2012年9月23日 星期日

初探 Windows Server 2012 新功能 (Windows Server 2012 new features)

2012年9月4日微軟公司推出了新一代的Windows伺服器作業系統,用以取代先前的Windows Server 2008 R2,為了了解微軟這個最新的WIndows伺服器平台到底新增或加強了那些功能

,作者利用數天時間將大部份感興趣的角色、功能與服務執行了一次後,把值得IT人員留意的加強功能撰寫下來成為本文,希望對於那些想要了解Windows Server 2012新功能的IT人員有所助益 ,不過由於是初次探索這個新的伺服器作業系統後所撰寫的介紹文,因此可能還有不少遺漏及未盡完備詳盡之處,日後若有閒暇時間再來針對較進階的服務或逐步設定撰寫新文以茲補充。

壹. 新使用者介面

安裝Windows Server 2012 後初次登入時,仍然在會看到傳統桌面並會自動啟動『伺服器管理員』,只不過如同Windows 8 的傳統桌面一般已經看不到開始功能表了,大部份的管理工作均需藉由伺服器管理員完成,雖然預設安裝提供了開始畫面的磚式UI,但並非登入後的預設畫面,也無Modern UI應用程式,因此若您希望Windows Server 2012可以如同Windows 8一般的開始畫面,亦即每次登入後即是Windows 8風格的開始畫面(Start Screen),並且以磚式 Modern UI做為系統啟動介面取代傳統桌面,另一方面,也希望可以使用市集、Windows Media Play等Modern UI應用程式,則您還需要額外安裝『桌面體驗』這項功能才能讓Windows Server 2012具有Windows 8風格的Moern UI體驗,日後管理人員亦可以利用視窗按鍵 (Windows Key)、使用桌面磚和左下角圖示或是利用 Charms選單內的開始按鈕等三種方式之一在Modern UI和傳統工作列介面上來回切換。

win2012gui4A

由於Windows Server 2012與Windwos 8一般已經移除了開始功能表,所以初接觸者大多找不到關機或重新開機的按鈕,Windows Server 2012 有三種較簡單的關機方式:

  1. 使用右側工具列(Charm Bar)關機
    • 將滑鼠指標移至螢幕最右下角(無需按鍵),待出現側邊工具列後,按一下最下方的【設定】圖示,然後於【設定】側邊工具選按【開啟/關閉】,最後依需要選取『關機』或『重新啟動』即可。
    • 利用快速鍵按【Windows鍵+c】 來啟動邊工具列或更方便的以【Windows鍵+ i】鍵來直接開啟【設定】側邊工具再關機。
      charms3
  2. 使用 stop-computer 或 restart-computer cmdlet
    啟動 Windows PowerShell,然後輸入stop或restart後,再按【TAB】鍵,Powshell會自動在後面加上 "-computer"而形成 stop-computer或restart-computer cmdlet,再按一下ENTER即可關機或重新開機。
    stop_computer
  3. Windows Server 2012中仍保留原來的shutdown命令,您可以下達shutdown加上適當參數或使用"shutdown –i"以圖形介面方式來關機。

可輕易切換不同的使用者介面

雖然與前版一樣,安裝Windows Server 2012時,您可以選擇 Server Core或GUI二種安裝介面,但Windows Server 2012新增了一項『最精簡伺服器 (Minimal Server )』介面,允許您在Server Core中執行圖形介面管理工作,擺脫了Server Core 純命令列管理的不便, 更重要的是:Server Core 、最精簡伺服器與完整圖形介面之間只需要透過 install-windowsfeature和uninstall-windowsfeature cmdlet或新增/移除角色及功能精靈程式即可自由的切換,相當靈活彈性。

貳. 改進與加強的管理工具

Windows Server 2012加強並改進了原來Windwos Server 2008 R2的管理工具,其中最重要的工具自然是【伺服器管理員】和【工作管理員】。

伺服器管理員

重新設計的新版【伺服器管理員】採Windows 8的磚式風格,而更貼近PowerShell的執行方式,更適合遠端管理的機制,新增了重要的功能與特性:

  • 儀表板 (dashboard):當伺服器管理員開啟時,會顯示「儀表板」頁面,儀表板提供的 [歡迎使用] 磚以協助使用者在伺服器管理員中執行一般工作,其內容包含角色與伺服器群組操作狀態的快速檢視,而儀表板上的單一「縮圖」則顯示了每個已安裝的伺服器角色目前的狀態。
    dashboard
  • 伺服器集區(server pool)與伺服器群組 (Servers Groups):Windows Server 2012的伺服器管理員允許在單一主控台上就可以管理眾多遠端伺服器,作法是將需要管理的遠端電腦加入伺服器集區,若有必需還可以透過伺服器群組來將集區內的相關電腦形成一個邏輯管理子單位以方便分層維護管理,而伺服器群組 也會出現在儀表板上的縮圖。
  • 新增角色與功能由單一精靈程式完成,不再像前版一樣以不同的精靈程式分別安裝角色與功能。
  • 整合其它管理工具
    伺服器管理員在單一介面上整合了管本機與遠端電腦所需的一切工具,IT人員可以在此介面上,隨著管理上的需求輕鬆的在介面上直接啟用其它管理工具,例如遠端桌面、PowerShell和已安裝角色功能的任何服務管理主控台,方便性與整合性更甚以往,再也不必像前版一般需要在不同的介面選項啟用不同的管理工具。
    servermanager3

新版的工作管理員(Task Manager)

Windows Server 2012與Windows 8一樣均採用一個新介面新版的工作管理員(taskmgr),它支援了簡易與詳細二種介面,預設的簡易介面只會顯示應用程式並讓您結束它,而另一個詳細介面則新增了應用程式歷程記錄與啟動等功能。

taskmanager2


新工作管員新增的功能包括開啟應用程式檔案位置,可檢視服務主機處理程序(service host process )執行內涵,可除錯應用程式,一目瞭然的效能資訊,這些功能可協助IT人員刪除有問題的處理程序,效能診斷與調校和找出惡意程式。

taskmgr

參. PowerShell 3.0:更佳的指令執行環境

Windows Server 2012支援PowerShell 3.0,並提供了超過2000個cmdlets,比較起前版的Windows Server 2008 R2只支援 230cmdlets,顯然得Windows Server 2012提供了一個完備的命令指令執行環境,幾乎所有角色服務的設定與維護工作均可利用命令列指令來完成,這將大幅強化了Windows Server 2012的排程、自動化與程式化管理維護能力,這項加強功能將影響深遠,除了讓更多IT人員願意採用Server Core執行環境,還讓Windows Server 2012更適合在雲端運算環境下進行各項管理維護工作。

ps

肆. IP Address Management (IPAM)

在大型網路環境下,IP位址的配置、管理維護與診斷、追蹤與稽核一向是個煩雜的難題,而Windows Server 2012新增的IP 位址管理(IPAM)功能正可用來解決IP位址基礎架構的各種管理問題,因為IPAM提供了分散或集中的方式來探索、監控、管理與稽核企業組織網路的IP位址空間架構。

IPAM有四個主要的功能模組:

  • 自動 IP 位址基礎結構探索(IPAM discovery):IPAM 探索透過 Active Directory 目錄服務來探查網路基礎結構伺服器,列舉出已安裝的 DNS 伺服器、DHCP 伺服器和網域控制站和網路原則伺服器,做為日後管理控制IP的基礎範圍。
  • IP 位址空間管理(IP address space management):IPAM 位址空間管理 (ASM) 功能可以提供網路上有效率地檢視、監視及管理 IP 位址空間的能力。
  • 多伺服器管理與監視 (Multi-server management and monitoring):IPAM 可以讓系統管理員從集中式主控台監視和管理散佈在各個區域的多個 DHCP 伺服器,並監視多個 DNS 伺服器,亦即IPAM可以顯示所有授權 DNS 伺服器的區域彙總狀態,監視位於多個 DNS 伺服器上的 DNS 區域健康情況並且追蹤網路上 DNS 和 DHCP 伺服器的服務狀態。
  • 稽核與追蹤 IP 位址:IPAM的稽核工具可追蹤 IP 基礎結構伺服器上的潛在設定問題,包括IP 位址租用和使用者登入的歷程記錄追蹤、追蹤與 MAC 位址、使用者名稱、主機名稱及其他參數相互關聯的IP位址活動,這對IP位址異常使用與安全性追蹤極有幫助。

下圖為網域內一部成員伺服器上安裝IPAM功能的畫面(不能安裝在網域控制站上)。

ipam

透過伺服器管理員工具並利用精靈程式可快速完成IPAM佈建工作,日後即能夠方便的探索、監控、管理與稽核IP相關問題。

ipam5

 

伍. 儲存服務的加強與改良

微軟持續加強檔案與儲存服務的各項功能,讓Windows Server 2012更能夠適用於雲端運算環境,因而大幅提升儲存虛擬化的需求應用,支援更有彈性、效率和更大的儲存空間,下列為新版的儲存服務新增與加強的功能:

  • 磁碟虛擬化技術:儲存空間(Storage Spaces)與虛擬磁碟
  • iSCSI 目標 (iSCSI Target)
  • 新的檔案系統-ReFS
  • 刪除重複資料 (Data Deduplication)
  • 使用伺服器管理員集中管理本機和遠端電腦的所有檔案和儲存服務
  • 完整的PowerShell cmdlet支援
下圖則說明了Windows Server 2012儲存服務虛擬化下的存放結構:

storage

(一)儲存空間(Storage Spaces)與虛擬磁碟(Virtual Disk)

因應雲端運算環境所需的儲存虛擬化需求,微軟在Windows Server 2012與Windows 8同步推出了儲存虛擬化技術:

  • 儲存空間(Storage Spaces):可將數個實體磁碟機(Physical Disks)組織成存放集區(Storage Pool),日後可新增實體磁碟機來不斷的擴充存放集區,而且建立存放集區的硬碟允許是由不同類型的硬碟 (USB、SATA、SAS)和不同大小的硬碟組成,相當具有彈性,接下來可利用存放集區來建立儲存空間,儲存空間可為橫跨多個硬碟的虛擬磁碟,此種虛擬化的空間則提供許多的進階功能,例如彈性的使用空間配置及擴充(thin provisioning)以及支援磁碟容錯能力。
    下圖利用伺服器管理員工具的『檔案存放服務』管理儲存空間,首先以二顆磁碟機來建立存放集區,然後再建立二個不同用途的虛擬磁碟並格式化為ReFS磁碟區。
    storagepool3

    storagepool4

    storagepool5

(二) 彈性檔案系統(Resilient File System;ReFS)

彈性檔案系統(Resilient File System;ReFS)為Windows Server 2012新增的檔案系統,正如其名,這個新檔案系統提供了比NTFS更彈性化的功能:

  1. ReFS 支援超長檔案名稱與路徑
    比較起傳統的NTFS檔案系統的255檔案長度與路徑,ReFS可支援至32K(32,768 Unicode字元)長度的路徑與檔名,顯得超長的彈性。
  2. ReFS可支援超大磁碟區
    NTFS可支援最大磁碟區為16 Exabytes,已相當夠用,但 ReFS格式化可支援16KB叢集大小的256ZB(262,144 Exabytes)超大磁碟區。
  3. 新的儲存結構與寫入機制提升可靠性
    ReFS採用B+樹狀結構存放Metadata與資料,改用Allocation-on-Write的存取機制 (類似Copy-on-write架構),更新或異動的資料將被寫到檔案系統上空的區塊位置,而不會覆蓋既有已寫入資料的區塊,藉此可改善資料完整性(integrity),避免意外作業中斷時,需耗費冗長時間來進行檔案系統檢查與修復的問題。
    此外,所有metadata都含有64位元checksums資訊,並採用新的完整性工具取代以前的chkdsk來執行磁碟掃描與修復作業。
  4. 若將ReFS整合儲存空間的鏡像功能可自動錯誤更正。

不過目前版本的ReFS有一些使用上的限制:

  • ReFS無法做為開機磁碟區,所以Windows Server 2012系統,仍然必須合併使用NTFS與ReFS兩種檔案系統,並以NTFS檔案系統磁碟區來開機。
  • ReFS不支援於行動式儲存裝置(外接硬碟或USB隨身碟)。

  • 不支援NTFS的某些功能:延伸屬性,檔案壓縮、磁碟配額、加密型檔案系統(EFS)與硬連結。

  • 您無法直接將NTFS轉換為ReFS

  • 不支援重複資料刪除(deduplication)功能。

  • 不支援可寫入的快照(snapshots )或大於64TB大小的快照。

雖然這些限制可能會影響到管理員使用的意願,但在可預期的未來版本,微軟對於這些限制應可逐漸解除。

下圖為建立磁碟區並於格式化時選擇了ReFS檔案系統。

refs00

(三) iSCSI目標

2003 年由IETF整合了SCSI與IP的技術所制定的通訊協定 (SCSI over IP) ,讓遠端儲存裝置可以直接透過TCP/IP網路以SCSI的區塊I/O方式存取,用戶電腦使用起來就如同本機SCSI裝置一般簡單,加以直接架設在現有IP架構上,無須另外建置網路,節省成本,因此iSCSI可謂提供了一個低成本的光纖通道SAN的替代方案 (IP SAN vs. FC SAN) ,微軟在Windows Server 2008 R2與Windows 7支援了iSCSI啟動器 (用戶端),而iSCSI目標伺服器卻由需要額外付費的Windows Storage Server提供,所以往在Windows平台上若需要架設iSCSI目標伺服器,大多須要使用Windows Storage Server或購買其它產品 (例如 StarWind iSCSI Server)著實不方便,2011年4月微軟終於支援可由其網站免費下載取得iSCSI目標軟體於Windows Server 2008 R2上使用,現在Windows Server 2012則更進一步直接內建提供了iSCSI目標伺服器功能,讓Windows Server 2012可方便的建置成為一個低成本又高效率的儲存架構平台。

下圖為利用伺服器管理員工具安裝iSCSI目標相關服務。

iscsi00

下圖則是一連串建立iSCSI目標虛擬磁碟的步驟與過程。

 iscsi

(四) 刪除重複資料 (Data Deduplication)

近年來雖然磁碟的單位儲存成本已經越來越低,但許多企業組織的資料膨脹速度卻遠超出當初規劃的預期,而導致儲存空間不足和備份上的困擾,而刪除重複資料 (Data Deduplication)這項技術近年來於備份領域已被廣泛採用來降低備份的時間和耗費的空間,新版的Windows Server 2012作業系統也開始支援這項熱門技術,期望在大量儲存資料的磁碟區上可以有效的降低空間的耗費並有助於提升備份的效率。
使用這項重複資料刪除功能很簡易,只要先安裝此項功能,然後再於磁碟區上啟用即可。
下圖為安裝『刪除重複資料』 功能的畫面。

decup

接下來在現存的磁碟區(Volume)右鍵功能表選取『設定重複資料刪除』選項以啟用此項功能並設定排程方式。

decup1

不過使用重複資料刪除技術有些特性和限制值得留意:

  • 目前只有Windows Server 2012才支援。
  • 以每一磁碟區(Volume)為啟用單位。
  • 不支援啟動或系統磁碟區。
  • 需要使用NTFS檔案系統,不支援ReFS檔案系統。
  • 無法應用於加密的檔案、小於64KB的檔案或有延伸屬性的檔案。
  • 磁碟區必須在 Windows 中顯示為非卸除式磁碟機。
  • 不支援遠端對應磁碟機。

陸. 網路介面小組 (NIC Teaming)

網路小組 (有時又稱為Network Bonding、Link aggregation 、trunking )是一種將多個網路連線、網卡或連線埠整合成單一邏輯連線的技術,目的在於提升網路流通量(throughput)、負載平衡(load balance)與容錯(fault tolerance)能力。

nicteaming1

這項在Linux系統上早已存在多年的技術,微軟終於在Windows Server 2012 推出了,這項功能不僅針對實體電腦網路的流通量和容錯能力有幫助,對於虛擬機器的網路效能和容錯亦具有同樣效果。

nic team

 

啟用 Windows SErver 2012網路介面小組功能非簡單,只需要從伺服器管理員內的本機伺服器中,按一下『NIC小組』以開啟NIC小組設定視窗(或直接執行 "lbfoadmin.exe"),然後新增NIC小組(輸入名稱、選取介面並設定參數),最後檢查確認所建立的NIC小組是否正常作用中。

setupnicteam1

setupnicteam2

setupnicteam3

 

柒. Active Directory 網域服務

Active Directory目錄服務長久來一向為Windows伺服器上最核心而關鍵的服務,因為IT人員透過Active Directory目錄可以提供高彈性網路管理環境(使用群組原則和委派管理)、支援單一登入 (single Sign On) 並提升網路安全性,而Windows Server 2012的Active Directory並非重大的架構或功能上的變更與加強,主要的提升與加強之處如下:

(一)  利用伺服器管理員或PowerShell建立網域控制站(不再支援dcpromo)

Windows Server 2012移除了自從Windows 2000 Server後即採用來建立Active Directory的Active Directory安裝精靈程式 (dcpromo.exe),目前新增網域控制站需直接經由『伺服器管理員 (Server Manager)』或以PowerShell cmdlet 二種方式之一,但不論採用何種方式,均要經由安裝AD網域服務和設定為網域控制站組態二個階段。

  1. 使用【伺服器管理員】
    從伺服器管理員的【新增角色及功能精靈】程式安裝『Active Directory網域服務』之後,再執行『Active Directory網域服務設定精靈』程式來設定新增網域控制站所需要的組態,最後精靈程式檢查先決條件無誤後完成設定並重新機新增網域控制站,其中值得留意的新增步驟為『先決條件檢查』用以檢查設定的各項條件是否符合以確保下一步驟的安裝可以順利完成。
    ad1

一旦安裝成功,您將被提示將本機升級為網域控制站,因只需利用【伺服器管理員】的【通知à部署後設定】按一下提示連結即可啟動【Active Directory網域服務設定精靈】。

ad2

ad3

  1. 使用【powershell】
    採用 Powershell cmdlet新增網域控制站需要先執行Add-WindowsFeature來安裝Active Directory網域服務
        Add-WindowsFeature -name ad-domain-services -IncludeManagementTools
    接下來,再利用 Install-ADDSDomainController、Install-ADDSDomain、Install-ADDSForest 等cmdlet來新增網域控制站,例如下列指令示範如何利用Powershell建立的新樹系的第一部網域控制站:
       
    Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath 'C:\Windows\NTDS' -DomainMode 'Win2012' -DomainName 'lij.local' -DomainNetbiosName 'lij' -ForestMode 'Win2012' -InstallDns:$true -LogPath 'C:\Windows\NTDS' -NoRebootOnCompletion:$true -SysvolPath 'C:\Windows\SYSVOL' -Force:$true

(二) 加強虛擬化支援

Windows Server 2012的Active Directory加強了對虛擬化的支援能力,包括了:

  • 允許透過拷貝虛擬網域控制站的方式來部署一部新的複本網域控制站,如此將可以加速並簡化建立額外的複本網域控制站。
  • 較安全的網域控制站執行環境
    以往將網域控制站安裝在虛擬機器內,若使用快照功能將網域控制站的虛擬機器回復至過去某個時點的狀態時,由於USN rollback,可能會引發一些複製問題或其它不可預期異常現象,Windows Server 2012 Hypervisor新增了一個128位元值的VM-GenerationID 值,代表VM目前的狀態,當您初始安裝一部域控制站時,會自動拷貝這個值存放在電腦物件的 msDS-GenerationID 屬性內,另一方便一旦管理人員有套用快照或執行映像還原時,Hypervisor會變更這個值,所以每次虛擬網域控制站開機時,會比較存在記憶體的ID值與Active Directory的屬性值,若發現不同時,則表示已被快照,則會採用一些機制來避免USN Rollback。

要使用這些加強的虛擬化功能,您使用的 hypervisor平台必需支援 VM-Generation ID功能 (例如 Windows Server 2012 Hyper-V)。

(三). 提供圖形介面管理Active Directory 資源回收筒

微軟從 Windows Server 2008 R2起開始支援一種Active Directory資源回收筒功能,允許直接回復不慎刪除的AD物件,不過命令列的管理操作方式卻不易使用,因為需要利用Enable-ADOptionalFeature啟用Active Directory資源回收筒功能,回復物件時亦需使用 Get-ADObject and Restore-ADObject命令,這些cmdlet指令冗長又不易記憶,使用起來相當不便,Windows Server 2012則可以透過【Active Directory管理中心】以圖形介面的方式來啟用並回復Active Directory物件,大幅降低先前版本使用cmdlet的不方便性。

recyclebin0

(四)提供簡化的圖形介面設定細緻化的密碼原則

Windows Server 2008 的Active Directory網域環境提供了一個更細緻的密碼原則(Fine-Grained Password Policies)功能,允許管理人員針對網域內的不同使用者或群組設定不一樣的密碼原則與鎖定原則,但管理設定上相當麻煩,因為您需要使用【ADSI編輯器(Adsiedit.msc)】來建立與設定『密碼設定物件(Password Settings objects;PSO)』,這個設定介面並不友善且容易錯誤,Windows Server 2012 則可以直接利用【Active Directory管理中心】工具來大幅簡化整個更細緻的密碼原則的設定工作。

grainpasswd

grainpasswd1

(五)加強的群組原則

群組原則一向是Active Directory目錄服務下最重要的管理利器,因為它可以讓管理人員透過一次的設定指派,就把相同的工作環境組態強制套用在一群使用者或機器上。Windows Server 2012對於這項管理利器也做了小幅度的改進與加強:

  • 遠端群組原則更新:以往管理人員變更了群組原則組態之後,用戶端電腦如果需要立即套用這些新的設定使其生效,需要手動在用戶端電腦上執行 gpupdate命令,現在透過群組原則管理主控台的組織單位右鍵功能表可以遠端替用戶戶端自動重新整理群組原則設定。
    gpupdate
  • 新增群組原則基礎結構狀態資料:群組原則管理主控台內於網域物件新增了顯示與群組原則相關的 Active Directory 和 SYSVOL 複寫狀態。
    gpupdate1
  • 改進的群組原則結果報告:新版的群組原則結果報告提供比前版更多有用的診斷資訊,例如在『詳細資料』標籤內的『元件狀態』顯示上一次重新整理時的事件記錄訊息,按一下『檢視記錄檔』連結即可看到群組原則發生的每個過程(等同 GPLogview.exe工具所傳回的結果 )。
    gpupdate4

(六) 動態存取控制 (Dynamic Access Control)

網域動態存取控制這項新增的安全性機制讓系統管理員能夠根據預先明確定義的規則套用存取控制權限與限制,這些規則可能包含資源的敏感度、使用者的工作角色,以及用來存取這些資源的裝置設定。例如,某使用者由辦公室電腦存取資源時和他透過虛擬私人網路使用行動式電腦存取時,可能會有不同的使用權限。或者使用的設備符合網公司所規定的安全性需求時才允許存取。所以相同的存取主體(使用者)的工作或角色變更或使用的網路設備不同時,結果將會導致對於使用者帳戶屬性的變更,因而使用者的資源存取權限也會隨之動態變更,而不需系統管理員的額外介入或變更設定,這即是所謂的動態存取控制機制。
Windows Server 2012的動態存取控制若搭配Active Directory Right Management Service將可提升Active Directory 目錄環境下的安全性。

下圖為利用『Active Directory 管理中心』建立DAC所需要的集中存取原則與規則。
dac6

(七) Windows PowerShell 歷程記錄檢視器

『Active Directory管理中心』是建立在 Windows PowerShell 之上的圖形使用者介面工具,為了方便管理人員學習與了解PowerShell指令, Windows Server 2012的系統管理員可以在『Active Directory管理中心』中使用 Windows PowerShell 歷程記錄檢視器,來檢視並了解曾經在『Active Directory管理中心』中執行過的工作所對應的 Windows PowerShell Cmdlet。

historyps

 

(八) Active Directory-Based Activation (ADBA)

透過下載的Volume Activation Management Tool (VAMT)工具內的Active Directory-Based Activation (ADBA)功能可以經由網際網路啟動Active Directory樹系,並讓Windows 8的網域電腦自動啟動,不過您需要在Active Directory樹系安裝KMS Host keys (customer-specific volume license key;CSVLKs)並且在用戶端電腦安裝GVLKs。

這項Active Directory 型啟用方式可以讓執行 Windows 8 或 Windows Server 2012 的任何電腦,如果包含一般大量授權金鑰 (GVLK) 並且連線到網域,都將自動且明確地啟用,而且只要它們仍是網域的成員且定期與網域控制站連絡,就會維持啟用,因此它不需要使用者介入就會啟用,大幅的簡化維護網路大量啟用服務的工作。

(九)網際網路上的電腦可以經由DirectAccess方式加入網域(Domain Join via DirectAccess)

(十) 使用 Windows PowerShell 執行 Active Directory 拓撲、站台與複寫管理

Windows Server 2012 的Active Directory 支援一群Windows PowerShell cmdlet來進行複寫和拓撲管理,包括了:

  • Get-ADReplicationSite:檢視Active Directory站台
  • New-ADReplicationSite :新增站台。
  • New-ADReplicationSiteLink:建立新的站台連結。
  • Set-ADReplicationSiteLink: 設定站台連結成本與複寫頻率。
  • Get-ADDomainController:將網域控制站搬移到其他站台。
  • Get-ADReplicationUpToDatenessVectorTable:檢視單一網域控制站的最新向量表格。
  • Get-ADReplicationUpToDatenessVectorTable:檢視網域中所有網域控制站的最新向量表格。

捌. Hyper-V

虛擬化技術一向是雲端運算基礎架構即服務(IaaS)的核心技術,微軟為了讓Hyper-V更適合做為多租戶(multi-tenant)用途的雲端環境虛擬化技術,所以Windows Server 2012的Hyper-V除了加強了效能、延展性(Scalability)、高性的儲存能力、即時移轉與持續運作能力,還提供了資源計量功能,這些加強功能將讓Hyper-V邁向了雲端運算環境之列。

Windows Server 2012的Hyper-V虛擬角色加強的功能簡述如下:

(一) Windows PowerShell 的 Hyper-V 模組

新版的 Windows PowerShell Hyper-V 模組包含了超過 160 個 Cmdlet 來管理 Hyper-V、虛擬機器和虛擬硬碟。所以幾乎所有 Windows Server 2012的Hyper-V 管理工具均可以透過命令列方式來進行。這加強了Hyper-V3.0自動化作業和管理大量虛擬機器的能力。
hv-ps

(二) Hyper-V 複寫機制 (Hyper-V replica)

新版的Hyper-V允許您建立虛擬機器的複本,將虛擬機器設定為複寫到另一部執行 Hyper-V 的伺服器,並透過記錄檔維護複本的非同步一致性,這項功能提供了一個簡易而低成本的虛擬機器持續運作和災變復原的解決方案。
replica

(三) 支援SMB2 共用資料夾上的存放區

Hyper-V 現在支援使用 SMB2 檔案共用來提供虛擬機器存放區,這項功能提升了Hyper-V虛擬器存放的彈性並降低存放成本,雖然SMB共用和光纖SAN與iSCSI相較起來比較容易設定,但它易於受到區域網域頻寬影響、不支援舊版的SMB,所以僅建議在小規模網路環境下使用。

(四) 即時虛擬硬碟移轉 (Live Storage Migration)

將虛擬機器所使用的虛擬硬碟移至其他實體儲存區,仍能保持虛擬機器持續運作不會中斷服務,換言之,您不再需要讓虛擬機器離線,就可以移動、維護或升級基本的實體存放區。這項新功能可讓您更容易與更彈性的管理虛擬機器實體儲存子系統。

(五) 虛擬光纖通道(Virtual Fiber Channel)

虛擬機器中的客體作業系統,現在可直接連線到「光纖通道」儲存區,這讓虛擬機器也可以直接使用快速、昂貴的光纖儲存區域網路(Storage Area Network;SAN) 架構下的儲存裝置,這項功能對於需要高效能SAN儲存裝置支援的檔案伺服器、備份伺服器或叢集伺服器虛擬化應有相當正面的助益。
fiberchannel

(六) 改進的動態記憶體(Improvements in Dynamic Memory)

Windows Server 2008 R2 SP1首次推出了Hyper-V動態記憶體的概念,Windows Server 2012更進一步增強的動態記憶體功能,包括了設定記憶體下限以及「智慧型分頁處理」的支援。因此記憶體資源可以更有效率地配置到虛擬機器,而讓您在單一實體電腦上同時執行更多虛擬機器。
下圖說明了Hyper-V 2.0與 Hyper-V 3.0 動態記憶體的改進,Hyper-V 2.0的虛擬機器啟動的記憶體即是最低記憶體,亦即虛擬機器總是啟動在最低可用記憶體,Hyper-V 3.0則進一步區分了最低記憶體和啟動記憶體,閒置的虛擬機器可能耗費比啟動時更少的記憶體。
hvdynamem

(七) 提升延展性(Scalability)

建立Windows Server 2008 R2的Hyper-V伺服器主機可支援64個邏輯處理器和1TB的實體記憶體,而每部虛擬機器則是可支援最多4個虛擬處理器和64GB的記憶體大小,為了讓更多企業的關鍵業務伺服器可以虛擬化運作,執行 Windows Server 2012  Hyper-V3.0 的電腦現在可設定多達 320 個邏輯處理器和 4 TB 的記憶體,而每部虛擬機器亦可使用最多 64 個虛擬處理器和 1 TB 的記憶體,若是安裝在容錯移轉叢集,則可在叢集內使用高達64個節點及4000個虛擬機器,大幅提升需擬機器硬體支援的延展性,更有利於大型規模的關鍵業務伺服器導入虛擬化技術

(八) 資源耗費計量(Resource metering)

新版的Hyper-V可以追蹤和收集特定虛擬機器所用之處理器、記憶體、存放區和網路使用量的相關資料,以便讓您做為收費或重新配置調整資源的基礎。

(九) 改進的即時移轉(Improved Live Migration)

Hyper-V 3.0的即時移轉不再需要設定容錯移轉叢集和叢集共用磁碟區,亦即它允許在非叢集環境下執行即時移轉,即使存放區是在中央 SMB 共用或是位於本機亦可即時移轉,此外,它也可以同時執行一個以上的即時移轉,換言之,新版的即時移轉可支援並行移轉,亦即支援多部虛擬機器同時即時移轉,不像先前的版本一次只能移轉一個虛擬機器,這對高頻寬和高磁碟效能的網路環境下將可顯著的縮短移轉時間。

livemigration

(十) 支援虛擬 NUMA (Non-Uniform Memory Access)

現在Hyper-V虛擬機器中的客體作業系統可以使用虛擬 NUMA 拓撲架構,而這項虛擬 NUMA 功能可以讓虛擬機器中所執行的客體作業系統以及 NUMA 感知應用程式(例如 SQL 伺服器)在排程執行緒或配置記憶體時考慮以NUMA 方式來提升效能,以便達到效能最佳化目的。

(十一) 新的虛擬硬碟格式

新的虛擬硬碟格式 (VHDX取代VHD) 支援了多達 64 TB 的存放空間,VHDX也可以針對停電造成的損毀提供內建保護,同時防止某些大型磁區實體磁碟出現效能降低的情形,所以與前版的VHD檔案格式相較起來,VHDX不僅提升每個虛擬硬碟的存放大小上限,同時也改進這些磁碟的穩定性和效率。

(十二) 可擴展的虛擬交換器(Extensible Virtual Switch )

新版的Hyper-V虛擬交換器結構提供了開放的架構,讓協力廠商可以在虛擬交換器中加入新的功能。這項變更可讓 Microsoft 協力廠商可藉由在虛擬交換器中加入新功能 (例如連接埠監控(monitor)/鏡像(mirror)、Trunking、轉送和篩選) 來延伸虛擬交換器的功能。

(十三) 支援 Single Root I/O Virtualization (SR-IOV)

SR-IOV為PCI-SIG的標準,允許PCIe的輸入/輸出裝置以多個實體和虛擬裝置呈現。使用 SR-IOV 可最大化網路傳輸量,同時將網路延遲與處理網路流量所需的 CPU 額外負荷降至最低

,因此您可以提供可直接連線到實體網路介面卡的虛擬機器,Hyper-V 將透過SR-IOV可讓虛擬伺服器的I/O達成最佳化。

virtual switch

(十四) 改進的虛擬機器快照功能

新版的Hyper-V讓您一旦刪除虛擬機器快照之後,原先快照所耗用的存放空間立即可供使用,而且虛擬機器也會維持在運作中,所以對管理人員而言,不再需要先關機、關閉虛擬機器或將虛擬機器設為已儲存狀態就能復原原先使用的存放空間。

(十五) 簡化Hyper-V管理授權

Windows Server 2012 新增了"Hyper-V Administrators" 群組,對於 Hyper-V 所有功能具有完整和不受限制的存取權限,因此只要將使用者新增至此群組而非本機 Administrators 群組,就可提供使用者對 Hyper-V 的管理權限。

玖. IIS 8.0

Windows Server 2012內建IIS 8,比較起版IIS 7.5 新增並加強了下列功能:

(一) 應用程式集區的 CPU Throttle

為了避免單一應用程式可能用掉過多CPU資源而影響到其它應用程式的執行,您可以針對應用程式集區設定CPU Throttle,限制應用程式的CPU耗費總是在某個限度以下(Throttle)或是只有在太多應用程式搶用CPU資源的競爭情況下,才開始限制CPU的使用比率(ThrottleUnderLoad)。

cputhrottle

(二)動態IP位址限制 (Dynamic IP Address Restriction)

這項功能可讓您封鎖超出特定數量請求數的用戶端,並且可以設定封鎖時執行某些工作,此外,您還可以啟用代理式(proxy mode)來檢視HTTP標頭的 x-forwarded-for以判斷是否鎖此請求。

dynamiciprestrict

(三)支援 SNI / SSL 主機標頭( Host Header)

Server Name Indication (SNI)是一種新的TLS擴充交涉方式,它讓客戶端與伺服器端進行TLS協議交涉的時候,客戶端可以多送出一個目前想要存取的伺服器網域的資訊,以便伺服器收到這個訊息之後,可以選擇重新送出相對應的SSL憑證。這個方式可以解決困擾已久的主機標頭為基礎的虛擬網站無法和SSL合併使用的問題。

(四) 集中憑證存放 (Central Certificate Store;CCS)

這項新功能允許管理員將憑證集中儲存在網路共用目錄下,將這項CCS整合SNI功能將可讓單一IP位址且建立許多SSL網站的IIS伺服器可以大幅簡化憑證的使用、管理與維護,特別在 web farm的環境下,SSL憑證的管理使用將容易許多。

(五)支援多核心的 Non-Uniform-Memory-Access (NUMA)最佳化

IIS 8為NUMA感知服務軟體,工作處理序啟動時可以採用用二種最佳NUMA節點方式-最多可用記憶體(Most Available Memory)和由Windows作系統以round-robin決定。下圖將應用程式集區的工作處理序數上限設定為0時,就可以啟用NUMA。

NUMA

(六).新版的 NET Framework

Windows Server 2012預設上包含了 .NET framework 4.5的安裝,也選擇性的提供了 .NET framework 3.5

(七) FTP登入限制

當ftp使用者企圖登入失敗到達一定數目後,可以封鎖其IP一段時間。

ftploginfailed

拾. 強化的列印服務

Windows Server 2012 也加強了印表機的列印服務,主要的加強功能為:

■ 支援新版的類型四印表機驅動程式模式

相較於前版使用的類型三驅動程式架構,它強化了即點和列印(Enhanced Point and print)功能,讓印表機伺服器上不再需要安裝各種跨平台的驅動程式,亦不再為驅動程式發送點。


■ 分公司直接列印 (Branch Office Direct Printing;BODP)

Windows 8/Windows Server 2012的分公司直接列印功能允許列印用戶端直接將列印工作送至印表機設備,不再送至印表機伺服器的佇列,如此不僅可以降低網路頻寬以及列印伺服器的負載量,還能夠於印表機伺服器無法運作或連線時仍然可以繼續列印。 下圖示範了使用『列印管理』主控台與set-printer cmdlet 二種方式來啟用分公司直接列印功能。

prn2

■ 支援PowerShell列印管理模組

可以利用Powershell cmdlet以命令列方式管理印表機。

■ WSD 安全列印 (WSD Secure Printing)

允許Windows Server 2012列印伺服器建立一個與列印設備的安全性通道,因此列印傳送時可避免被中間人的攻擊(man-in-the middle)或竊聽(sniffing),不過這項功能需要有Active Directory環境且列印設備需支援WSD安全列印。

拾壹. 一些網路服務的加強與改進

對於許多資深的Windows IT人員而言,使用多年的基本Windows 網路服務是否加強或改善了功能性是值得留意而期待的,底下針對這些服務的加強與改進提出簡略的說明。

■ 整合性的遠端存取服務 (unified remote access)

Windows Server 2012不再將路由遠端存取服務(RRAS)和網路原則服務(NPS)放在同一個角色內,亦即路由與遠端存取服務和網路原則服務目前是二個分開的服務,至於Windows Server 2012的VPN服務功能與Windows Server 2008 R2一樣,並無太大的不同,仍然支援PPTP、L2TP、SSTP、IKEv2等VPN通道協定,最大的改進在於遠端存取服務目前將這些VPN通道協定與DirectAccess整合在一塊。 並且簡化了Direct Access部署方式,公開金鑰基礎結構(PKI)不再是必要。

rras0

■ DNS 服務

Windows Serevr 2012的DNS角色最主要的加強在於DNSSEC,原本2008 R2的DNS服務業已支援DNSSEC協定以避免偽裝假造,但由於DNSSEC的新標準不斷推出,所以Windows Server 2012也必需支援較新出現的DNSSEC規格與標準,加強的DNS功能如下:

  • Active Directory 整合區域可支援 DNSSEC (Windows SErver 2008 R2的Active Directory整合區域無法支援DNSSEC)。
  • 支援更新的 DNSSEC 標準,包括 NSEC3 和 RSA/SHA-2來驗證簽署記錄。
  • DNSSEC 信賴起點可透過 Active Directory 自動散佈,並且支援 RFC 5011 的自動變換信賴起點。
  • Windows PowerShell 已大幅增強 DNS 設定和管理功能,與使用者介面和 dnscmd.exe 具有相同功能。

使用Windows Server 2008 R2的DNSSEC功能需要使用冗長的dnscmd指令,下圖顯示新版的Windows Server 2012的DNSSEC簽署功能設定可以直接透過圖形介面的『DNS 管理員』來完成與檢視。

dns2

■ DHCP服務

DHCP為許多組織單位架設用來自動配置動態IP和相關組態的重要服務,其功能單純簡單,但重要性卻不可言諭,萬一出了問題無法提供服務恐將造成企業網路連線問題,所以Windows Server 2012最主要的加強在於提供所謂的 "DHCP 容錯移轉(DHCP Failover)"功能。

這個功能能夠讓兩部DHCP伺服器提供IP位址和選項組態給相同的子網路或領域,因此可對用戶端提供持續不中斷服務的 DHCP 服務。而且兩部 DHCP 伺服器會複寫它們之間的租用資訊,當其中一部伺服器無法正常運作時,另一部伺服器將會負責整個子網路中提供配置IP位址的服務。Windows Server 2012的DHCP伺服器支援二種容錯模式--熱待命模式(Hot standby mode)和負載平衡模式(Load sharing mode),下圖利用DHCP主控台設定容錯移轉功能,可選擇採用負載平衡模式(預設)或熱待命模式。

dhcp3

Active Directory 憑證服務

對許多企業組織而言,基於更高安全性的需求而需要部署PKI相關的應用程式與路服務,這時在企網路中架設憑證服務以發行、管理和撤銷憑證就屬必要而重要的工作。Windows Server 2012版的憑證服務與前版的Windows Server 2008 R2差異不大,較值得留意的新增功能有:

  • 憑證服務可以安裝在Server Core
  • 支援第四代憑證範本(不過 Windows 8 與 Windows Server 2012 以前的用戶端將無法使用新的第 4 版憑證範本)。
  • 支援未加入網域電腦的憑證可具有自動更新的能力,強制使用相同的金鑰更新憑證
  • 在管理介面上,已整合在伺服器管理員並提供完整的 Windows PowerShell 方式部署與管理功能
  • 支援國際化網域名稱 (IDN)。
  • 憑證註冊Web服務支援非網域電腦使用既有憑證來更新憑證。
  • 支援加強的RPC 安全性功能,讓CA預設強制用戶端需加密請求憑證以提升安全性
  • 支援以群組金鑰來對憑證和私密金鑰儲存的pfx格式檔案(Group-protected PFX format)加密保護,而非像過往一樣只能對pfx進行密碼保護。
  • Windows Server Backup備份系統狀態資料時將包括CA私密金鑰

adcs

■ 其它

其它網路相關的加強功能著實不少,作者認為影響較大而值得留意的功能還包括:

具有進階安全性的Windows防火牆 新增加  IPsec IKEv2傳輸模式
802.1X有線與無線驗證協定 802.1x EAP 驗證標準協定新增了EAP-TTLS協定的支援,EAP-TTLS (隧道式傳輸層安全性) 為 EAP-TLS 的一種延伸,但與 EAP-TLS 不同的是EAP-TTLS 只需要伺服器端的憑證即可,避免了用戶端憑證部署的不便。
8021x
Windows Server Update Services (WSUS) 企業自動強制提供用戶批准更新的服務變動不大:改用 .NET Framework 4.5 API、支援增強的SHA256 雜湊功能的安全性功能、用戶端與伺服器分開提供 Windows Update Agent (WUA) 版本與 WSUS。
Windows 部署服務(WDS) Windows Server 2012 除了可以將映像部署到 x86 和 x64 架構以外,還可以部署到 ARM 電腦
支援獨立伺服器模式,無需Active Directory即可執行運作
wds1

結語

由於雲端運算時代的來臨,微軟新推出的Windows Server 2012伺服器作業平台也趕搭雲端潮流,新增的功能在廣告或行銷上大多有意無意的強調Windows Server 2012適合做為企業建構私有雲的最佳核心系統,而新增的許多功能也多強調與雲端環境的整合,包括了新的Metro風格的介面,全新設計、單一主控台即可控管所有伺服器的伺服器管理員,大幅加強與無所不在的 PowerShell 3.0及cmdlets已成為未來管理Windows Server的主要利器,Hyper-V的虛擬化強化能力,遠端桌面服務的桌面虛擬化功能、儲存空間提供了磁碟虛擬化以及IIS 8 加強並整合原本的Active Directory目錄服務提供Windows Server 2012 扮演更佳的企業伺服器角色。

本文為作者初探Windows Server 2012新功能之隨筆心得,並不夠深入詳盡與完備,再加上Windows Server 2012的角色、服務與功能繁多,幾乎每個角色與功能均有所改進與加強,目前暫限於時間與能力亦無法逐一詳細測試,不過日後只要時間允許和能力可及之處,將會逐入探討重量級的服務,撰寫文章分享讀者。