1. Location:
  2. / Computer learning >> Datamaskin læring >> system >> windows server >> windows server 2008 >>

Vi presenterer Windows Server 2008 - Kapittel 7


En forfatterens liv

Hvis du tror du IT-eksperter lede et travelt liv, ville du ikke ønsker å være en IT-pro og Selge en forfatter på samme tid! Umiddelbart etter fullføring av nesten ett års arbeid som hovedforfatter av Windows Vista Resource Kit, Microsoft Press inviterte meg til å forfatte sin første bok om Windows Server 2008 (tidligere Windows Server Code-Name "Longhorn"). Etter seks vanvittige uker med skriving og over 2000 e-post diskusjoner med Windows Server produktet team, boken min presenterer Windows Server 2008
er ferdig og er nå tilgjengelig for pre-order på Amazon (boken vil skipet rundt slutten av mai). Mesteparten av denne boken er basert på nær-Beta 3 bygger på Windows Server 2008, men for å sikre at alt innholdet er teknisk korrekt for RTM, hadde jeg hjelp av nesten hundre medlemmer av Windows Server-teamet hos Microsoft som fungerte som peer lesere for bokens innhold. Disse ekspertene (og tydelig de som faktisk utvikler Windows Server 2008 vite mer om dette produktet enn noen andre) har også lagt massevis av verdi til boken min ved å bidra nesten hundre "fra ekspertene" sidefelt som gir dype tekniske innsikt om hvordan Windows Server 2008 fungerer og hvordan du distribuerer, konfigurere, vedlikeholde og feilsøke sine ulike roller og funksjoner.
Pre-order eksemplaret presenterer Windows Server 2008 i dag

Her er en oversikt over de ulike kapitteltitler, slik at du kan se hvilke emner dekkes:

  1. Innledning
  2. Bruksscenarier
  3. Windows Server Virtualization
  4. Managing Windows Server 2008
  5. Managing Serverroller
  6. Windows Server Core
  7. Active Directory Forbedringer
  8. Terminal Services Forbedringer
  9. Clustering Forbedringer
  10. Implementering Network Access Protection
  11. Internet Information Services 7.0
  12. Andre funksjoner og forbedringer
    distribusjon av Windows Server 2008
    Flere ressurser

    Og for å skjerpe appetitten litt, slik at du 'll kjøre ut og bestille denne tittelen, her er to kort utdrag fra kapittel 7 som omhandler nye funksjonene i Active Directory i Windows Server 2008. De første utdrag avtaler med forbedringer til revisjon av Active Directory:

    AD DS Revisjons Forbedringer

    Den første forbedringen vi skal se på er AD DS revisjon. I dagens plattform, Windows Server 2003 R2 (og i Windows Server 2008 også), kan du aktivere en global overvåkingspolicy kalt Audit Directory Service Tilgang til å logge hendelser i hendelsesloggen for sikkerhet når visse handlinger utføres på objekter som er lagret i Active Directory. Aktivere logging av objekter i Active Directory er en to-trinns prosess. Først åpner du Standard Domain Controller politikk i Group Policy Object Editor og aktiver revisjons Directory Service Tilgang global overvåkingspolicy finner du under Datamaskinkonfigurasjon \\ Windows-innstillinger \\ Security Settings \\ Lokale policyer \\ Audit Policy.


    Figur 1: Aktivere suksess revisjon for katalogtjenesten tilgang

    Så du konfigurere systemet tilgangskontrollisten (SACL) på objektet eller objektene du ønsker å overvåke. For eksempel, for å muliggjøre suksess revisjon for tilgang av Godkjente brukere til Bruker objekter lagret i en organisasjonsenhet (OU), trenger du følgende:


      Åpne Active Directory Users and Computers, og sørg for avanserte funksjoner velges fra Vis-menyen.
    1. Høyreklikk på OU du vil overvåke, og velg Egenskaper.
    2. Velg fanen Sikkerhet, og klikk på Avansert for å åpne Avanserte sikkerhetsinnstillinger for OU.
    3. Velg
    4. Skriv kategorien Audit, og klikk på Legg til åpne Velg bruker, datamaskin eller dialog Group. Godkjent Brukere
      , og klikk OK. En dialogboks Revisjon Entry åpner for OU.
    5. I Bruk på valglisten etterkommer Bruker Objects.
    6. Velg Write Alle eiendommer i boksen i kolonnen Velg.


      Figur 2:. Konfigurering revisjon (fortsatt)

    7. Klikk OK for å gå tilbake til Avanserte sikkerhetsinnstillinger for OU, som nå skal vise den nye SACL du konfigurerte


      Figur 3: Konfigurere revisjon (ferdig) (Klikk for større bilde)

    8. Lukk alle dialogboksene ved å klikke på OK for

      Nå hvis du går videre og endre en eiendom til en av. brukerkontoene i din OU-for eksempel ved å deaktivere en konto-en hendelse skal loggføres i sikkerhetslogg med hendelses-ID 4662 og kilde Directory Service Tilgang til indikere at objektet ble åpnet.


      Figur 4: Revisjon suksess hendelse i sikkerhetsloggen (Klikk for større bilde)

      Så langt er dette det samme i Windows Server 2008 som i tidligere versjoner av Windows Server. Hva er nytt i Windows Server 2008, er imidlertid at mens i tidligere Windows Server plattformer var det bare en revisjon politikk (Audit Directory Service Access) som kontrollerte om revisjon av katalogservicehendelser ble aktivert eller deaktivert i Windows Server 2008 denne politikken har vært delt inn i fire ulike underkategorier som følger:

      • Directory Service tilgang
      • Directory Service Endringer
      • Directory Service Replication
      • Detaljert Directory Service Replication

        En av disse underkategorier-katalogtjeneste Changes-har blitt forbedret for å gi muligheten til å granske følgende endringer i AD DS gjenstander som SACLs er konfigurert til å aktivere objektene som skal revideres:

        • Objekter som har hatt en attributt modifisert vil logge gamle og nye verdier av dette attributtet i sikkerhetsloggen.
        • Objekter som er nyopprettede vil ha verdiene av sine attributter på tidspunktet for etableringen logget i sikkerhetsloggen.
        • Objekter som er flyttet fra en beholder til en annen i et domene vil ha sine gamle og nye steder logget i sikkerhetsloggen.
        • Objekter som er gjenopprettede vil ha plasseringen som objektet har blitt flyttet logget i sikkerhetsloggen.

          Nytten av denne endringen bør være åpenbart for administratorer bekymret opprettholde et revisjonsspor for endringer i Active Directory, og revisjons handlinger som disse er en viktig del av en helhetlig identitet og tilgang (IDA) strategi for en organisasjon. For eksempel, ved hjelp av sikkerhetslogg og filtrering for en bestemt brukerobjekt, kan du nå spore i detalj alle endringer i attributtene til objektet over hele levetiden av objektet. Når du aktiverer Suksess revisjon for revisjons Directory Service Tilgang global overvåkingspolicy (og denne politikken har suksess revisjon aktivert for den som standard i Standard Domain Controllers Policy), er effekten av dette til også å aktivere suksess revisjon for den første av de fire underkategorier (Directory Service Access) beskrevet tidligere, som reviderer forsøker bare å få tilgang til katalogobjekter. Hvis du må, men du kan velge å aktivere eller deaktivere suksess og /eller svikt revisjon for hver av disse fire revisjonsunderkategorier individuelt ved hjelp Auditpol.exe kommandolinjeverktøyet inkludert i Windows Server 2008. For eksempel, hvis du ønsket å Aktiver Suksess revisjon for andre underkategori (Directory Service endringer), slik at du kan opprettholde en registrering av gamle og nye verdier av et objekts attributt når verdien av at attributtet er vellykket endret, kan du gjøre det ved å skrive auditpol /set /underkategori : "katalogtjeneste endringer" /suksess: aktiver ved en ledetekst på domenekontrolleren. Hvis vi gjør dette i foregående eksempel og deretter aktivere brukerkontoen vi tidligere deaktivert, er tre nye katalogtjenesten revisjons hendelser lagt til Sikkerhetsrådet log


          Figur 5:. Granular revisjon hendelse (Klikk for å forstørre image)

          Den første (tidligst) av disse hendelsene er 4662, indikerer User objektet er vist, mens den andre hendelsen (5136) registrerer den gamle verdien av attributtet endret og den tredje hendelsen (også 5136) registrerer den nye verdien for attributtet. Tabell 7-1 viser de mulige IDer hendelses for katalogtjeneste Endringer revisjons hendelser.

          Hendelses ID
          Betydning
          5136
          En egenskap av objektet er endret.
          5137
          Objektet ble opprettet
          5138
          objektet har blitt slettet
          5139
          objektet har blitt flyttet innenfor domenet
          Tabell 7-1:... Hendelses IDer for Directory Service Endringer Audit Hendelser

          I tillegg til at du kan spore historien til en gjenstand på denne måten, Windows Server 2008 gir deg også muligheten til å sette flagg i Active Directory-skjemaet for å angi hvilke attributter til et objekt du ønsker å spore endringer for og hvilke attributter du ikke ønsker å spore endringer for. Dette kan være svært nyttig fordi spore endringer til objekter kan føre til en hel masse av revisjons hendelser og din sikkerhetslogg kan fylle opp fryktelig fort.

          ---

          Den andre kort utdrag fra boken min er en "fra ekspertene" sidebar som drøfter noen avanserte problemstillinger rundt bruk av DNS-servere med Read-Only Domain Controllers (RODCs) (RODCs er en annen ny funksjon i Active Directory i Windows Server 2008). Dette sidebar gir deg en smak av den type høyt nivå tekniske detaljer som er gitt av mange av disse ekspert sidefelt:

          Fra Eksperter: Avanserte Betraktninger for DNS på RODCs i avdelingskontor nettsteder

          Når du installerer en Windows Server 2008 Read Only Domain Controller (RODC) i en gren filial, ved hjelp av Active Directory Installation Wizard eller dcpromo kommandolinjeverktøyet, blir du bedt om å angi en DNS-domene for Active Directory-domene som du blir med den RODC til under kampanjen. I løpet av denne prosessen, blir du bedt med DNS Server installasjonsalternativer. En DNS-server er nødvendig for å finne domenekontrollere og medlemsdatamaskiner i et Active Directory-domene, både i navet området og det lokale avdelingskontor nettstedet. Standardalternativet er å installere en DNS-server lokalt på RODC, som replikerer den eksisterende AD-integrert sone for domenet spesifisert og legger den lokale IP-adressen i DNS Server listen over domenekontrolleren lokale DNS Client setting.

          Som en beste praksis, anbefaler Microsoft at klientdatamaskiner har Dynamic DNS oppdateringer slått på som standard, og at DHCP-servere brukes til å konfigurere listen DNS Server. Tilsvarende for avdelingskontorsteder, bør kundene være konfigurert til å bruke Dynamic DNS oppdateringer, og du bør sette Primary DNS Server eller bruke DHCP til å stille inn DNS server liste til direkte kunder til DNS-serveren kjører på RODC.

          Hvis det bare er en DNS-server og RODC kjører i avdelingskontoret området, anbefaler Microsoft at klientdatamaskiner også peke på en DNS-server som kjører på en domenekontroller i navet nettstedet. Dette kan gjøres enten ved å konfigurere klienter med en alternativ DNS-server for hub-området DNS-server eller ved å konfigurere DHCP-servere for å stille inn DNS server liste til første lokale DNS-server og deretter den eksterne DNS-server i navet nettstedet. DNS-server på RODC bør være den første DNS-server i listen for å optimalisere oppløsning ytelse for avdelingskontorer klienter.

          I større avdelingskontor scenarier, hvis du setter opp to eller flere RODCs i et område, får du alltid standard mulighet til å installere DNS-server lokalt på alle RODCs. Innenfor det samme området, gjør RODCs ikke replikere direkte med hverandre. De RODCs baserer seg hovedsakelig på replikering med domenekontrollere i navet nettstedet under planlagte intervaller for å oppdatere lokale data i katalogen. Derfor et avdelingskontor DNS Server på en RODC mottar oppdatert DNS sone data under normal replikering syklus fra en hub-site domenekontroller koblet til det lokale RODC.

          I tillegg til replikering fra navet nettstedet, DNS-servere på RODCs også forsøke å gjenskape lokale data etter å ha mottatt en klientoppdatering forespørsel. Avdelingskontoret DNS Server omdirigerer klienten til en hub-site DNS Server på en domenekontroller som er skrivbare og kan behandle oppdateringen. Kort tid etterpå, forsøker den å kontakte en hub-site domenekontroller for å oppdatere sin lokale kopi av dataene med den endrede posten. Enhver annen filial DNS Server på RODCs på nettstedet ikke forsøke å skaffe en lokal kopi av singelen posten oppdateringen fordi de ikke fikk den opprinnelige klientoppdateringen forespørsel. Denne mekanismen har fordelen av å la en oppdatert klient posten skal løses raskt innen avdelingskontoret, uten nødvendig hyppige og store replikering forespørsler om alle domene data fra navet nettstedet. Hvis nettverkstilkoblingen brytes, eller ingen domenekontroller i navet nettstedet er i stand til å gi de oppdaterte registrere data til DNS-server i avdelingskontoret, vil posten være tilgjengelig lokalt først etter neste planlagte replikering fra hub-site domenekontrollere , og den vil være tilgjengelig for alle RODCs i avdelingskontoret nettstedet.

          Som en konsekvens av en DNS-server forsøk på å gjenskape enkelte poster mellom replikering sykluser, hvis DNS-sonen data er lagret på tvers av flere RODCs, kan de lokale avdelingskontoret poster akkumulere noen urimeligheter. For å sikre en høy grad av konsistens for DNS-data, er anbefalingen å konfigurere alle klientmaskiner i avdelingskontoret nettstedet med samme DNS Server-listen, for eksempel ved hjelp av DHCP.

          Hvis imidlertid i mer sjeldne tilfeller at rettidig oppløsning på lokale avdelingskontor klient poster er helt avgjørende, for å unngå eventuelle uoverensstemmelser for oppløsning, kan du installere DNS-servere på alle RODCs i området, men punkt kunder bare til en enkelt DNS Server.

          ---

          Vel, det er en kort titt på presenterer Windows Server 2008 fra Microsoft Press. Hvis du er ivrig på å lære mer om Microsofts nye Windows Server operativsystemet som det ruller mot RTM senere i år, bør du forhåndsbestille denne boken i dag fra Amazon! Og sørg for å sjekke ut min hjemmeside www.mtit.com samt for mer informasjon om denne tittelen og andre bøkene jeg har skrevet.