,盡量單純不要複雜化你的密碼原則將會有助於控制網域的安全性風險。
瞭解新增功能以利昇級規劃
在新版Windows Server 2008的網域服務中除了上述新功能改變之外,你還可以找到其它一些不錯的功能。例如:將Active Directory使用者及電腦的檢視改為進行之後,便可以將任一DS物件勾選『保護物件不被意外刪除』的功能以防止被管理者誤刪。此外,也可以在進階檢視中的『屬性編輯器』頁面中直接修改該DS物件的屬性值,就如同使用ADSI編輯工具修改一樣。
當你從Windows 2000 Server要昇級至Windows Server 2008前,瞭解新版的功能新增及改變,可以讓你在事先規劃時便將這些改變納入考量。而在昇級後也能夠讓管理更快速的上手。在下一篇中我們將為大家介紹Windows Server 2008在綠化IT中所提供的新功能。在節能減碳的風潮下當你在規劃昇級時如何充份利用Windows Server 2008的新功能來達成目標。
【原文刊載於RUN!PC雜誌:2009年2月號】
