原先的[本機安全性原則] 的 密碼複雜性需求就變成灰色的不可以設定,如下圖
- 5月 17 週五 201309:58
取消Windows 2008 AD的[密碼原則]
原先的[本機安全性原則] 的 密碼複雜性需求就變成灰色的不可以設定,如下圖
- 10月 17 週一 201109:36
【系統】Windows網域DC在沒有正常降級(dcpromo)處理程序
http://blog.fashion-style.com.tw/2008/05/09/dc_abnormal_dcpromo_format_hd/
之前在很多的論壇裡看到很多人在問Active Directory的問題,
比如找不到另一台域控制站,或是Active Directory資料庫複寫不成功等.....
其實很多問題是在DC沒有正常降級(dcpromo)就format(格式化)硬碟,
- 12月 10 週五 201015:01
server 2008 DC 轉移五大角色 在domain 2003
server 2008 DC 轉移五大角色
須先做下列步驟
選取新的SERVER 2008
- 12月 10 週五 201014:57
SERVER 2008 join in domain 2003 & promo dc步驟
http://www.yesminder.com/KM/CategoryID/131/KB000141.aspx
確認現有網域控制站事件檢視器正常
開啟Windows Server 2008 準備加入Domain 先Ping網域名稱驗證是否可以正常解析
開啟Windows Server 2008 先將此台電腦加入至Win 2003網域內
輸入認證帳號及密碼
成功加入網域,並且重新開機
登入時,請務必使用網域模式登入。
接著再Windows Server 2003 FSMO 主機上放入Windows 2008 光碟進行Adprep 如何確認Windows Server 2003 FSMO 主機請安裝Support Tools 之後打開命令視窗輸入netdom query fsmo即可
確認FSMO主機之後,在FSMO主機放入光碟進行Adprep 如下圖光碟預設路徑為Sources\adprep 先啟動ForestPrep 指令為adprep /forestprep
如下圖,成功更新全樹系資訊
在啟動DomainPrep 指令為adprep /domainprep 如下圖成功更新全網域資訊
在啟動gpprep 指令為adprep /domainprep /gpprep
接下來Rodcprep 則是看有沒有要安裝唯讀網域控制站,如需要才執行在啟動RodcPrep 指令為adprep /rodcprep
接著打開Windows Server 2008 主機打開 開始 > 執行 > dcpromo 出現如下圖
選擇新增現有網域的網域控制站
直接點選”是” 即可
如下圖等待NTDS複寫完成
確認可以正常複寫資料
接著請把2008 DC的主要DNS IP 指回自己
重啟Netologon 服務
將Windows 2003 DC的主要DNS IP改為Win2008 DC 並且重啟Netlogon
接著移除原本的Windows 2003 網域控制站
- 8月 26 週四 201015:02
如何將現有Windows Server 2000/2003網域升級成為Windows Server 2008網域參考文件及注意事項
1.非網域控制站的 Windows 2000 Server、Windows server 2003 可以原機升級至 Windows server 2008
2.Windows 2000 Server 網域無法直接升級至 Windows server 2008 網域 (Windows 2000 server 網域無法提高網域功能等級為 Wndows server 2003)
3.Windows 2003 Server 網域可以直接升級至 Windows server 2008 網域
4.可以參考以下網頁
http://www.wretch.cc/blog/jerry0822/13589632
5.原廠資訊
問題代號:SRT090416838176
問題描述:如何將現有Windows Server 2000/2003網域升級成為Windows Server 2008網域參考文件及注意事項
客戶環境為Windows Server 2000/2003 網域,因添購新機故希望升級為Windows Server 2008網域,客戶希望提供相關升級程序參考資料及應注意事項
解決方法:
Windows Server 2008 Active Directory Domain Service (AD DS)支援Windows Server 2003SP1以後機器進行原機升級工作。
但因Windows Server 2008是最後一個Support 32位元的伺服器系統,為了未來在系統升級需求上造成不必要得困惱,
加上客戶採用購買新機器方式,故建議您採購64位元的Windows Server 2008,並採用加入新網域控制站方式進行網域升級工作。
整體網域升級相關程序分為事先準備工作及網域升級工作兩部份工作,相關說明如下:
一、 事先準備工作:確認現有網域服務狀況,主要作用為網域服務升級前,相關服務確認正常使用,避免造成網域升級後有無法預測狀況發生。相關網域服務狀況確認程序如下:
1. 安裝Windows 2003 Support Tools (執行Windows Server 2003光碟CD1 中\Support \Tools\Suptools.msi)
2. 確認網域控制站狀況:執行DCDiag /v 確認網域控制站狀況正常。
3. 確認現有複寫狀況正常:Repadmin /syncall /forcec,確認所有複寫正常。
4. 確認現有網域SYSVOL狀況:執行DCDIAG.EXE /e /test:frssysvol,確認測試正常。
5. 確認Group Policy驗證權限相關設定正常,執行Gpotool.exe (此工具存放於Windows 2000/2003 Resource Kits)
6. 確認網域Time Configuration狀況正常,於All DCs上執行Net time \\Forest Root PDC /set /y.
7. 進行現有系統資訊全備份,包含系統磁碟機(如C:\ ) 及System State資料。
二、 網域升級工作:進行AD Schema樹系及網域擴充工作並加入新機器成為Windows Server 2008 AD DS工作,相關程序如下:
1. 於命令提示列中執行Netdom query fsmo 確認FSMO角色存放伺服器
2. 使用Enterprise Admins、Schema Admins或 Domain Admins權限使用者,建議登入 Schema Master主機,進行Active Directory Schema Extend 工作。
2-1 提高網域功能等級
請至 Active Directory 使用者及電腦 → 提高網域功能等級→更改為 2003 原生模式
3. 執行樹系升級工作:於命令提示列中執行 adprep /forestprep (存放於Windows Server 2008 光碟中 \Sources\adprep\路徑中)
4. 檢查 Windows\Debug\Adprep\Logs記錄檔 (Windows 2000:WINNT\System32\Debug\Adprep\Logs),確認是否有錯誤訊息發生。
5. 執行網域升級工作:於命令提示列中執行 adprep /domainprep (存放於Windows Server 2008 光碟中 \Sources\adprep\路徑中)
6. 檢查 Windows\Debug\Adprep\Logs記錄檔 (Windows 2000:WINNT\System32\Debug\Adprep\Logs),確認是否有錯誤訊息發生。
7. 執行複寫動作:Repadmin /syncall /forcec,確認所有複寫正常。(建議多執行幾次,或等待90mins以上)
8. 登入已安裝Windows Server 2008之新機器,確認DNS 指向DCs,執行Dcpromo,選擇加入現有樹系網域。
9. 安裝DNS服務,確認DNS複寫將所有紀錄複寫至Windows Server 2008(確認DNS PDC Record為Windows Server 2008),主要DNS Server 設為Windows Server 2008 DC IP Address.
10. 移轉Fsmo角色至Windows Server 2008,詳細步驟請參考:http://support.microsoft.com/kb/324801
11. 於命令提示列中執行Netdom query fsmo 確認FSMO角色存放伺服器全部轉為Windows Server 2008.
12. 執行DCDiag、Netdiag確認所有測試均正常。
13. 使用者登入測試,及應用程式測試確認狀況正常。
14. 登入欲移除之Windows Server 2000/2003伺服器,執行Dcpromo進行移除網域控制站角色工作。(若無法順利將網域控制站降級您需要採用強制移除或手動移除方式,您可以參考下列參考資料說明)
15. 確認舊網域控制站,已降為成員伺服器(預設會從Domain Controllers 移至Computers OU),使用者登入測試,及應用程式測試確認狀況正常。
16. 舊網域控制站關機。
參考資料:
Windows Server 2008 升級指導(Guide for Upgrading to Windows Server 2008)
http://technet.microsoft.com/en-us/li ... 55199.aspx#BKMK_Supported
如何在網域控制站降級失敗後,移除 Active Directory 中的資料
http://support.microsoft.com/kb/216498/zh-tw
Windows Server 2003 和 Windows 2000 Server 無法順利將網域控制站降級,使用 Active Directory 安裝精靈強制降級網域控制站時
http://support.microsoft.com/kb/332199/zh-tw
ADPrep 相關參考資料:
http://technet.microsoft.com/zh-tw/library/cc731728.aspx
2.Windows 2000 Server 網域無法直接升級至 Windows server 2008 網域 (Windows 2000 server 網域無法提高網域功能等級為 Wndows server 2003)
3.Windows 2003 Server 網域可以直接升級至 Windows server 2008 網域
4.可以參考以下網頁
http://www.wretch.cc/blog/jerry0822/13589632
5.原廠資訊
問題代號:SRT090416838176
問題描述:如何將現有Windows Server 2000/2003網域升級成為Windows Server 2008網域參考文件及注意事項
客戶環境為Windows Server 2000/2003 網域,因添購新機故希望升級為Windows Server 2008網域,客戶希望提供相關升級程序參考資料及應注意事項
解決方法:
Windows Server 2008 Active Directory Domain Service (AD DS)支援Windows Server 2003SP1以後機器進行原機升級工作。
但因Windows Server 2008是最後一個Support 32位元的伺服器系統,為了未來在系統升級需求上造成不必要得困惱,
加上客戶採用購買新機器方式,故建議您採購64位元的Windows Server 2008,並採用加入新網域控制站方式進行網域升級工作。
整體網域升級相關程序分為事先準備工作及網域升級工作兩部份工作,相關說明如下:
一、 事先準備工作:確認現有網域服務狀況,主要作用為網域服務升級前,相關服務確認正常使用,避免造成網域升級後有無法預測狀況發生。相關網域服務狀況確認程序如下:
1. 安裝Windows 2003 Support Tools (執行Windows Server 2003光碟CD1 中\Support \Tools\Suptools.msi)
2. 確認網域控制站狀況:執行DCDiag /v 確認網域控制站狀況正常。
3. 確認現有複寫狀況正常:Repadmin /syncall /forcec,確認所有複寫正常。
4. 確認現有網域SYSVOL狀況:執行DCDIAG.EXE /e /test:frssysvol,確認測試正常。
5. 確認Group Policy驗證權限相關設定正常,執行Gpotool.exe (此工具存放於Windows 2000/2003 Resource Kits)
6. 確認網域Time Configuration狀況正常,於All DCs上執行Net time \\Forest Root PDC /set /y.
7. 進行現有系統資訊全備份,包含系統磁碟機(如C:\ ) 及System State資料。
二、 網域升級工作:進行AD Schema樹系及網域擴充工作並加入新機器成為Windows Server 2008 AD DS工作,相關程序如下:
1. 於命令提示列中執行Netdom query fsmo 確認FSMO角色存放伺服器
2. 使用Enterprise Admins、Schema Admins或 Domain Admins權限使用者,建議登入 Schema Master主機,進行Active Directory Schema Extend 工作。
2-1 提高網域功能等級
請至 Active Directory 使用者及電腦 → 提高網域功能等級→更改為 2003 原生模式
3. 執行樹系升級工作:於命令提示列中執行 adprep /forestprep (存放於Windows Server 2008 光碟中 \Sources\adprep\路徑中)
4. 檢查 Windows\Debug\Adprep\Logs記錄檔 (Windows 2000:WINNT\System32\Debug\Adprep\Logs),確認是否有錯誤訊息發生。
5. 執行網域升級工作:於命令提示列中執行 adprep /domainprep (存放於Windows Server 2008 光碟中 \Sources\adprep\路徑中)
6. 檢查 Windows\Debug\Adprep\Logs記錄檔 (Windows 2000:WINNT\System32\Debug\Adprep\Logs),確認是否有錯誤訊息發生。
7. 執行複寫動作:Repadmin /syncall /forcec,確認所有複寫正常。(建議多執行幾次,或等待90mins以上)
8. 登入已安裝Windows Server 2008之新機器,確認DNS 指向DCs,執行Dcpromo,選擇加入現有樹系網域。
9. 安裝DNS服務,確認DNS複寫將所有紀錄複寫至Windows Server 2008(確認DNS PDC Record為Windows Server 2008),主要DNS Server 設為Windows Server 2008 DC IP Address.
10. 移轉Fsmo角色至Windows Server 2008,詳細步驟請參考:http://support.microsoft.com/kb/324801
11. 於命令提示列中執行Netdom query fsmo 確認FSMO角色存放伺服器全部轉為Windows Server 2008.
12. 執行DCDiag、Netdiag確認所有測試均正常。
13. 使用者登入測試,及應用程式測試確認狀況正常。
14. 登入欲移除之Windows Server 2000/2003伺服器,執行Dcpromo進行移除網域控制站角色工作。(若無法順利將網域控制站降級您需要採用強制移除或手動移除方式,您可以參考下列參考資料說明)
15. 確認舊網域控制站,已降為成員伺服器(預設會從Domain Controllers 移至Computers OU),使用者登入測試,及應用程式測試確認狀況正常。
16. 舊網域控制站關機。
參考資料:
Windows Server 2008 升級指導(Guide for Upgrading to Windows Server 2008)
http://technet.microsoft.com/en-us/li ... 55199.aspx#BKMK_Supported
如何在網域控制站降級失敗後,移除 Active Directory 中的資料
http://support.microsoft.com/kb/216498/zh-tw
Windows Server 2003 和 Windows 2000 Server 無法順利將網域控制站降級,使用 Active Directory 安裝精靈強制降級網域控制站時
http://support.microsoft.com/kb/332199/zh-tw
ADPrep 相關參考資料:
http://technet.microsoft.com/zh-tw/library/cc731728.aspx
- 8月 25 週三 201023:20
虛擬網域控制站的規劃考量
http://technet.microsoft.com/zh-tw/library/dd348476(WS.10).aspx
適用於: Windows Server 2008, Windows Server 2008 R2, Windows Virtualization
.gif)
適用於: Windows Server 2008, Windows Server 2008 R2, Windows Virtualization
在開始進行將網域控制站轉變成虛擬機器的處理程序之前,您應該考慮下列幾件事。首先,您應該了解將網域控制站轉變成虛擬機器的優點與缺點。您還應該了解設定 Hyper-V 伺服器的硬體需求。我們將在此主題的下列各節討論這兩個議題。
如果您決定建立虛擬網域控制站,請參閱此主題稍後各節,以取得為 Hyper-V 伺服器與虛擬機器選取適當設定類型的相關資訊。同時您也將取得決定安全性與效能的討論。
考慮網域控制站虛擬化
在將網域控制站轉變成虛擬機器之前,請仔細考慮如此做的優點與缺點。利用 Hyper-V,可以縮減實體機器與虛擬機器之間的差異。然而,還有一些重要的因素可協助您決定網域控制站是否應該虛擬化。
.gif) |
|---|
網域控制站虛擬化的優點
虛擬網域控制站具有下列優點:
- 合併。您可以利用 Hyper-V 將多個網域控制站與其他應用程式伺服器合併成較少的伺服器。在為一或多個其他站台出現之小型網域提供服務的中樞站台中,如果有多個網域控制站,就不必部署多個實體網域控制站來提供 Bridgehead 伺服器與支援備援。
- 測試。因為測試環境很少需要高效能的網域控制站,所以您可以使用比有虛擬技術之前更少的硬體來設定代表生產環境的測試設定。您可以在具有與生產網域控制台相同 Active Directory 設定 (包括網域與站台) 的一些實體電腦上,代表許多網域控制站。在生產環境進行變更之前,可以先測試複雜的變更,例如結構描述變更或大幅度的 Active Directory 站台或複寫變更。
- 部署。在虛擬機器的存留時間中,Hyper-V 所模擬的硬體環境維持不變,無論要傳輸虛擬機器所用的原生硬體目的地為何。因此,即使預定的生產伺服器可能有很大的差異,您也可以在預先生產環境中改變伺服器硬體來建置和測試這些映像。
- 效能。如果您遵循本指南各主題中所有的效能建議,則可以預期在重負載的虛擬機器中執行的單一網域控制站,其效能只比在相同規格的原生硬體上執行的單一網域控制站降低百分之 2 至 12。
網域控制站虛擬化的缺點
本指南包含在生產環境中執行網域控制站虛擬機器之風險的相關重要資訊。虛擬硬碟 (VHD) 檔案很容易使用,但也可能很容易被誤用,這就是為何在生產環境中部署這些檔案時要特別小心管理它們的原因。在考慮是否在虛擬機器中執行網域控制站時,請記得處理 VHD 映像檔案不當時可能導致整個樹系的毀損。不當處理 VHD 檔案,可能與像啟動舊版 VHD 檔案、複製 VHD 檔案至網路其他位置以及同時執行多個複本一樣簡單。
虛擬網域控制站具有下列缺點:
- 管理。在生產環境中,有意或不小心誤用 VHD 檔案會毀損整個樹系的資料。在多數情況下,作業系統可偵測到不當的還原狀況並停止複寫。然而,這無法保證可以在所有狀況下保護資料。若要保護樹系免於受到在虛擬機器中執行之網域控制器不當還原的影響,請確定組織中所有的系統管理員都已經檢閱附錄 A:虛擬網域控制站以及複寫問題中的資訊。
- 安全性與映像檔案的處理。處理 VHD 檔案或具有 VHD 檔案其他存取權的任何人,都必須是組織中受到高度信任的人,而且是樹系中受信任安全性群組的成員。有能力複製 VHD 檔案的任何人都能有效地擁有樹系及其資料。攻擊者或未獲授權的系統管理員可以使用複製的虛擬機器檔案來洩漏密碼或毀損樹系。而且,不同於偷竊實體電腦,偷竊 VHD 檔案更難以偵測。因此,您應該使用保護實體網域控制站的相同實體限制與軟體限制,來保護主機作業系統與客體作業系統的 VHD 檔案。這些限制包括控制檔案的存取權以及稽核檔案存取權,如本主題稍後討論的<安全性考量>所述。
Hyper-V 需求
若要安裝和使用 Hyper-V 角色,您必須具有下列各項:
- x64 處理器。Hyper-V 可在 x64 版本的 Windows Server 2008 中使用,特別是 x64 版本的 Windows Server 2008 標準版、Windows Server 2008 企業版以及 Windows Server 2008 Datacenter。
- 硬體協助虛擬化。此功能可在包含虛擬選項的處理器中使用,特別是 Intel Virtualization Technology (Intel VT) 或 AMD 虛擬化 (AMD-V)。
- 硬體資料執行保護 (DEP)。必須擁有並啟動硬體 DEP。尤其是,您必須啟用 Intel XD 位元 (執行停用位元) 或 AMD NX 位元 (無執行位元)。
計劃保留部分實體網域控制站
您應該在 Active Directory 基礎結構的每個網域中保留一或二個實體網域控制站。虛擬軟體或執行該軟體之硬體的特有問題,可能會中斷網域 (或者甚至樹系) 中每個網域控制站的服務。可能的話,讓您用來管理網域控制站的硬體多樣化,使得單一硬體問題不致於中斷 Active Directory 服務。
安全性考量
您必須將執行虛擬網域控制站的主機電腦當作可寫入網域控制站一樣小心管理,即使該電腦只是加入網域或工作群組電腦也一樣。這是很重要的安全性考量。管理不善的主機很容易受到提高權限攻擊,這類攻擊會在惡意使用者取得未獲授權或合法指派的存取權與系統權限時發生。惡意使用者可以使用這類攻擊來危害此電腦所管理的所有虛擬機器、網域以及樹系。
計劃虛擬網域控制站時,請切記下列安全性考量:
- 管理虛擬、可寫入網域控制站之電腦的本機系統管理員,他的認證應該被視為相當於所有網域以及那些網域控制站所屬樹系之預設網域系統管理員的認證。
- 避免安全性與效能問題的建議設定,是使用執行 Windows Server 2008 之 Server Core 安裝的主機,其中沒有 Hyper-V 以外的其他應用程式。此設定會限制可在伺服器上安裝的應用程式與服務的數目以提升效能,且會有較少的應用程式與服務被惡意利用來攻擊電腦或網路。這種設定類型的作用稱為降低攻擊面。在分公司或無法受到滿意安全保護的其他位置,建議使用唯讀網域控制站 (RODC)。如果存在個別管理的網路,建議您只將主機連線到管理網路。
如需 RODC 的相關資訊,請參閱<唯讀網域控制站規劃和部署指南>(http://go.microsoft.com/fwlink/?LinkID=135993 (可能為英文網頁))。
如需保護網域控制站安全的相關資訊,請參閱<保護 Active Directory 安裝安全的最佳作法指南>(http://go.microsoft.com/fwlink/?LinkId=28521 (可能為英文網頁))。
安全性範圍
使用虛擬機器可讓網域控制站有許多不同的設定。您必須仔細考量虛擬機器影響 Active Directory 拓撲範圍與信任的方式。Active Directory 網域控制站與主機 (Hyper-V 伺服器) 及其客體電腦 (在 Hyper-V 伺服器上執行的虛擬機器) 的可能設定,在下表有詳細說明。
| 機器 | 設定 1 | 設定 2 | 設定 3 |
|---|---|---|---|
主機 | 工作群組或成員電腦 | 網域控制站 | 網域控制站 |
客體 | 網域控制站 | 工作群組或成員電腦 | 網域控制站 |
設定 1 是您使用 Hyper-V 時建議採用的網域控制站設定。在此設定中,必須考慮下列項目:
- 主機電腦的系統管理員與可寫入網域控制站客體上的網域系統管理員擁有相同的存取權,而且必須視為如此。在 RODC 客體的情況下,主機電腦的系統管理員與客體 RODC 上的本機系統管理員擁有相同的存取權。
- 如果主機加入相同的網域,則虛擬機器中的網域控制站擁有該主機的系統管理權限。如果惡意使用者先取得虛擬機器 1 的存取權,則惡意使用者有機會可以危害所有虛擬機器。這也稱為攻擊向量。如果網域控制站用於多個網域或樹系,則應該集中管理這些網域,其中單一網域的系統管理員要受到所有網域的信任。
- 即使將虛擬機器 1 安裝為 RODC,仍然有機會從虛擬機器 1 進行攻擊。雖然 RODC 的系統管理員並非明確擁有網域系統管理員權限,但仍可使用 RODC 傳送原則給主機電腦。這些原則可能包含啟動指令碼。如果成功完成此操作,可能會危害主機電腦,然後再用它來危害主機電腦上的其他虛擬機器。
在設定 2 中,主機電腦是啟用 Hyper-V 角色的網域控制站。然而,如果設定 Active Directory 網域服務 (AD DS) 使用限制委派,則不會自動為虛擬機器 (也就是非網域控制站虛擬機器) 建立服務主要名稱 (SPN)。因此,必須手動建立這些 SPN。若要新增限制委派的 SPN,請完成下列程序。
在執行 Hyper-V 並要設定限制委派的網域控制站上,請執行下列程序。
手動建立 SPN開啟具有提升之權限的 [命令提示字元] 視窗。若要開啟具有提升之權限的 [命令提示字元] 視窗,請按一下 [開始]。在 [開始搜尋] 中,輸入命令提示字元。在 [開始] 功能表中,在 [命令提示字元] 上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]。
在命令提示字元中輸入下列命令,然後按 ENTER 鍵:
SETSPN -A Microsoft Virtual Console Service/<NetBIOS name> <NetBIOS name>SETSPN -A Microsoft Virtual Console Service/<FQDN> <NetBIOS name>在這些
SETSPN命令中,對於<NetBIOS name>.,請輸入網域控制站的 NetBIOS 電腦名稱 (例如 SERVER1)。對於<FQDN>,請輸入網域控制站的完整網域名稱 (FQDN) (例如 server1.corp.contoso.com)。
| 備註 |
|---|
| 以 Setspn.exe 處理資訊方式的結果,您必須在指示的位置輸入兩次 NetBIOS 名稱,其間以空格分開。 |
如需限制委派功能的相關資訊,請參閱<Kerberos 通訊協定轉換與限制委派>(http://go.microsoft.com/fwlink/?LinkId=137041 (可能為英文網頁))。
在設定 3 中,主機與客體都是網域控制站。只要所有網域控制站都來自相同樹系,此設定不會引起任何安全性問題。在此情況下,登入 Hyper-V 伺服器 (主機) 的使用者應該被視為擁有虛擬網域控制站 (客體) 之網域的預設網域系統管理員權限。
VHD 檔案的安全性
虛擬網域控制站的 VHD 檔案相當於實體網域控制站的實體硬碟機。因此,應該像保護實體網域控制站硬碟機安全一樣來保護它的安全。請確定只允許可靠又受信任的系統管理員存取網域控制站的 VHD 檔案。
RODC
RODC 的一個優點是可以將它們放在無法保證實體安全性的位置 (例如分公司)。在此情況下,必須花費更多精神來減少攻擊的影響。您可以使用 Windows(R) BitLocker(TM) 磁碟機加密來保護主機上 VHD 檔案免受實體硬碟失竊的危害。 如需 Hyper-V 中 BitLocker 的相關資訊,請參閱<Windows Server 2008 Hyper-V 與 BitLocker 磁碟機加密>(http://go.microsoft.com/fwlink/?LinkID=123534 (可能為英文網頁))。
效能
新的 Microkernel 64 位元架構大幅增加舊版虛擬化平台的 Hyper-V 效能。若要達到最佳主機效能,主機應該是 Windows Server 2008 的 Server Core 安裝,而且不能安裝 Hyper-V 以外的其他伺服器角色。
虛擬機器的效能依工作量而定。若要保證滿意的 Active Directory 效能,請測試特定的拓撲。使用類似可靠性和效能監視器 (Perfmon.msc) 或 Microsoft Assessment and Planning (MAP) Toolkit 的工具來評估一段時間的現行工作量 (http://go.microsoft.com/fwlink/?LinkId=137077 (可能為英文網頁))。若您要取得目前存在網路中的所有伺服器與伺服器角色的詳細目錄,MAP 工具也很有用。
若要取得虛擬網域控制站的一般效能概念,請使用 Active Directory 效能測試工具 (ADTest.exe) 來執行下列效能測試 (http://go.microsoft.com/fwlink/?LinkId=137088 (可能為英文網頁))。
您可在實體網域控制站使用 ADTest.exe 執行輕量型目錄存取通訊協定 (LDAP) 測試,然後在與實體網域控制站相同的伺服器所裝載的虛擬機器上執行。實體電腦只能使用一個邏輯處理器,而虛擬機器只使用一個虛擬處理器即可輕易達到百分之百的 CPU 利用。在下表中,每個測試之後括弧中的字母與數字指出 ADTest.exe 的特定測試。如此資料所示,虛擬網域控制站效能為實體網域控制站效能的百分之 88 至 98。
| 度量單位 | 測試 | 實體 | 虛擬 | 差異 |
|---|---|---|---|---|
Searches/sec | 搜尋基準範圍中的通用名稱 (L1) | 11508 | 10276 | 89.29% |
Searches/sec | 搜尋基準範圍中的一組屬性 (L2) | 10123 | 9005 | 88.96% |
Searches/sec | 搜尋基準範圍中所有屬性 (L3) | 1284 | 1242 | 96.73% |
Searches/sec | 搜尋樹狀子目錄範圍中的通用名稱 (L6) | 8613 | 7904 | 91.77% |
Successful binds/sec | 執行快速繫結 (B1) | 1438 | 1374 | 95.55% |
Successful binds/sec | 執行簡單繫結 (B2) | 611 | 550 | 90.02% |
Successful binds/sec | 使用 NTLM 執行繫結 (B5) | 1068 | 1056 | 98.88% |
Writes/sec | 寫入多個屬性 (W2) | 6467 | 5885 | 91.00% |
若要確保滿意的效能,請安裝整合元件 (IC) 讓客體作業系統使用「強化套件」或 Hypervisor 感知綜合驅動程式。在安裝處理程序中,可能需要使用模擬的 Integrated Drive Electronics (IDE) 或網路介面卡 (NIC) 驅動程式。在生產環境中,您應該以綜合驅動程式取代這些模擬驅動程式以提升效能。
當您使用可靠性和效能管理員 (Perfmon.msc) 監視虛擬機器的效能時,虛擬機器的 CPU 資訊不會完全正確,這是在實體處理器排程虛擬 CPU 時所使用的方法造成的結果。當您想要取得在 Hyper-V 伺服器上執行的虛擬機器 CPU 資訊時,請使用主機磁碟分割中的 Hyper-V Hypervisor 邏輯處理器計數器。
如需 AD DS 與 Hyper-V 效能調整的相關資訊,請參閱<Windows Server 2008 效能調整指導方針>(http://go.microsoft.com/fwlink/?LinkId=137276 (可能為英文網頁))。
再者,請勿計劃在設定為網域控制站的虛擬機器上使用差異磁碟 VHD,因為差異磁碟 VHD 會降低效能。若要深入了解 Hyper-V 磁碟類型,包括差異磁碟,請參閱<新增虛擬硬碟精靈>(http://go.microsoft.com/fwlink/?LinkID=137279 (可能為英文網頁))。
操作主機角色
裝載大多數操作主機 (也稱為彈性單一主機操作或 FSMO) 角色的網域控制站,不會明顯比其他網域控制站有更多的工作量。因此,它們在虛擬化時不需要特別考量。Bridgehead 伺服器則不需要特別考量其效能。
網域主控站 (PDC) 模擬器操作主機角色是個例外,它的處理器工作量通常比其他操作主機角色更大。因此,您可以決定使用實體電腦來裝載 PDC 模擬器角色以改善效能。
通用類別目錄伺服器與 Exchange
設定為通用類別目錄伺服器的網域控制站,一般會為執行 Microsoft Exchange Server 的伺服器提供目錄服務,它的效能工作量可能大於網路中其他網域控制站。例如,當 Exchange Server 展開通訊群組清單時,會為提供通用類別目錄服務的網域控制站帶來大量的工作量。基於效能考量,請考慮使用實體伺服器來取代虛擬機器做為提供 Exchange Server 目錄服務的通用類別目錄伺服器。
- 8月 25 週三 201023:04
手動移除網域中有問題的 DC 和相關記錄
股起勇氣,把系統架構昇級到 Server 2008 Active Directory 的等級。
雖然計劃是為了迎接即將到來的 Windows Vista 時代,但其實更深層的原因是希望解決處理長久以來 Windows 2000 Server 網域控制站的問題。
因為目前 AD 網域中的 DC,最早一台是 Windows 2000 Server,上頭綁著「憑證服務」也包含著 SUS,沒錯最早期的 Microsoft Software Update Server 的服務,但很慘地,這兩個服務已經開不起來,而這台伺服器也移除不了,這一回主要就是要一併解決舊主機的問題。
- 8月 25 週三 201022:42
站台間相互複寫的觀念與問題
請教各位大大有關站台間相互複寫的觀念與問題 ^^
1.有人說網域是邏輯分組,站台是實體分組,這是什麼意思 = =? 可以具體說明一下嗎 ?
2.相同站台內的DC"會自動建立複寫連線",不同站台間的DC"需手動建立複寫連線",有建立的原則嗎 ? 什麼樣的狀況下不同站台間的DC "不要" 建立連線呢?
3.一個網域內最多只能有一個GC(通用類別DC),而GC的具體優點為何呢(印象中GC是存放個資源的基本訊息,對於網域內資源查詢的速度上會有所幫助) ? 若我在一個網域內有兩個以上站台,每個站台內有兩個以上DC,有辦法在每個站台內挑選一部DC做到類似GC的功能嗎(想加快驗證或查詢速度,有必要嗎??)
4.站台複寫傳輸方式有 IP、SMTP、RPC,這三種方式各有何優缺點 ? 在什麼時機下可以運用呢 ? (同站台內自動建立的複寫都是用RPC..可以將它改為IP嗎)
5.在書上看到不同站台間的複寫,為了節省頻寬,在傳輸時會"壓縮"資料,這對於同站台內複寫的比較上有何差異呢??
以上請教各位大大 > <
1.有人說網域是邏輯分組,站台是實體分組,這是什麼意思 = =? 可以具體說明一下嗎 ?
2.相同站台內的DC"會自動建立複寫連線",不同站台間的DC"需手動建立複寫連線",有建立的原則嗎 ? 什麼樣的狀況下不同站台間的DC "不要" 建立連線呢?
3.一個網域內最多只能有一個GC(通用類別DC),而GC的具體優點為何呢(印象中GC是存放個資源的基本訊息,對於網域內資源查詢的速度上會有所幫助) ? 若我在一個網域內有兩個以上站台,每個站台內有兩個以上DC,有辦法在每個站台內挑選一部DC做到類似GC的功能嗎(想加快驗證或查詢速度,有必要嗎??)
4.站台複寫傳輸方式有 IP、SMTP、RPC,這三種方式各有何優缺點 ? 在什麼時機下可以運用呢 ? (同站台內自動建立的複寫都是用RPC..可以將它改為IP嗎)
5.在書上看到不同站台間的複寫,為了節省頻寬,在傳輸時會"壓縮"資料,這對於同站台內複寫的比較上有何差異呢??
以上請教各位大大 > <
- 7月 27 週二 201011:23
備份、還原Active Directory
如果公司用的 AD 哪一天突然掛了,造成服務停擺那就慘了
我們可使用內建的 NtBackup 來作完整的資料備份
1. 開始 / 執行 輸入 ntbackup
或是到 附屬應用程式 / 系統工具 / 製作備份
備份 AD 設定:
利用手動方式選取想要備份的資料種類,在「System State」的項目之下,就可以看到一個「Active Directory」的備份選項。
選擇儲存位置
點選進階可進行備份類型的選擇
一開始採用標準備份,日後隨著檔案的增加可改用差異性備份或其它方式。
標準-備份選取的檔案並標記為已備份
複製-備份選取的檔案但不標記
增量-只備份新增和修改不標記
差異-以上次標準或增量備份為基準,備份新增和修改不標記
每日-複製選取的檔案和有修改的部份,不標記
月黑風高的夜晚是備份的最佳時機
都設定好即可開始備份
還原AD設定:
當 AD Server 掛點後,拿出事先準備的備用 AD 設定成先前相同網域名稱,並
加以確認 Windows 伺服器已升級成為 Active Directory 的角色
由於還原工作必須在安全模式下才能夠進行
按 F8 進入安全模式,選擇「目錄還原 模式」(AD專用的安全模式)
將先前製作的備份檔透過「製作備份」工具還原到系統
點選進階選擇還原位置,接下來就等著看還原是否成功囉!
- 7月 27 週二 201011:21
備份、還原 Active Directory及DNS(AD整合區)
如果公司用的 AD 哪一天突然掛了,造成服務停擺那就慘了
我們可使用內建的 NtBackup 來作完整的資料備份
1. 開始 / 執行 輸入 ntbackup
或是到 附屬應用程式 / 系統工具 / 製作備份
大綜 (8)