Windows-2008-微软培训时用的PPT

姓名:WindowsServer2008系统部署WindowsServer2008系统管理WindowsServer2008网络管理WindowsServer2008安全管理WindowsServer2008活动目录管理WindowsServer2008Web服务器管理WindowsServer2008虚拟化管理WindowsServer2008系统部署WINNT32AnswerFilesWindows安装光盘片部署的共享文件夹RIS服务器RIS客户端WDS服务器.wim档目标计算机参考计算机.wim档WDS服务器ADDS服务器DHCP服务器DNS服务器能部署WindowsVista和WindowsLonghornServer支持Windows预安装环境(WindowsPE)WIM格式的原生支持能使用多址传播传送数据和镜像能在独立服务器上使用多址传播传送数据和镜像(安裝Transport服务器角色)可延伸且高性能的PXE服务器组件新的开机功能表格式BCDMMC管理控制台界面(GUI)能使用多址传播传送数据和镜像能在独立服务器上使用多址传播传送数据和镜像(安裝Transport服务器角色)不再支持RISETUP镜像或OSChooser画面增强TFTP服务器支持x64(EFI)的网络开机多址传送ADDSDHCPDNSTransport服务器Transport服务器OS镜像MP3档数据文件安装操作系统WindowsServer2008系统管理优化管理通过ServerCore提高基础架构可靠性通过打印管理控制台实现企业级打印管理通过WindowsPowerShell实现IT管理任务的自动化通过服务器管理控制台简化管理通过Windows部署服务加快部署通过初始配置任务简化设置过去»NTFS文件系统的问题需要执行chkdsk检查与修复»修复时需要把整个硬盘锁定无法使用»往往需要重启WindowsServer2008»在后台进行如同chkdsk一样的检查和修复操作»不严重的硬盘问题，自动处理，不影响系统运作»修复过程中，只有发生问题的文件和文件夹无法读取»不需要重启过去»NTFS只支持目录的符号连接WindowsVista/WindowsServer2008»支持文件的符号连接»类似UNIX系统中ln-s操作»类似硬盘分区挂载(Mount)的方法使用方式»CreateSymbolicLinkAPI或MKLink工具»需要CreateSymbolicLinks权限»MKLink.exe/h可以建立永久连接（HardLink）»MKLink.exe/j可以建立永久连接（DirectoryLink)Windows平台上全新的存储管理工具»初见于WindowsServer2003R2»文件服务器整合性的管理界面»管控存储数据的系列工具结合»提供文件服务器更多细节的设置解决下列常见的争议»用户是否滥用所分配的存储空间»如何掌握存储空间确切的使用用途和设置适当的配额»管理员总是到服务器快用完可用空间才发现问题配额管理Quota文件监控管理FileScreening存储报报告管理StorageReporting四个新的服务（在CurrentControlSets中）»DataScrn(datascren.sys)–核心模式，即时文件监视»Quota(quota.sys)–核心模式，即时配额检查»SrmReports（srmhost.exe）-FileServerStorageReportsManager»SrmSvc（srmsvc.dll）-FileServerResourceManager新的文件夹»在受管控的分区的SytemVolumeInformation的SRM此路径中存放配置信息不必重启»WindowsServer2003R2需要限制非工作需要文件的存储»经由文件组以名称方式筛选*.mp3、FY08*.*»可以根据需要设定例外规则*.mp?会筛选.mp3，.mp4，.mpp，定义.mpp在例外规则中»套用预设的规则模板自定义的规则管控»解决管理员和用户对空间使用认知不同的地争议拜托！MP3是我的生活全部耶！两种监测类型»主动(active)-不允许存放未经允许的文件»被动(passive)-允许存放，仅供管理员监视使用采取与配额管理相同的通知机制建立存储空间使用状态掌控的机制»谁吃掉了所有的空间？»指出被滥用或效率不佳的存储空间»内置报表（简单易用）重复文件，文件监视审核，文件组内容，大文件，最少/最长使用，文件所有者，配额使用量»多种输出格式（HTML,DHTML,XML,CSV或者文本）依据需要，调度或者特定状况产生报表»报表存放在本机，可加上邮件传送»默认报表产生路径：\storagereportsWindowsServer2008网络管理网络方面的改进WindowsServer2003：~6小时WindowsServer2008：~8分钟经监测，WindowsServer2008的吞吐量比WindowsServer2003约快45倍新一代的TCP/IP优化性能而不丢失数据智能型、自动化调整TCP的接收窗口大小减少无线网络封包遗失封包拥挤控制自动调整、提高效率更快速的网络传输，尤其跨WAN可用网络带宽使用优化减少数据包丢失SMB是过去Windows网络中用来存取远程文件的通讯协议»无法整合新的NTFS功能»并不是设计用来传输大型的远程文件SMB2内建在WindowsVista与WindowsServer2008»支援NTFS客户端符号链接»所有操作可以批处理，减少client/server之间的来回»支持更大的暂存大小，比以前增加30到40倍的传输量应用QoS策略之前应用QoS策略之后WindowsServer2008安全管理网络访问保护安全性正常运行状态验证验证计算机是否具有防病毒功能及最新的更新程序正常运行策略遵从性验证计算机是否符合网络的正常运行要求限制访问防止不符合法规的计算机连接至网络启用防火墙安装防病毒软件安装最新版本的更新程序避免不符合法规的计算机侵害您的网络1受限网络MSFTNetworkPolicyServer3策略服务器MSFTSecurityCenter,SMS,Antigenor3rdparty符合策略要求DHCP,VPNSwitch/Router2WindowsVista客户机修补服务器WSUS,SMS&3rdparty企业内部网络5不符合策略要求4安全增强所有的通讯都经过验证授权并保证是健康的采用DHCP,VPN,IPsec,802.1X等技术实现了深度防御基于策略的访问使得设置和控制均可实现优点：网络访问保护NPSServerDHCPServer请求接入这是我的健康状态.客户机要求更新我需要一个IP租约你不符合健康要求允许接入，这是你的新的IP地址VPNServer客户机IEEE802.1X设备修补服务器安全网络边界网络受限网络IPsecAuthenticatedUnauthenticatedVPNServer修补服务器RADIUS消息PEAP消息ClientNPSServer用户体验•开发人员改善了错误报告•用户可以更清晰的理解NAP强制，并更熟练的修改以依从策略要求•NAPWithDHCP•NAPwithIPSECWindowsServer2008活动目录管理在过去，所有的DC都是可读写的»服务器升级为DC时的权限»安全性RODC»两阶段DC升级建立RODC计算机帐户本机管理员升级RODC分支机构总部ReadOnlyDCWindowsServer2008DC1234566123456用户尝试登入RODC:检查数据库找不到用户?!将要求转向到WindowsServer2008域控制器WindowsServer2008域控制器进行身份验证将验证结果与TGT回传给RODCRODC将TGT传送给客户端，并且缓存一份下来RODC只读域控制器减少威胁管理者观点攻击者观点不需要重新启动，就可以»应用目录服务更新»进行脱机数据库碎片整理AD服务停止后，就类似成员服务器»NTDS.DIT脱机»可以使用目录服务还原模式密码登入本机ServerCore可重新启动的AD服务大量减少重新启动的次数事件记录会确实的告诉你:»谁变更数据»何时变更»什么对象/属性被变更»起始与结束的值审核适用以下控制：»全局审核策略»权限SACL»架构“DirectoryServiceAccess”的审核被细分为：»DirectoryServiceAccess»DirectoryServiceChanges»DirectoryServiceReplication»DetailedDirectoryServiceReplicationDirectoryservicechanges事件ID：事件ID事件类型事件说明5136Modify修改对象的属性5137Create建立新的对象5138Undelete对象被反删除5139Move移动对象保护不小心从ActiveDirectory中删除的对象Snapshotviewer可还原被删除的对象»由NTDSUTIL处理AD数据库的VSS快照»使用LDAP客户端连结快照和观看AD数据库中的只读对象»让对象可透过LDAPAPIs重建及复活（tombstonereanimation）Fine-GrainedPasswordPolicy配合企业对不同用户账号可以有不同的设定范例»管理者严格设定（密码每14天到期）»服务账号适度的设定（密码每31天到期，不同的帐户锁定时间，最短密码长度为32个字符）»一般用户密码原则（密码每90天到期）问题概观Fine-GrainedPasswordPolicy可应用到：»用户»通用安全组不可应用至：»计算机对象»非域用户账号»OU管理Fine-GrainedPasswordPolicy用户账号可以关连多个规则»依据组决定优先级部署的需求»所有域控制器必须是WindowsServer2008»域功能级别必须是WindowsServer2008»客户端不需要变更管理Fine-GrainedPasswordPolicy确认所有域控制器皆为WindowsServer2008将域功能级别升级为WindowsServer2008针对不同的用户定义不同的密码规则建立所需的安全组应用规则至适当的安全组部署步骤组策略首选项稳固基础提高IT工作效率降低对登录脚本的需求限制配置错误增强最终用户满意度最大限度地减少映像维护工作减少总体映像数WindowsServer2008Web服务器管理减少受攻击的机会、增加安全性透过许多工具管理IIS透过.NET进行功能延伸与自定义xcopy部署与配置文件共享事件记录与追踪Webservices最佳平台传送回应记录文件压缩NTLM基本IIS决定由谁处理CGI静态文件ISAPI身份验证匿名传送回应身份验证授权解析缓存ExecuteHandler更新缓存……服务器的功能细分成超过40个模块...各个模块会挂到genericrequestpipeline…每个模块透过一个publicmoduleAPI来延伸服务器功能……传统模式使用ISAPI执行ASP.NET整合模式.NETmodules/handlers直接接到IIS7.0处理管道中可以处理任何要求100%执行时期支持记录压缩基本静态文件ISAPI匿名传送回应身份验证授权解析缓存执行Handler更新缓存……身份验证窗体Windows对应HandlerASPXTrace………aspnet_isapi.dll建立虚拟目录-Appcmdaddvdir/app.name:”virtualdirectory/”/path:/EmployeeData/Physical:c:\WebFolder启动站点-Appcmdstartsite/site.name:”sitename”允许你自定义设定网站站点或应用程序在同样的目录中使用同样的程序代码或内容允许你从一台主机将配置文件复制到其他所有主机上，已让主机设定同步在Ser