Pages

Subscribe:

Ads 468x60px

Labels

2014年4月22日 星期二

Windows 7進階活用秘訣TOP 5

顧武雄
Windows 7除了廣泛地被一般用戶所使用,在企業中也是大多數IT人員選用的作業系統。該作業系統內許多進階功能的設計,都是為了方便IT人員能夠擁有更好效率的管理資訊環境,並且提供用戶端使用者更流暢的使用經驗。
有鑑於此,本期文章將分享幾則專業的技術問答,讓讀者能夠從中學習到許多平常不易察覺的Windows 7絕佳應用秘訣。

這些應用祕訣包含更有效率的系統安裝經驗、磁碟重組功能的另類用法、進階EFS的安全管理、離線檔案的管理祕訣以及IT人員如何在家裡善用家用群組功能。

TOP 1 建立Windows 7 USB隨身安裝碟

敝公司有一些同仁是使用沒有內建光碟機的12吋筆記型電腦與10吋的小筆電(NetBook),因此希望可以直接透過USB隨身碟的開機方式進行安裝。請問在Windows 7中該如何建立可開機的USB安裝磁碟呢?

首先,必須確認目標電腦上皆已經設定好BIOS中與USB開機相關的功能。接著,在Windows 7中以系統管理人員身分開啟命令提示字元,然後透過執行DiskPart命令工具,如圖1所示來完成以下命令參數的執行:

list disk:先查看磁碟代號以確定所要製作的USB開機磁碟,避免選錯磁碟而造成資料損毀。
select disk n:選擇磁碟代號,其中n必須輸入所查詢到USB磁碟代號。
clean:清空磁碟以作為純粹的Windows 7安裝磁碟。
create partition primary:建立USB磁碟的主要分割區。
select partition 1:選取前一步驟的主要分割區。
active:將分割區設定為可開機區。
format fs=ntfs quick:指定格式為NTFS格式。也可以指定建立成FAT32的檔案系統類型。
assign:配置磁碟代號,系統將自動以未使用中且最近排序的英文字母為主。
exit:離開DiskPart命令提示字元。

▲圖1 完成磁碟建立。


最後,將預先準備好的Windows 7任一版本的安裝程式,整個複製到此USB隨身碟,即可在所有已啟動USB開機功能的目標電腦上進行開機安裝。

TOP 2 如何在Windows 7中快速使用磁碟重組功能

請問企業中用戶端所使用的Windows 7電腦,除了CPU、記憶體及硬碟的轉速是決定整個系統運作效能的表現外,還有什麼辦法可以讓硬碟讀取資料時的速度更快呢?

事實上,從早期的Windows作業系統開始,就已經內建「磁碟重組工具」,這個工具可以讓硬碟中分散雜亂的資料進行重整合併,以提升I/O整體效能的表現。

在一般的情況下,使用這個工具的使用必須從「附屬應用程式」中的「系統工具」資料夾來開啟,接著按下〔設定排程〕來開啟如圖2所示的依排程執行磁碟重組的設定。

▲圖2 排程設定。


如果希望能夠更快速地進行開啟,並且完整詳細地顯示分析結果,則可以透過登錄機碼的新增與設定來解決,方法如下:

首先按下〔Windows〕+〔R〕鍵開啟「執行」視窗,接著輸入「regedit」命令來開啟「登陸編輯程式」。然後,如圖3所示展開至「電腦\HKEY_CLASSESROOT\Drive\shell」節點,按下滑鼠右鍵,點選快顯選單中的【新增】→【機碼】,並輸入「runas」。

▲圖3 新增機碼。


接著,在如圖4所示的「runas」節點頁面中將「預設值」值設定為「Defragment」,或是其他想要的中文名稱,例如「磁碟重組」。隨後,新增一個名為「Extended」字串值,完成後,在「runas」節點下再新增一個名為「command」機碼。

▲圖4 完成字串值設定。


接下來,如圖5所示修改「command」機碼節點下「預設值」數值,將其修改為「defrag %1 –v」。如此一來,後續的快速執行,將會在命令提示列中呈現詳細的分析結果報告。

▲圖5 設定執行命令與參數。


完成上述的登錄機碼新增與修改後,接著測試一下修改後的執行結果。

先開啟「電腦」視窗,然後點選準備要進行重整的磁碟,先按下〔Shift〕鍵再按下滑鼠右鍵來開啟快顯選單,即可找到前面新增的【Defragment】命令來點選。

▲圖6 按〔Shift〕鍵+滑鼠右鍵來選取磁碟。


圖7所示便是針對該磁碟執行磁碟重組作業時的顯示頁面,在此範例中所顯示的,事實上是磁碟重整前的分析報告,一旦發現分析結果中的檔案分散情形很低,系統便不會進行下一步的磁碟重組作業。

▲圖7 磁碟重組報告。


TOP 3 如何結合企業數位憑證管理檔案加密

公司希望在網域內的一部Windows Server 2008 R2檔案伺服器上,讓某些已分享資料夾中的機密檔案,只能夠被特定的使用者開啟或下載,請問這樣的安全需求應該如何落實會比較理想呢?

在企業Windows 7的用戶端中,使用者可以為了保護某些敏感資料檔案而使用內建的加密檔案系統(EFS)功能來保護整個資料夾或個別的檔案,以避免被自己以外的使用者開啟。

但如果是針對公司內部某些在網路共用的資料夾,只要結合企業所發放的數位憑證,便可以對這些資料夾中的某些敏感檔案,進行使用者層級控管的EFS保護措施。接著,以實例進行操作示範。



首先按下〔Windows〕+〔R〕鍵開啟「執行」視窗,然後輸入「MMC」並按下〔確定〕按鈕,就會開啟如圖8所示的介面。接著,點選【檔案】功能表中的【新增/移除嵌入式管理單元】。

▲圖8 MMC介面。


接著在如圖9所示的「新增/移除嵌入式管理單元」視窗中,點選「憑證」項目「新增」至右邊窗格。在新增的過程中,選擇「目前的使用者」來作為憑證的類型,然後按下〔確定〕按鈕繼續。

▲圖9 新增嵌入式管理單元。


接著,如圖10所示展開至「個人」節點上,然後按下滑鼠右鍵,點選快顯選單中的【所有工作】→【要求新憑證】。

▲圖10 要求新憑證。


然後,如圖11所示,在「要求憑證」頁面中選取「基本EFS」,並按下〔註冊〕按鈕。隨後在成功完成「基本EFS」註冊的顯示頁面,按下〔完成〕按鈕關閉此視窗。

▲圖11 憑證註冊。


如圖12所示,此時便可以在「個人」→「憑證」節點的資料夾中,看到剛剛所申請下來的「基本EFS」憑證,其中在「預訂目的」欄位中便清楚描述此為「加密檔案系統」用途。

▲圖12 憑證管理。


完成申請與安裝憑證後,接著開始嘗試加密一些檔案。首先針對一個圖檔開啟其「內容」設定視窗,並且按下〔進階〕按鈕。

接著,在如圖13所示的「進階屬性」頁面中,勾選「加密內容,保護資料」選項,然後按下〔確定〕按鈕。

▲圖13 進階屬性。




接著將會出現如圖14所示的警告訊息視窗,點選「只加密檔案」項目後按下〔確定〕按鈕。

▲圖14 加密警告。


緊接著,再一次進入「進階屬性」頁面,如此一來將會如圖15所示看到〔詳細資料〕按鈕已變成可以點選,請按下該按鈕繼續。

▲圖15 進階屬性。


如圖16所示,在「使用者存取權」頁面中可以任意加入在企業網域中擁有EFS相關使用者憑證的人員,以便讓這些人員擁有這個受EFS保護的檔案存取權限。接著,按下〔新增〕按鈕。

▲圖16 詳細資料。


如圖17所示,在這個頁面中便可以看到目前已擁有EFS相關憑證的人員清單,必要的話,還可以按下〔檢視憑證〕按鈕查看詳細資訊。選取之後,按下〔確定〕按鈕繼續。

▲圖17 使用者授權。


對於使用者存取權的管理,若該用戶不是執行加密檔案系統(EFS)功能的擁有者,將會出現如圖18所示的錯誤訊息。

▲圖18 錯誤訊息。


完成檔案的EFS加密保護設定後,只有在「使用者存取權」清單中的人員才能夠開啟與存取檔案。其他使用者的存取動作都會出現類似如圖19所示的錯誤訊息。

▲圖19 無法開啟加密檔案。


備份金鑰

在使用EFS加密檔案系統的功能中,最重要的就是做好個人數位憑證的備份,並且將這個憑證保存在其他位置,以便在憑證檔案遺失時可以隨時將它重新載入。接下來示範這部分的操作說明。

先回到前面圖16的頁面中,將可以對所選取的人員按下〔備份金鑰〕按鈕,執行之後,會開啟「憑證匯出精靈」頁面,再按一下〔下一步〕按鈕。在如圖20所示「匯出檔案格式」視窗中,可以決定是否要設定其他匯出功能,當然,也可以直接按下〔下一步〕按鈕。

▲圖20 匯出檔案格式。


接著會進入「密碼」設定畫面,強烈建議設定一組密碼來保護後續憑證檔案的儲存,以避免有心人士取得個人的憑證來存取EFS加密檔案。設定好了之後按下〔下一步〕按鈕繼續。

然後,在「要匯出的檔案」畫面中便可以按下〔瀏覽〕按鈕來設定憑證檔案的儲存位置。在真實環境中,建議將該檔案存放在非系統開機磁碟的路徑中。設定完畢,按下〔下一步〕按鈕繼續。

如圖21所示便是最後成功完成憑證檔案匯出的顯示頁面,在按下〔完成〕按鈕後,建議將該檔案複製一份到其他非本機電腦的位置如USB隨身碟等加以保存。

▲圖21 完成憑證匯出。


TOP 4 高效率檔案存取機制——離線檔案的使用

敝公司是一間企管顧問公司,因此每天都會有很多行動工作者帶著筆記型電腦到處奔波,許多時候他們必須隨時存取所關心的文件來閱讀或修改,請問該如何讓這些使用者任何時間都能夠在本機電腦上存取這些檔案,並且在讓這些電腦與公司網路相連接時自動進行同步呢?

在Windows 7與Windows Server 2008 R2整合應用中,提供絕佳效能的「離線檔案」功能,這項功能可以解決許多行動工作者所面臨的共同問題,那就是離線存取的需求。以下介紹這一項功能的主要用途:

1. 在離開公司網路時仍然可以存取檔案:當使用者與公司網路中斷連線時,將無法存取儲存在檔案伺服器中的任何檔案。如今只要預先設定好離線檔案功能,即使使用者電腦與公司網路發生中斷連線,仍然可以繼續存取網路檔案複本。

2. 輕鬆與網路檔案同步:任何時候使用者若想與網路共用資料夾中的最新版本的檔案同步,只要按一下〔同步〕按鈕即可完成。

3. 在連線速度極慢的網路環境中,這項機制將可以大幅提升使用者的工作效率,因為使用者可以隨時切換成離線存取模式來編輯複本檔案。

接著,說明相關操作說明。首先使用者可以在如圖22所示的「網路」資源瀏覽中,針對所喜好的共用資料夾項目按下滑鼠右鍵,然後點選快速選單中的【永遠可以離線瀏覽】。

▲圖22 網路資源瀏覽。


接下來,此網路共用資料夾就會開始第一次的離線同步處裡。同步所需的時間依檔案數量與大小而定。如果不想等待,可以按下〔關閉〕,讓此作業程序在背景執行即可。同步進度可以在後面介紹到的「同步中心」介面中查看。

完成同步之後,往後該使用者將隨時可以在與公司網路連線的狀態下,針對特定網路離線資料夾按一下滑鼠右鍵,然後點選快速選單中的【同步】→【同步選取的離線檔案】功能。

緊接著,查看一下離線資料夾的「內容」視窗與一般資料夾有何不同,如圖23所示會發現其〔離線檔案〕活頁標籤是在可顯示的狀態下,使用者可以在此隨時取消連線功能或按下〔立即同步〕按鈕。

▲圖23 離線資料夾內容。


接著,說明如何使用Windows 7的「同步中心」。先在控制台的「所有控制台項目」頁面中點選「同步中心」圖示。在「同步中心」介面中,可以得知目前已設定與此電腦同步的資料來源有哪些,以及檢視過去的同步結果與衝突紀錄。

這個頁面中若有多個同步項目,使用者還可以手動選取所要立即同步的項目或進行全面性的同步作業。此外,也可以設定不同項目的同步排程。點選「同步」繼續。

首先,選取所要設定為相同排程同步的項目,然後按一下〔下一步〕按鈕。接著,選擇執行同步的時機,可以選擇依設定的排程時間或是特定的事件中來進行。

在同步排程的時間設定部分,如24圖所示,可以選擇開始的日期與時間,然後再設定是否要依照指定的週期來自動執行,例如每一天、每一週、每一個月。如須進階設定部分,可以按下〔更多選項〕按鈕進一步設定。

▲圖24 同步時間設定。


而在同步事件設定部分,如圖25所示,可以改由選擇如「電腦喚醒時」、「電腦至少已閒置時間」、「電腦使用外部電源執行時」等來自動執行同步作業。此外,也可以設定在特定的狀況下停用同步,例如當電腦不再使用外部電源執行時。

▲圖25 同步事件設定。


最後,必須為此排程設定輸入一個識別名稱,然後按下〔儲存排程〕按鈕即可。關於每一個已設定的同步項目,都可以如圖26所示來個別選取,並且按下滑鼠右鍵來快速執行離線的瀏覽、檢視衝突、檢視同步結果、停止同步等等。

▲圖26 右鍵功能。


進階管理離線檔案

接著,介紹離線檔案進階的組態配置。首先,在前面步驟中的圖26頁面中點選「管理離線檔案」連結,執行後將會開啟如圖27所示的頁面,在〔一般〕活頁標籤內,一樣可以看到停用離線檔案的設定與檢視離線檔案的功能。

▲圖27 管理離線檔案。


圖28所示便是按下〔檢視您的離線檔案〕按鈕後所開啟的瀏覽介面,這裡可以查看到曾經同步過的所有離線檔案資源。

▲圖28 離線檔案資料夾。


如圖29所示,在「離線瀏覽」視窗的〔磁碟使用量〕活頁標籤內,可以看到目前離線檔案所占用的磁碟空間百分比,而離線檔案的大小和數目決定須要使用多少硬碟空間。

因此,可以透過按下〔變更限制〕按鈕來決定所要提供給離線檔案儲存的空間大小。至於暫存檔案的部分,則可能會隨著同步檔案次數的增加而增加,可以隨時按下〔刪除暫存檔案〕按鈕進行清除。

▲圖29 磁碟使用量。


而在〔加密〕活頁標籤中,可以讓此離線檔案功能結合「加密」保全機制來加以保護,以避免可能未經授權的存取導致機密資訊外流。

以如圖30的範例來說,可以在離線檔案的存取檢視頁面中發現這些檔案除了目前處於「離線狀態」外,並且也預先完成加密的處理。

▲圖30 離線檢視。


然而,在預設的檢視下並沒有呈現加密欄位資訊,不過可以按下滑鼠右鍵,點選快速選單中的【排序方式】→【其他】來修改設定。

如圖31所示,在「選擇詳細資料」視窗中,可以將預設未勾選的「已加密」欄位勾選,如此一來,在檔案清單檢視視窗內就會顯示這些檔案是否已經過加密保護。

▲圖31 檢視欄位設定。


而在「離線瀏覽」視窗的〔網路〕活頁標籤內,則可以決定若是遇到慢速網路的時候,是否要自動處於離線工作狀態,在此可以設定檢查慢速連線的間隔時間。

最後必須注意的是,當使用者離線作業的時候,這其間如果有其他使用者變更了網路共用資料夾中的檔案內容,Windows 7將會在下次連線該共用資料夾時,將這些變更與原離線使用者電腦上的離線檔案完成同步。

但是,如果從上一次連線網路資料夾以來,該離線使用者也曾經變更過相同檔案的內容,那麼將會發生同步衝突問題,此刻Windows 7將會自動詢問使用者想要保留哪一個版本的檔案。

TOP 5 如何在家裡也能善用Windows 7家用群組管理功能

讀者家裡共有三部電腦,其中一部是隨身工作用途的筆記型電腦,而這三部電腦使用的作業系統皆是Windows 7,並且使用共同的無線基地台(AP)來連接Internet。請問該如何讓家中的三部電腦可以很簡單地彼此能夠分享文件、圖片和音樂等檔案呢?

關於這項需求可以直接利用Windows 7獨有的家用群組(Home Group)功能來解決即可。這項功能可以讓所有電腦輕鬆地在家用群組中與他人共用圖片、音樂、影片、文件和印表機。

在安全性的控管上,除了有群組密碼的保護外,所有人都可以隨時選擇想要與該群組共用的項目。接著實際示範相關的操作,這裡將以如圖32所示簡單兩部電腦的家用網路架構來講解。

▲圖32 網路地圖。




首先開啟「控制台」頁面,然後點選「檢視方式」下拉選單中的【大圖示】選項繼續。緊接著便可以看到「HomeGroup」圖示,請將其點選開啟。

接下來,便可以在「與其他執行Windows 7的家用電腦共用」頁面中點選「建立家用群組」,依步驟指示即可完成建立。

如果已經建立好那麼這個頁面,將會呈現如圖33所示的顯示頁面,在此可以修改所要共用的項目,還能夠在所有連接的多媒體裝置中共用圖片、音訊和視訊。

▲圖33 變更家用群組設定。


也可以隨時點選「檢視或列印家用群組密碼」連結,讓後續準備加入的家用電腦得知加入的密碼。如果為了安全起見須要變更密碼,則點選「變更密碼」。

隨後跳出「變更家用群組密碼」視窗,這裡會警告一旦完成密碼變更,將會導致現有已加入群組的電腦無法存取共用資源,因此在完成設定之後務必前往每一部電腦輸入新的密碼。請點選「變更密碼」繼續。

來到變更家用群組密碼頁面中,可以直接採用系統所自動產生的隨機密碼,或是自行輸入一組自訂的密碼。設定完畢,按下〔下一步〕按鈕。

請注意!如果系統偵測到目前網路卡的IPv6通訊功能關閉,將會出現如圖34所示的錯誤訊息而無法繼續。此外,如果目前的網路不是設定在「家用」網路,也一樣會出現錯誤訊息而無法繼續。

▲圖34 錯誤訊息。


完成變更密碼後,將會出現如圖35所示的頁面,必須把此密碼告知另一部電腦的使用者,以便他們之後可以透過此密碼來加入此處所建立的家用群組。

▲圖35 完成密碼變更。


然後,來到另一部準備加入家用群組的Windows 7電腦上,在「控制台」視窗中開啟「網路和共用中心」頁面,如圖36所示,在此只要確認目前的網路狀態是在「家用網路」,便可以點選「HomeGroup」欄位右邊的「可以加入」連結。

▲圖36 第二部電腦網路狀態。


緊接著系統將會開啟如圖37所示的頁面,內容中會告知目前已偵測到的家用群組電腦名稱,可以直接按下〔立即加入〕按鈕,或是先點選「變更進階共用設定」連結來查看有哪些進階的設定可以自訂。

▲圖37 立即加入。




如圖38所示,在此可以決定是否要讓系統預設的「公用資料夾」能夠在家用群組中被其他電腦來存取,其中包含「公用下載」、「公用圖片」、「公用文件」、「公用錄製的節目」等等。確認修改完畢之後,按下〔儲存變更〕按鈕回到上一頁再點選「立即加入」。

▲圖38 進階共用設定。


由於系統偵測到這部電腦已經是網域的成員電腦之一(實務上通常是已加入公司網域的行動電腦),因此無法進行共用資源的設定,請按下〔下一步〕按鈕繼續。

接下來,在「加入家用群組」視窗內輸入前面所設定的家用群組密碼,並按下〔下一步〕按鈕。

圖39所示便是成功加入家用群組的顯示頁面。隨後,按下〔完成〕按鈕關閉此視窗。

▲圖39 成功加入。


接下來便可以開啟桌面的「資料夾」圖示來存取家用群組的共用資源。如圖40所示可以展開「家用群組」節點來查看所已加入電腦的資源項目,這裡以點選「圖片」資源為例進行說明。

▲圖40 瀏覽家用群組資源。


進入到該家用電腦的「圖片」資源後,便可以存取到目前所儲存的圖片檔案,隨時進行複製或開啟。

▲圖41 串流媒體共用。


接著,介紹串流媒體的共用部分。如果前面已經設定啟用「與裝置共用媒體」選項,那麼另一部電腦的使用者便可以透過如圖41所示的「Windows Media Player」介面來直接對於家用群組的電腦進行檢視視訊、圖片以及各類影片與音樂的檔案,不必預先進行任何設定。

其他注意事項

當所設定好的家用群組功能在運作正常的情況下,如果發現某些電腦的存取狀況發生問題,可以到「控制台」→「系統管理工具」中開啟「服務」介面,檢查其中的三項重要服務是否正常執行中。

首先是對等式網路群組(Peer Networking Grouping)服務,如圖42所示,它是家用群組服務運作的基礎,因此這個服務必須在「已啟動」狀態下。至於啟動類型則,為「手動」即可。

▲圖42 對等式網路群組服務。


最後則是如圖43所示的「HomeGroup Listener」與「HomeGroup Provider」兩個服務,同樣必須是在啟動的狀態下,如此才能在家用群組運作中,正常地存取其他的電腦以及被其他電腦所存取。

▲圖43 家用群組兩大服務。


(本文原載於網管人第64期)


管好AD網域控制站的技巧

為了因應企業截然不同的應用需求,有時負責管理網域運作的網域主控站,也必須經過適當的調校,才能正常提供服務。
文/楊啟倫 | 2008-09-01發表
Active Directory(AD)是許多企業廣泛使用的管理工具,在網域的樹系結構之下,內部網路各處的電腦、印表機、共享資源,乃至於使用者等物件(Object)皆可透過AD統一管理。然而,AD在建置上仍有一些需要注意的,例如為了因應企業之間截然不同的應用需求,有時負責管理網域運作的網域主控站(Domain Controller,DC)也必須經過適當的調校,才能正常提供服務。

本身擅長於AD、Exchange Server等領域的微軟最有價值專家廖康寧,就他個人的實際經驗為例,DC的調校,可以從DNS伺服器、LDAP查詢(LDAP Query)、資料複寫(Replication),以及物件管理幾個方向著手進行,除此之外,企業應該避免針對單一組織單位(Organizational Unit,OU)指派過多的群組原則,或者套用一些錯誤的設定,導致一般個人端電腦開機時,花在登入網域的時間變得非常冗長。

如果是規模較小,或者是據點位於臺灣本島內部的企業,即使不去特別進行DC調校的工作,一般來說,通常也不會有什麼問題發生,只要各項功能可以正常使用即可,廖康寧表示,如果企業規模較大,或者是需要穿過廣域網路連接DC,建置AD之前就必須經過良好的規畫,將任何可能遇到的問題考量進來,而且調校的工作最好能在DC架設完成後的當下,就馬上進行。

自動清除無效的設定,避免相互複寫,造成效能浪費
DNS是DC的運作核心,在一臺電腦的登入網域的流程,它會去尋找DC要求驗證,透過DNS,電腦便能知道最近一臺的DC位於何處。而DNS則是依賴SRV記錄得知DC所在的IP位址,再將這項資訊,發布給企業網域下的所有電腦。

Windows的DNS伺服器有一項「自動清除過時資料」(scavenging record)的功能(預設不啟用),可以讓DNS每隔一段時間就清除一次無效的資料,預設的間隔是7天,超過這段時間一直沒有被使用的DNS記錄,就會視為多餘,而且是無效的記錄,為了不讓這些資料一直重複的被複製,造成效能上的浪費,同時也可以掌握DC上正常運作的節點數量。


調整架構,加快LDAP查詢
LDAP的查詢速度的快慢也和AD設定有關。對於企業來說,常見的LDAP查詢主要是發生在應用程式上,例如Exchange Server與Outlook之間的互動。

舉例來說,我們開啟Outlook去連接一臺Exchange Server的動作,其實就是在執行LDAP查詢,郵件伺服器會透過LDAP向後端擔任GC(Global Catalog)角色的DC,詢問Outlook傳送過來的帳號、密碼是否正確、有效,確認沒有問題之後,才會允許使用者收取郵件,下載到自己的電腦上閱讀。

廖康寧認為,GC是LDAP查詢過程中,需要加以調校的一項重點,許多人在設定時往往會忽略這一點,就他以前曾經協助處理過的一個案例來說,該企業在中國昆山、上海皆擁有據點,由於後者的使用者人數不多,因此在郵件服務的規畫上,就由上海的使用者透過廣域網路,連線到昆山的Exchange Server收取郵件。

雖然上海本身擁有一臺自己專屬的GC,然而由於郵件伺服器位於昆山,Exchange Server預設會和所在地的GC要求驗證,因此使用者必須連線到昆山的GC,來驗證帳號、密碼。

縱然兩地之間的連線頻寬沒有塞滿其他應用程式的封包,但資訊人員還是發現上海的使用者開啟Outlook之後,通常要經過數分鐘,到十幾分鐘不等,才能向昆山的GC完成驗證,收取郵件,速度非常緩慢。

他們後來針對兩地的GC同步進行了一些調校,讓上海當地的使用者能夠就近向當地的GC進行驗證,於是解決這項問題。


增加DC數量,降低伺服器負荷
在Windows NT 3.5x、4.0的時代,企業僅能在單一網域建立一臺主要網域主控站(Primary Domain Controller,PDC),以及多臺從事資料備份的備份網域控制站(Backup Domain Controller,BDC),兩種網域控制站之間的資料複寫,是以單向方式進行。

Windows 2000取消了PDC、BDC的角色區別,所有位於同一網域下的DC皆具備相同的功能,不但可以提供驗證服務、派送群組原則進行管理,同時也融入BDC的功能,DC之間可以使用雙向方式複寫對方的網域設定。

對於規模較大的企業來說,一般都會在內部網路部署一臺以上的DC,除了預防其中一臺機器因為各種可能的原因產品故障,導致企業內部的網路服務癱瘓,以及資料的流失之外,另外一項考量就是達到DC之間的負載平衡(Load Balance),透過整合DHCP服務的方式,我們可以讓網域下方的電腦各自連接不同的DC,以減輕單一DC的運作負荷。


在規模龐大的企業環境下,我們可以整合DNS,將電腦分成數群,各自向不同的DC進行驗證,以減輕DNS伺服器的負荷。

今年剛發表的Windows Server 2008在網域功能上,提供了一項「唯讀網域控制站」(Read Only Domain Controller,RODC)的新功能,廖康寧指出,RODC並不是用來從事負載平衡,而是方便一些沒有資訊人員常駐的分公司能夠就近找尋DC要求驗證,進而更快速地登入企業網域,擔任RODC角色的伺服器如果出了問題,這時候分公司的電腦仍可透過廣域網路連回總公司的DC實施驗證,或者更新群組原則,不會因此產生太大的影響,頂多就是受限於頻寬,使得資料的傳輸變慢一些而己。

有效管理DC元件
就廖康寧近期從事微軟System Center Configuration Management(SCCM)導入的工作來說,他認為DC的物件管理也是一項很重要的調校工作,如同剛才所提到的DNS,無效的資料的伺服器之間複寫,除了會造成效能的浪費,另外,也有可能造成軟體無法透過DC進行自動部署。

代理程式的安裝率,是SCCM部署工作中,非常重要的一點。安裝率愈低,即代表產品目前可能沒有辦法有效管理企業內部的電腦,以他們公司為例,代理程式安裝率須達到95%以上,才算合格。

SCCM的代理程式安裝率無法提高有一些原因,例如,當企業內部的電腦超過30天沒有登入網域,就會被DC視為一個無效物件,當電腦在DC上成為無效物件之後,就無法登入網域,派送群組原則,同時這個物件會一直在於DC,無法像DNS記錄一樣可以自動清除,然而透過DC部署軟體時,並不會去判別物件的有效性,只要物件存在,SCCM就會認為這臺電腦需要被安裝代理程式。

這臺電腦可能是一臺筆電,被員工帶到國外出差長達半年,或者是一臺離職員工所屬的電腦,考量到這臺電腦還是有可能在DC上進行一些有效的活動,因此他們並沒有針對DC上的無效電腦物件進行清除的動作。

如何找出無效的電腦物件?廖康寧表示,無效物件並沒有辦法從DC的主控臺上分辨出來,他們的做法是在SCCM的SQL資料庫進行查詢,從電腦最後一次登入網域的時間來判斷是否為無效物件。

取而代之的做法是,他們以DNS存在的有效記錄筆數,當做需要安裝SCCM代理程式的電腦總數,因為各種原因久未登入網域的電腦,自然就不會在DNS伺服器上出現任何記錄,因此才使得SCCM代理程式的安裝率得以提高。做好群組原則管理
企業內部的員工電腦、使用者等物件,通常會根據部門的不同而區分成多個組織單位,以便於各自指派不同的群組原則加以管理。因此,群組原則也是企業在調校DC時,需要加以考量的要項。
對於一個組織單位來說,群組原則數量如果設得太多,會造成電腦登入得很慢,群組原則依據性質又可向下區分為「電腦組態」,以及「使用者組態」兩類,如果企業管理內部電腦不需要用到其中一類的話,就應該使用群組原則物件編輯器(gpedit.msc)手動關閉,這樣一來,登入速度會變快一些。

避免不必要的錯誤設定
設定錯誤也是導致網域服務運作緩慢的常見原因。廖康寧表示,過去他自己曾經遇過一種狀況:資訊部門的其他同事,將一支含有錯誤內容的Logon Script批次檔放到DC上執行,而使得公司網域下的電腦,因為程式內容始終無法執行完畢,而必須花費比平常更久的時間才能登入網域,這雖然和上面提到的DC調校沒有直接關係,但是在企業日常管理DC的工作中,的確是相當值得注意的一個例子。

近期在微軟技術社群的討論區上,也出現過一則案例。

某企業位在臺北的總公司及汐止的分公司,原本各自有一臺DC,且同時為GC。但是後來由於變更網域架構關係 ,他們決定拆除了分公司的DC,讓所有電腦改經由專線連回總公司向DC要求驗證。

完成變更之後,使用者發現電腦登入網域的速度明顯變慢,甚至發生連接不到總公司DC的情況,經過了解,原來是因為原本用來複寫兩臺DC資料的子網路設定,沒有隨著網路的變動而隨之移除,造成分公司的電腦登入網域時,出現了不正常的錯誤訊息。


除了單純的調校之外,企業也應該避免在DC上從事一些錯誤設定,造成電腦登入網域的速度遲緩。

重整資料庫內容,可維持DC效能
除了廖康寧剛才所提到的幾項重點之外,網域資料庫的重整,對於DC的效能表現也會有很大影響,當AD建立之後,DC會將網域樹系的所有設定儲存在C:\WINDOWS\NTDS下的ntds.dit,這個檔案就是所謂的網域資料庫。網域資料庫可分為Schema(建立和管理網域物件的屬性與定義)、Configuration(儲存和網域架構有關的資料)、Domain(儲存網域物件),以及Application(儲存應用程式資料)四個分割區。

網域資料庫與電腦硬碟的管理工作其實大同小異,同樣需要進行重組才能維持效能,Windows Server 2003的網域資料庫重組是在離線模式下進行,重新開機之後,按下F8,進入AD還原模式,輸入ntdsutil指令進行重組作業,而在Windows Server 2008的環境下,網域資料庫的重整就不需要重新啟動DC,在網域功能正常運作的當下,就可以同時進行線上重組。文⊙楊啟倫


企業網域控制站設定的4個調校技巧
微軟最有價值專家廖康寧根據自己在企業內部管理AD的實際經驗,提供了我們以下4個經常使用到的技巧,做為企業日後調整DC設定的參考依據。



資料來源