автор Уильям Станек
Краткий обзор:
Версии Windows Server
Тур стоимостью 5 долларов
Windows PowerShell 2.0 и WinRM 2.0
Core Parking (Парковка ядра)
План изменений в Active Directory
Кэширование филиалов
К этому моменту, возможно, вы слышали или даже установили Windows Server 2008 R2, который в данной статье я буду называть просто R2. Так как R2 является дополнительным выпуском, вы можете добавить информацию о данном сервере к тому, что вы уже знаете о Windows Server 2008 и Windows 7. Windows Server 2008 R2 строится на усовершенствованиях компании Microsoft, представленных в Windows Server 2008, а также использует одно ядро с Windows 7. Ввиду этого общего ядра, R2 и Windows 7 обладают одинаковыми функциями и компонентами, которыми вы управляете одинаковым способом, работаете ли вы с Windows 7 или R2.
Как и Windows Server 2008, сервер R2 продолжает использовать модульность для языковой независимости и создания образа диска. Компания Microsoft распространяет Windows Server 2008 R2 с образами дисков в формате образов Windows (WIM). Как и Windows 7, R2 использует Windows Preinstallation Environment 3.0 (Windows PE 3.0) для обеспечения служб предустановки и предзагрузки с помощью диспетчера загрузки, которые позволят вам выбирать приложение для загрузки операционной системы. На системах с несколькими операционными системами вы получаете доступ к операционным системам, предшествующим ОС Windows Vista, в среде загрузки с помощью традиционной установки ОС.
Программа установки для Windows Server 2008 R2 устанавливает раздел Windows Recovery Environment (Windows RE) на ваш сервер. Windows RE позволяет вам получить доступ к командной строке для решения проблем, повторной установки из системного образа и выполнения диагностики памяти.
В отличие от Windows 7, Windows Server 2008 R2 не имеет усовершенствований Windows Aero (Aero Glass, Flip, 3D Flip и т.д.), боковую панель Windows, мини-приложений Windows или других усовершенствований внешнего вида. Однако вы можете установить функцию Desktop Experience для того, чтобы добавить возможности рабочего стола Windows 7 на сервер. Добавленные функции Windows 7 включают:таблицу символов, темы рабочего стола, очистку диска, ножницы, звукозапись, центр синхронизации, видео для Windows (поддержка формата AVI), антишпионский модуль Windows Defender и Windows Media Player. Хотя эти функции и позволяют использовать сервер в качестве настольного компьютера, они могут снизить общую производительность сервера.
Знакомство с новшествами в R2
Кроме общего ядра, Windows R2 значительно отличается от Windows 7. Для начала, R2 является первой 64-разрядной операционной системой, выпущенной компанией Microsoft. А именно, R2 поддерживает 64-разрядные системы, разработанные для архитектуры x64. Поддержка 64-разрядных процессоров Itanium (IA-64) больше не является стандартом в операционных системах Windows. Компания Microsoft разработала отдельную версию R2 для компьютеров с процессором Itanium.
Рис. 1. Использование Центра поддержки
Семейство операционных систем R2 включает следующие версии:
- Windows Server 2008 R2 Foundation Edition предоставляет экономичную основу начального уровня для небольших организаций. Данная версия не имеет поддержки Служб федерации Active Directory (ADFS) или Hyper-V. Ее можно использовать для развертывания центров сертификации, но без обслуживания соответствующих служб. Данная версия поддерживает другие роли, но с некоторыми ограничениями. Также не поддерживаются функции Управления DirectAccess и Отказоустойчивой кластеризации. Версия Foundation Edition поддерживает до 8 ГБ ОЗУ и односокетный дискретный процессор.
- Windows Server 2008 R2 Standard Edition предоставляет основные службы и ресурсы другим системам в сети. Данная версия поддерживает Hyper-V и имеет ряд ограничений по отношению к другим службам, но не поддерживает ADFS. Ее можно использовать для развертывания центров сертификации, но без обслуживания соответствующих служб. Также не поддерживается функция Отказоустойчивой кластеризации. Версия Standard Edition поддерживает до 32 ГБ ОЗУ и четырехсокетный дискретный процессор.
- Windows Server 2008 R2 Enterprise Edition предоставляет масштабируемость и доступность корпоративного уровня. Данная версия имеет поддержку всех серверных ролей без ограничений версий Foundation или Standard, и добавляет ряд функций, включая функцию Отказоустойчивой кластеризации. Версия Enterprise Edition поддерживает до 2 ТБ ОЗУ и восьмисокетный дискретный процессор.
- Windows Server 2008 R2 Datacenter Edition предоставляет глобальную масштабируемость и доступность уровня центра обработки данных и имеет ряд усовершенствованных функций для оперативного добавления памяти, процессоров, оперативной замены памяти и оперативной замены процессоров. Версия Datacenter Edition поддерживает до 2 ТБ ОЗУ и 64-сокетные дискретные процессоры.
- Windows Server 2008 R2 для систем на основе процессора Itanium предоставляет платформу корпоративного уровня для критически важных бизнес-приложений и для внедрения крупномасштабных решений виртуализации. Данная версия не предназначена для служб ядра, и она поддерживает только роли Application Server и Web Server (IIS) и функцию Отказоустойчивой кластеризации. На момент написания этой статьи больше никакие роли не поддерживались. Данная версия поддерживает до 2 ТБ ОЗУ и 64-сокетные дискретные процессоры.
- Windows Web Server 2008 предоставляет веб-службы для развертывания веб-узлов и веб-приложений. Данная версия имеет только платформу Microsoft .NET Framework, IIS, ASP.NET, сервер приложений и функции сетевой балансировки нагрузок, а также DNS-сервер, Службу обновления Windows Server и Службы мультимедиа. Данная версия поддерживает до 32 ГБ ОЗУ и четырехсокетный дискретный процессор.
Итак, я представил вам семейство серверов, а теперь посмотрим, как R2 работает, и какие новые функции доступны нам.
Рис. 2. Решение проблем
Тур стоимостью 5 долларов
Центр поддержки, показанный на рис. 1, является базой для всего, связанного с безопасностью и обслуживанием. Если встроенное средство диагностики обнаруживает проблемы, вы найдете информацию об этих проблемах в Центре поддержки и получите больше информации о каждой проблеме. Часто при получении подробной информации о проблеме, вам также будет предложено возможное решение. В примере, показанном на рис. 1, на сервере возникли проблемы со звуковой картой и устройством Intel Active Management. Щелкнув кнопку View Message Details, вы получите подробное сообщение и ссылку на загрузку обновленного драйвера, как показано на рис. 2.
Встроенное средство диагностики не всегда будет выявлять проблемы и предлагать решения, но соответствующие процессы были усовершенствованы по сравнению с предыдущими реализациями. На панели Maintenance panel, вы можете щелкнуть ссылку Check for solutions («Найти решения») для проверки проблем, которые не были определены автоматически.
Единый центр управления сетевыми возможностями, показанный на рис. 3, продолжает быть сервером-концентратором для настройки сети. В Windows Server 2008 R2 сети определяются в соответствии с одной из следующих категорий:
- Доменная сеть
- Рабочая сеть
- Общая сеть
Рис. 3. Использование единого центра управления сетевыми возможностями
У каждой категории есть соответствующий профиль сети. Технология R2 сохраняет настройки обнаружения сети, общего доступа и брандмауэра отдельно для каждой категории сети, что позволяет серверу иметь разные настройки обнаружения сети и общего доступа для каждой категории сети. Брандмауэр Windows обрабатывает входящие правила, исходящие правила и правила безопасности отдельно для каждого профиля сети, а R2 может содержать несколько активных профилей брандмауэра в зависимости от сетей, к которым подключен сервер.
Как и Windows Server 2008, R2 поддерживает функцию TCP Chimney Offload, которая позволяет сетевой подсистеме переместить работу соединения TCP/IP с серверных процессоров на сетевые адаптеры, так как сетевые адаптеры поддерживают разгрузку работы TCP/IP. Как на соединениях TCP/IPv4, так и на соединениях TCP/IPv6 можно произвести разгрузку. По умолчанию, в соединениях TCP можно произвести разгрузку на сетевых адаптерах 10 Гбит/с, но невозможно произвести разгрузку на сетевых адаптерах 1 Гбит/с. Вы можете настроить соответствующие параметры с помощью команды Netsh.
В сервере Windows Server 2008 R2 добавлена поддержка расширений DNS Security Extensions (DNSSEC). DNS-клиент Windows 7 и R2 могут отправлять запросы, отражающие поддержку DNSSEC, записи соответствующих процессов и определять, подтвердил ли DNS-сервер записи со своей стороны. Поддержка DNSSEC позволяет вашему DNS-серверу безопасно подписывать зоны и размещать зоны, подписанные DNSSEC. Также она позволяет DNS-серверам обрабатывать соответствующие записи и проверять достоверность и подлинность записей.
R2 заменяет Службы терминалов и все соответствующие компоненты на обновленное и усовершенствованное предложение под названием Службы удаленного рабочего стола. Службы удаленного рабочего стола дают возможность доступа на основе сеанса к настольным системам, виртуальным машинам и приложениям, размещенным на удаленных серверах. В R2 все роли служб удаленного рабочего стола были переименованы, так как они имеют аналогичные средства управления. На рис. 4 представлено старое и новое имя для каждой службы ролей. На рис. 5 представлено старое и новое имя для каждого средства управления.
Старое имя службы ролей
Новое имя службы ролей
Службы терминалов
Службы удаленных рабочих столов
Сервер терминалов
Узел сеансов удаленных рабочих столов (Узел сеансов RD)
Лицензирование служб терминалов (Лицензирование TS)
Лицензирование удаленных рабочих столов (Лицензирование RD)
Шлюз служб терминалов (Шлюз TS)
Шлюз удаленных рабочих столов (Шлюз RD)
Посредник сеансов служб терминалов (Посредник сеансов TS)
Посредник подключений к удаленному рабочему столу (Посредник подключения RD)
Веб-доступ к службам терминалов (Веб-доступ к TS)
Веб-доступ к удаленным рабочим столам (Веб-доступ к RD)
Рис. 4. Имена служб ролей
Что касается R2, службы сертификации Active Directory (AD CS) добавляют несколько функций и служб, которые упрощают развертывание инфраструктуры открытого ключа (PKI), и предоставляют лучшую поддержку защиты доступа к сети (NAP). Веб-службы регистрации сертификатов и политики регистрации сертификатов активируют регистрацию сертификатов через HTTP и в лесах. Это позволяет консолидировать центр сертификации (CA) в развернутых системах на основе нескольких лесов и уменьшает размеры баз данных CA для некоторых развертываний NAP.
Служба Windows AppLocker заменяет функцию политик ограниченного использования программ. Служба AppLocker помогает администраторам контролировать то, каким образом пользователи могут получить доступ и использовать файлы, например исполняемые файлы, файлы DLL, сценарии и установочные файлы Windows. Служба AppLocker выполняет контроли при помощи установленных правил разрешения, если для файла установлено такое разрешения — он будет выполняться. Файлы, которые не включены в правила, выполняться не будут.
Предыдущее имя средства
Новое имя средства
Диспетчер служб терминалов
Диспетчер служб удаленного рабочего стола
Конфигурация служб терминалов
Конфигурация узла сеансов удаленных рабочих столов
Диспетчер шлюза служб терминалов
Диспетчер шлюза удаленного рабочего стола
Диспетчер лицензирования служб терминалов
Диспетчер лицензирования удаленного рабочего стола
Диспетчер удаленных приложений RemoteApp служб терминалов
Диспетчер удаленных приложений RemoteApp
Рис. 5. Имена средств управления
Версии R2 Enterprise Edition, Database Edition и версия для процессора Itanium имеют поддержку отказоустойчивых кластеров. Отказоустойчивый кластер представляет собой группу независимых серверов, совместно работающих для увеличения доступности приложений и служб. Каждый сервер в кластере, именуемый узлом, может быть настроен на прием отказавших приложений или служб другого сервера в кластере. Технология R2 добавляет командлеты Windows PowerShell для отказоустойчивых кластеров, улучшает процесс проверки достоверности для кластеров и управление кластеризованными виртуальными машинами (поддерживается Hyper-V), которые теперь могут использовать общие тома кластера.
Кроме служб и приложений, которые вы могли настраивать в отказоустойчивом кластере до этого, теперь вы можете настраивать посредника подключения к удаленному рабочему столу для балансировки нагрузок и повторного подключения сессий в ферме серверов удаленного рабочего стола со сбалансированной нагрузкой. Также вы можете настроить процесс репликации DFS для синхронизации папок между серверами внутри сетевых подключений с ограничением пропускной способности. Вы можете внести любой сервер домена в группу репликации.
Пока я рассказывал о кластерах, в R2 были добавлены новые функции для вашего сверхмощного оборудования и решений центра обработки данных, включая Программный инициатор iSCSI и Многопутевой ввод/вывод (MPIO). Программный инициатор Microsoft iSCSI позволяет вам подключать сервер Windows к массиву хранения данных на основе iSCSI через сетевой адаптер Ethernet. В R2 пользовательский интерфейс Инициатора iSCSI был переработан для упрощения доступа к общим настройкам, а также были добавлены новые функции, включая Quick Connect, позволяющие подключаться к основным устройствам хранения данных одним нажатием кнопки.Поддержка загрузки iSCSI для 32 путей в течение времени загрузки, циклический избыточностный контроль и разгрузка дайджеста данных также доступна.
Технология MPIO поддерживает несколько путей хранения данных и улучшает уровень отказоустойчивости соединений для хранения данных. Технология R2 содержит улучшенную систему MPIO для создания отчетов о состоянии, а теперь и для создания отчетов о конфигурации. Оба изменения облегчают процесс получения путей данных. Также вы можете настроить политики балансировки нагрузки с помощью утилиты командной строки MPClaim.
Рис. 6. Использование Центра администрирования Active Directory
Компонент Hyper-V также был значительно улучшен. Улучшения Hyper-V включают в себя новую оперативную функциональную возможность миграции, поддержку динамического хранилища данных виртуальных машин и усовершенствования поддержки процессора и сети.
В конце нашего довольно краткого обзора, я хочу остановиться на Центре администрирования Active Directory, изображенном на рис. 6. Это новое средство предоставляет интерфейс, ориентированный на задачи управления Active Directory. Вы можете использовать это средство для выполнения следующих задач:
- Подключение к одному или нескольким доменам
- Создание и управление учетными данными пользователя
- Создание и управление группами пользователей
- Создание и управление структурными подразделениями
- Выполнение глобальных поисков Active Directory
Центр администрирования Active Directory использует Windows PowerShell для выполнения задач администрирования и использует платформу Microsoft .NET Framework 3.5.1. В силу этого обе функции необходимо установить и правильно настроить для использования Центра администрирования Active Directory при администрировании. Кроме того, Центр администрирования Active Directory использует веб-службы, предоставляемые веб-службами Active Directory (ADWS). По крайней мере, один контроллер домена в каждом домене Active Directory, которым вы хотите управлять, должен иметь ADWS и соответствующие службы. Подключения осуществляются через TCP порт 9389 (по умолчанию), а политики брандмауэра должны включать исключение данного порта для ADWS.
Windows PowerShell 2.0 и WinRM 2.0
Может возникнуть вопрос о том, как получить заманчивые командлеты Windows PowerShell? Итак, компонент Windows PowerShell 2.0 установлен по умолчанию в большинстве конфигураций R2. При полной установке сервера, консоль Windows PowerShell доступна в панели быстрого запуска, и вы можете установить графическую среду сценариев с помощью мастера добавления компонентов. У вас появилась возможность установки Windows PowerShell и при установке ядра сервера.
После запуска Windows PowerShell, вы можете ввести имя командлета в окне и он появиться аналогично команде командной строки. Также вы можете исполнять командлеты при помощи сценариев. Командлеты именованы с помощью пар глагол-существительное. Глагол сообщает функцию командлета в общем. Существительное указывает на то, с чем конкретно работает командлет. Например, командлет «start-service» запускает службу Windows, а командлет «stop-service» приостанавливает работу службы Windows.
Командлеты «yummy», которые обслуживают Центр администрирования Active Directory также доступны. Для того чтобы использовать их, вы должны импортировать модуль Active Directory, введя команду Import-Module ActiveDirectory в командной строке оболочки Windows PowerShell. После импорта модуля, вы можете использовать его с текущим экземпляром Windows PowerShell. В следующий раз при запуске Windows PowerShell вам придется вновь импортировать модуль, если вы хотите использовать его компоненты. Как вариант, вы можете выбрать модуль Active Directory, который хотите импортировать при запуске Windows PowerShell,
в меню «Администрирование», как показано на рис. 7.
Рис. 7. Использование модуля Active Directory для Windows PowerShell
Также вы можете использовать Windows PowerShell для удаленного управления. Компоненты удаленной работы поддерживаются протоколом WS-Management Protocol и службой удаленного управления Windows (WinRM), реализующей WS-Management в Windows. R2 содержит WinRM 2.0. Как Windows 7, так и Windows Server 2008 R2 имеют встроенную поддержку удаленного управления с помощью WinRM. В ранних выпусках Windows вы могли устанавливать платформу управления Windows Management Framework, включающую Windows PowerShell 2.0 и WinRM 2.0.
При каждом использовании Windows PowerShell для удаленного управления, вы должны запускать данное приложение с правами администратора. Также вы должны корректно настроить WinRM на своем компьютере управления и целевом сервере или серверах. Вы можете проверить и обновить настройки WinRM, выполнив команду «winrm quickconfig».
Вы можете использовать Диспетчер серверов (и другие консоли управления Microsoft Management Consoles) для выполнения некоторых задач управления на удаленных компьютерах, но при условии, что компьютеры находятся в одном домене или вы работаете в рабочей группе и добавили удаленные компьютеры в домен в качестве доверенных узлов. Вы можете подключаться к серверам, работающим, как на установках полного сервера, так и только ядра сервера.
После активации удаленного управления для Диспетчера серверов вы можете использовать Диспетчер серверов для выполнения некоторых задач управления, включая следующие:
- Просмотр и управление ролями, службами ролей и функциями (кроме добавления и удаления)
- Просмотр и управление дополнительными компонентами брандмауэра Windows Firewall
- Просмотр и управление событиями и службами Windows
- Просмотр и управление наблюдением за производительностью
- Просмотр и управление назначенными заданиями
- Просмотр и управление дисками
- Настройка создания отчетов об ошибках и статусе рабочей среды пользователя
- Просмотр состояния автоматических обновлений
Удаленное управление использует Windows PowerShell и зависит от корректной настройки WinRM. Как на установках полного сервера, так и ядра сервера вы должны включить удаленное управление в Диспетчере серверов.
Рис. 8. Использование сценариев Windows PowerShell для групповой политики
На установках полного сервера, вы можете использовать функцию настройки удаленного управления с помощью Диспетчера серверов, при входе в систему локально или с использованием сценария Configure-SMRemoting.ps1. На установках ядра сервера вы можете использовать утилиту Server Configuration (Sconfig.exe).
R2 содержит командлеты, которые позволяют управлять групповой политикой из Windows PowerShell. Просто импортируйте модуль групповой политики, введя Import-Module GroupPolicy в командной строке Windows PowerShell. После импорта модуля вы можете использовать командлеты групповой политики с текущим экземпляром Windows PowerShell.
Также вы можете запустить сценарии Windows PowerShell во время входа в систему, выхода из системы, включения и отключения систем. Как показано на рис. 8, вы можете настроить сценарии Windows PowerShell на запуск перед сценариями других типов. Также есть вариант использования сценариев Windows PowerShell после запуска сценариев других типов. В своих сценариях не забудьте настроить рабочую среду, импортировав любой из необходимых модулей.
Знакомство с технологией Core Parking (Парковка ядра)
Core Parking — функция R2, о которой, вы, возможно, уже слышали. Но, возможно, вы не знаете о том, откуда взялась эта функция и как она работает. Технология Core Parking спроектирована для снижения потребления электроэнергии за счет регулирования или перехода в состояние простоя процессорных ядер, в зависимости от нагрузки на серверы. Данная функция возможна, потому что Windows 7 и Windows Server 2008 R2 имеют поддержку технических характеристик Advanced Configuration и Power Interface (ACPI) 4.0, которая была закончена в июне 2009 года.Так как, скорее всего, вы не захотите читать более 700 страниц официальной спецификации, я предоставлю вам несколько выдержек об управлении питанием.
Windows использует интерфейс ACPI для осуществления контроля и перехода в различные состояния энергопотребления. Windows устанавливает устройства в состояния высокого потребления (работа), низкого энергопотребления или выключения для снижения потребления электроэнергии. Состояние низкого энергопотребления или пониженный режим требует снижение рабочей частоты процессора. Выключенное или состояние простоя, требует установки процессора в спящий режим.
Настройки питания для сервера берутся из плана активной мощности. По умолчанию план активной мощности в Windows Server 2008 R2 является «Сбалансированным», и он использует преимущества усовершенствований интерфейса ACPI для снижения потребления энергии. Хотя в технических характеристиках интерфейса ACPI 3.0 определены минимальные и максимальные состояния процессора как способы регулирования производительности процессоров, спецификация была разработана для работы с дискретными сокетными процессорами, а не логическими процессорными ядрами. Решение для регулирования и перехода в состояние простоя логических процессорных ядер предоставляется именно интерфейсом ACPI 4.0 (наряду с несколькими другими компонентами, которые не являются такими интересными).
Благодаря интерфейсу ACPI 4.0 при определении максимальных и минимальных ограничений состояний процессора в политике энергопотребления, Windows знает, как применять эти состояния к логическим процессорным ядрам, а также к дискретным сокетным процессорам. Максимальные и минимальные значения определяют рамки допустимых состояний производительности. Например, если верхний предел составляет 100 процентов, а нижний – 5 процентов, Windows может регулировать процессоры в данном диапазоне при допустимых рабочих нагрузках, для снижения потребления электроэнергии. На компьютере с несколькими процессорами с частотой 4 ГГц, Windows настраивает рабочую частоту процессоров от 2,5 ГГц до 4 ГГц.
На рис. 9, только для иллюстративных целей, показан пример регулирования частоты процессора и перехода его в состояние простоя. Компьютер имеет четыре дискретных сокетных процессора, каждый с четырьмя логическими процессорами. Процессорные ядра, которые не используются при текущей рабочей нагрузке, переходят в состояние простоя, а процессорные ядра, которые частично необходимы для работы, регулируются. Например, первое логическое ядро задействовано на 90 процентов, в то время как другие логические ядра 2, 3 и 4 используются только на 80 процентов. Для процессора 4 ГГц это означает, что логическое ядро 1 работает на частоте 3,6 ГГц, в то время как другие логические ядра 2, 3 и 4 работают на частоте 3,2 ГГц. Также можно увидеть, что у процессоров 3 и 4 ядра полностью приостановлены и находятся в спящем режиме.
Рис. 9. Объяснение различных состояний процессора
Для того чтобы оперативная система Windows находилась в определенном состоянии производительности, вы можете использовать аналогичные максимальные и минимальные значения. В данном случае Windows не регулирует рабочую частоту процессора. Важно отметить, что такая работа процессора снижает эффективность данной функции, поэтому вы захотите провести тщательное планирование при настройке параметров сходства для приложений.
План изменений в Active Directory
Доменные службы Active Directory(AD DS) в R2 имеют много новых функций. При использовании R2 и развертывании ОС на всех контроллерах домена во всех доменах вашего леса Active Directory, ваши домены могут работать на функциональном уровне домена R2, а лес может работать на функциональном уровне леса R2. Эти новые эксплуатационные уровни позволяют вам использовать усовершенствования Active Directory, улучшающие управляемость, производительность и обеспечение технической поддержкой.
Одним из самых важных усовершенствований является корзина Active Directory. Данная функция позволяет администраторам отменять случайное удаление объектов Active Directory. При включении функции корзины, все атрибуты удаленных объектов со значениями и без значений сохраняются, что позволяет вам восстанавливать объект в том состоянии, в котором он был удален без запуска полномочного восстановления. Данный подход значительно отличается от более ранних установок, в которых использовалось полномочное восстановление для удаленных объектов. Ранее, если вы удаляли объект, большинство его атрибутов без значений очищались, а все атрибуты со значениями удалялись, что означало, что хотя вы и могли восстановить удаленный объект, он восстанавливался не полностью.
Управляемые учетные записи являются еще одним важным усовершенствованием. Приложения, критические для функционирования, часто используют учетные записи служб. На локальном компьютере вы можете настроить приложения, чтобы они запускались как встроенные учетные записи пользователя, например локальная служба или локальная система. Однако данные учетные записи являются общими для нескольких приложений и служб, и ими можно управлять на уровне домена. Если вы настроили приложения для использования учетных записей домена, вы можете изолировать привилегии для приложений, но затем вы должны вручную установить пароли учетных записей и имена участников служб (SPN), необходимые для проверки подлинности Kerberos.
Для снижения издержек, связанных с обслуживанием учетных записей служб, R2 поддерживает два новых типа управляемых учетных записей:
- Управляемые учетные записи служб
- Управляемые виртуальные учетные записи
Управляемые учетные записи служб являются особым типом учетных записей пользователя домена для управляемых служб, которые снижают количество сбоев служб и других проблем при помощи автоматического управления Windows паролями учетных записей и соответствующих имен участников служб. Управляемые виртуальные учетные записи являются особым типом локальной учетной записи компьютера для управляемых служб, которые предоставляют возможность доступа к сети с помощью удостоверения компьютера доменной среды.
В управляемых учетных записях служб создайте фактическую учетную запись, которая по умолчанию сохраняется в подразделении управляемых учетных записей служб Active Directory. Затем установите управляемую учетную запись на локальном сервере для ее добавления в качестве учетной записи локального пользователя. Теперь, вы можете настроить локальную службу для использования этой учетной записи.
С помощью виртуальных учетных записей настройте локальную службу для доступа к сети с помощью удостоверения компьютера доменной среды. Так как используется удостоверение компьютера, то не нужно создавать учетную запись, и управление паролями не понадобится.
В R2 не представлен интерфейс пользователя для создания и управления этими учетными записями. Вам придется использовать модуль Active Directory для управления ими с помощью Windows PowerShell.
С R2 вы получаете преимущества новых инструментов управления проверкой подлинности. Технология Authentication Mechanism Assurance улучшает процесс проверки подлинности, позволяя администраторам контролировать доступ к ресурсам, даже если пользователь заходит в систему с помощью метода входа на основе сертификата. Затем пользователь может получить один набор прав доступа при входе в систему с помощью смарт-карты и другой набор при неудачном входе с помощью смарт-карты.
Наконец, R2 предоставляет возможность осуществления автономных подключений к домену, хотя эта функция не требует повышения функционального уровня домена или леса. С помощью автономных подключений к домену, администраторы могут предварительно обеспечивать учетные записи компьютера в домене при подготовке операционных систем для развертывания. Далее предварительно обеспеченные компьютеры можно подключить к домену без необходимости связи с контроллером домена. Утилита командной строки для предварительного обеспечения учетных записей называется Djoin.exe.
Настройка кэширования филиалов
Windows BranchCache является компонентом кэширования филиала, работающим совместно с фоновой рациональной службой передачи (BITS). В доменной среде, где настольные компьютеры работают с ОС Windows 7, а серверы работают с R2, администраторы могут включить кэширование филиалов для того, чтобы позволить настольным компьютерам извлекать документы и другие типы файлов из локального кэша, а не с удаленных серверов.
Ввиду того, что кэширование филиалов работает с файлами, переданными через протоколы HTTP и SMB, файлы, переданные от веб-серверов интрасети или внутренних файловых серверов, могут кэшироваться. На основном уровне кэширование филиалов работает следующим образом:
- При включении кэширования филиалов, при первом доступе к файлу из веб-узла интрасети или файлового сервера, Windows передает файл с исходящего сервера, а затем кэширует файл локально внутри филиала.
- Если тот же или другой пользователь в филиале хочет получить доступ к этому файлу, Windows выполняет поиск файла в локальном кэше. Если файл найден, Windows отправляет запрос исходящему серверу для того, чтобы проверить, изменялся ли файл с момента кэширования.
- Если файл не изменялся, Windows извлекает файл из локального кэша, устраняя необходимость передачи файла через глобальную сеть. Если файл изменялся, Windows извлекает файл из исходящего сервера и обновляет копию файла в кэше.
Вы можете настроить кэширование филиалов либо в режиме распределенного кэша, либо в режиме кэширования хоста. С помощью режима распределенного кэша настольные компьютеры, работающие с ОС Windows 7, хранят файлы в распределенном кэше. Сервер филиала не нужен, потому что каждый локальный компьютер кэширует и отправляет файлы. С помощью режима кэширования хоста, сервер, работающий с R2 и расположенный в филиале, хранит кэшированные файлы локально. Данный сервер кэширует файлы и отправляет их клиентам. Как вы можете предположить, кэширование филиалов может значительно улучшить время отклика и значительно уменьшить время передачи документов, веб-страниц и мультимедийного содержимого.
Заключение
Итак, подведем итоги. Здесь был представлен краткий обзор Windows Server 2008 R2 из доступных источников. Надеюсь, что эта статья покажется вам полезной, и вы заинтересуетесь моими новыми книгами: «Карманный консультант администратора по Windows PowerShell 2.0», «Карманный консультант администратора по Windows 7» и «Карманный консультант администратора по Windows Server 2008, второе издание».
Уильям Р. Станек (William R. Stanek ) (williamstanek.com) — ведущий специалист-технолог, великолепный преподаватель и отмеченный наградами автор более 100 книг. Книги, которые уже имеются в продаже, или скоро там появятся: «Карманный консультант администратора по Active Directory», «Карманный консультант администратора по групповой политике», «Карманный консультант администратора по Windows 7», «Карманный консультант администратора по Windows PowerShell 2.0» и «Windows Server 2008. Взгляд изнутри». Заходите в его чат Twitter на WilliamStanek.