以管理為優先的Windows Server 2003 R2(下)
Updated : 2006 年 4 月 26 日
作者: 賴榮樞
http://www.goodman-lai.idv.tw
上一期的文章簡單介紹過Windows Server 2003 R2,以及其安裝、伺服器管理能力與方便性、檔案伺服器管理能力的提升等議題。
本頁內容
Active Directory功能的增強
Windows SharePoint Services
與UNIX的互通性
新的Windows Server發行週期
結語
Active Directory功能的增強
Windows Server 2003 R2亦提供以下的Active Directory新功能。
Active Directory應用程式模式
「Active Directory應用程式模式」(Active Directory Application Mode,ADAM),是Active Directory目錄服務眾多獨立模式的其中一種,它可提供應用程式所需的目錄服務,也提供資料存放區,以及存取資料存放區時所需的服務。此外也會使用標準的應用程式設計介面來存取應用程式資料。ADAM可當作獨立的資料存放區,也可與複寫作業搭配運作。它的獨立性可讓您進行本機控制與目錄服務的自主性,以適用特定應用程式,並且有助於建立獨立而有彈性的架構與命名方式。
開發ADAM的目的是因應需要彈性使用目錄應用程式。ADAM是一種「輕量級目錄存取通訊協定」(LDAP)目錄服務。系統管理員可以在執行Windows Server 2003的伺服器上執行ADAM。ADAM也可以在Microsoft Windows XP Professional的用戶端執行,但必須安裝最新的Service Pack和 Hotfix。
ADAM為使用目錄的應用程式提供了資料儲存及讀取,而不需要依賴Active Directory目錄服務。ADAM提供的功能大致與Active Directory相同,但它不需要部署網域或網域主控台。系統管理員可以在單一電腦上同步執行多個ADAM實體,每個ADAM實體都具有獨立的管理架構。
以下是Windows Server 2003 R2的ADAM新功能:
可以在組態分割區建立使用者,因此ADAM使用者可成為ADAM系統管理員。
Active Directory對ADAM同步化工具。本工具可將來自Active Directory的物件同步成ADAM實例。
ADAM使用者可藉由使用摘要驗證繫結至ADAM實體。這種驗證方法使用伺服器應用程式的預設憑證,消除了在記憶體中保存應用程式密碼純文字版本的需要。
Active Directory架構分析工具。本工具可協助將Active Directory架構遷移至ADAM。
新版本的LDP工具。更新的工具包括存取控制清單(ACL)編輯器。
使用者密碼鏈結。ADAM現在可將ADAM中的使用者密碼請求鏈結至Active Directory中的使用者物件,因此在兩種目錄服務中的密碼都會變更。當在ADAM的使用者也是Active Directory的使用者,並企圖在ADAM中變更使用者密碼時,變更會視為與Active Directory中的密碼變更相同。必須同時提供新和舊的密碼(除Active Directory系統管理員外,其僅需提供新密碼),新的密碼必須符合任何在Active Directory中設定的密碼原則。Active Directory可執行所有原則檢查。
ADAM 和 Active Directory 都建立在相同的核心 Microsoft 目錄服務技術之上,但它們可解決組織不同的需求。Active Directory 同時為 Windows 網路作業系統和為使用目錄的應用程式提供目錄服務。在網路作業系統,Active Directory 可儲存關於網路基礎架構、使用者及群組、網路服務等的重要資訊。在此角色中,Active Directory 必須遵守整個樹系中通用的單一架構。
ADAM 為可使用目錄的應用程式提供專用的目錄服務。ADAM 並不需要或依賴 Active Directory 網域或樹系。但是,若在存在 Active Directory 的環境中,ADAM 也可以使用 Active Directory 以做為Windows 安全性原則的驗證。
ADAM 和 Active Directory 可以在相同網路上同時執行。此外,ADAM 可以同時支援網域及工作群組使用者。下列的表格說明了 ADAM 與 Active Directory 之間的功能性差異及相似之處。
功能 |
ADAM |
Active Directory |
|---|---|---|
支援每台伺服器上的多重架構 (schema) |
是 |
否 |
支援每台伺服器上的多重目錄實體 |
是 |
否 |
在 Windows XP Professional 上執行 |
是 |
否 |
在成員伺服器上執行 |
是 |
否 |
支援為頂層目錄磁碟分割區以 X.500 命名 |
是 |
否 |
支援不需重新開機的安裝、啟動及停止 |
是 |
否 |
群組原則 |
否 |
是 |
全域目錄 |
否 |
是 |
IntelliMirrorR 桌上型電腦管理 |
否 |
是 |
自動化的軟體散佈 |
否 |
是 |
網域信任及樹系信任 |
否 |
是 |
公開金鑰基礎架構 (PKI)/X.509 |
否 |
是 |
支援 DNS 服務 (SRV) 資源記錄 |
否 |
是 |
支援輕量級目錄存取通訊協定 (LDAP) 應用程式設計介面 (API) |
是 |
是 |
支援 Active Directory 服務介面 (ADSI) API |
是 |
是 |
支援傳訊 API (MAPI) |
否 |
是 |
委派系統管理 |
是 |
是 |
多重主機複製 |
是 |
是 |
InetOrgPerson |
是 |
是 |
Secure Sockets Layer (SSL) 上的 LDAP |
是 |
是 |
屬性層級的安全性 |
是 |
是 |
LDAP 存取控制清單 (ACL) 支援 |
是 |
是 |
Microsoft Identity Integration Server 2003 相容性 |
是 |
是 |
可延伸架構 (schema) |
是 |
是 |
支援應用程式目錄磁碟分割區 |
是 |
是 |
支援從媒體的複製內容安裝 |
是 |
是 |
支援 64 位元伺服器 |
是 |
是 |
支援同時的 LDAP 繫結 |
是 |
是 |
Active Directory聯邦服務
Active Directory 在許多組織都扮演著身份識別及驗證服務的角色。使用Windows Server 2003 Active Directory,系統管理員可以在兩個或數個Windows Server 200 樹系建立樹系信任,提供對於位在兩個不同單位或組織之間的資源的存取。但對某些案例,樹系信任並不可行,例如跨網際網路進行交易的兩個不同組織,或是位於DMZ或周邊網路的應用程式。
但若藉由「Active Directory聯邦服務」(Active Directory Federation Services,ADFS),企業或組織可以擴充現有的Active Directory基礎架構,提供跨越網際網路及對於可信任合作夥伴所提供的資源做存取,包括外部協力廠商或相同組織內的其他部門或子公司。ADFS會緊密與Active Directory整合,讀取使用者的屬性,並將使用者比對Active Directory進行驗證,也可以使用「Windows 整合驗證」及由Active Directory所建立的安全性權杖。
ADFS可同時在Active Directory和「Active Directory應用程式模式」(ADAM)運作。當ADFS與ADAM互動時,ADFS使用「輕量級目錄存取通訊協定」(LDAP)繫結做為驗證使用者的方法。當ADFS與Active Directory互動時,ADFS也可以運用Active Directory的驗證技術,包括 Kerberos、X.509數位憑證及智慧卡。
ADFS支援網際網路上的分散式驗證及授權,而且可整合到企業組織或部門現有的存取管理解決方案,將組織內使用的條款轉換成聯邦內可同意的條款。ADFS可以建立、保全及驗證組織之間移動的聲請,也可以稽核及監控組織和部門間的活動,以確保安全的交易。
ADFS的目的,是利用單一使用者的單一簽入(Single Sign-On,SSO),對單一線上階段作業的檔案所有相關的多個網頁應用程式進行使用者驗證。ADFS會跨安全性及企業領域,安全地共用數位識別及使用權限來完成這項驗證工作。以下是ADFS的重要功能說明。
典型Web SSO:典型Web SSO案例所包含的情況當中,存取應用程式的使用者是在依應用程式安排的外部網路目錄內管理。透過表單和用戶端認證,ADFS典型Web SSO功能比傳統的方法提供更強固的驗證,而SSO cookie則排除了聯邦式應用程式集區中存取其他應用程式時需重新驗證的需求。這項功能在過去已由協力廠商提供,現在則以ADFS的形式整合在Windows Server 2003 R2伺服器。
聯邦式Web SSO:透過聯邦,使用者驗證流程(呈現和驗證認證)將發生在與應用程式所在環境不同的環境之中。ADFS啟用Web應用程式聯邦,讓來自不同組織的客戶、合作夥伴和供應商在以自己組織的認證來存取另一個組織的Web架構應用程式時,擁有類似而流暢的使用者經驗。聯邦也可運作於同一個組織的不同業務單位或地理區域之間。
聯邦式授權及 .NET整合:ADFS提供建立安全性權杖的豐富模型。ADFS安全性權杖能夠攜帶除使用者身分識別以外的相關資料,包括使用者授權/權限資料。這些資料稱為授權聲請,與能夠安全地將資料在安全性權杖中傳送的能力相結合,就能達成稱為「聯邦式授權」的功能。聯邦式授權允許將使用者的存取權限委派給受信任的目錄系統管理員管理,而不再要求應用程式的系統管理員全權管理使用者如何存取特定的應用程式能力。在應用程式中,ADFS整合搭配Windows Server技術,例如ASP.NET角色或Windows授權管理員(AzMan)可提供端對端的驗證和授權管理能力。「授權管理員」是一個可透過對進入授權聲請的系統管理對應,提供應用程式層級存取功能的簡單介面。如此,「授權管理員」結合ADFS將有助於替Windows架構且面對網際網路的 .NET Web應用程式提供一個角色型的存取控制(RBAC)環境。
可延伸架構:ADFS提供了一種可延伸的架構,支援各種不同的安全性權杖類型,包括「安全宣示標記語言」(Security Assertion Markup Language,SAML)1.1及Kerberos(用在Windows整合式驗證中)。ADFS也提供了執行自訂聲請轉換的能力—例如,從資料庫加入自訂商業邏輯,做為存取請求中的變數。組織可以使用這種延伸能力修正ADFS,以使ADFS與它們目前的安全性基礎架構及商業原則共存。
Windows SharePoint Services
Windows Server 2003 R2內建了Windows SharePoint Services Service Pack 2,並且可以利用『設定您的伺服器』精靈或『管理您的伺服器』直接安裝。Windows SharePoint Services提供的功能說明如下。
SharePoint站台:存放檔案並協同作業
以Microsoft Windows SharePoint Services 2.0為基礎的網站,提供了一個可讓團隊交流意見、共用文件並合作完成專案的虛擬空間。SharePoint站台包括:
團隊合作功能,例如事件行事曆、連絡人、網頁連結、討論區、問題清單、公告等。
文件庫,除了可讓使用者儲存及擷取文件,還能充分利用如存回與取出、版本歷程、自訂中繼資料,以及富彈性且可自訂的檢視等多種豐富功能。
Web Parts,可提供資料存取、Web services,以及其他多種應用程式與SharePoint站台的內容。
使用者只要有瀏覽器,就能將資訊提供給站台。而若使用者電腦安裝了與Windows SharePoint Services相容的用戶端程式(例如Microsoft Office 2003),更能在用戶端程式暢行無阻地使用站台、將檔案存到文件庫、編輯文件,並將資訊移到或連結到站台。
SharePoint Central Administration:管理伺服器的Web介面
SharePoint Central Administration是能管理Windows SharePoint Services的Web介面,可管理單一伺服器或整個伺服器陣列。SharePoint Central Administration可擴充虛擬伺服器、建立站台或開啟自助網站架設,讓使用者得以建立本身的站台、管理安全性設定、管理伺服器陣列中的伺服器清單等。系統管理者也可以隨自己的喜好,使用Stsadm.exe命令列程式來管理Windows SharePoint Services伺服器。
Windows SharePoint Services應用程式
下載並安裝Windows SharePoint Services應用程式可以提高員工生產力。這些應用程式專為特定的程序或工作量身設計,包括人員招聘、專案管理、支援工程師問題追蹤、時間表與排程,以及事件規劃等等。這些應用程式安裝之後便可立即使用,也可自訂以符合特定需求。
進階外部網路設定的支援
Windows SharePoint Services Service Pack 2新增的URL區域對應(URL zone mapping)功能,可簡化與Proxy伺服器或防火牆之間的互動。Windows SharePoint Services會使用絕對URL,產生網頁與電子郵件訊息中的部份超連結,如此可防止Windows SharePoint Services支援某些將反向Proxy伺服器部署於Windows SharePoint Services伺服器之前的進階外部網路設定(例如SSL終止、主機標頭修改與連接埠轉譯)。現在,您可以設定網際網路、內部網路與外部網路等URL區域,並將連入與連出的URL對應至這些區域,就可讓這些設定正確運作。
與UNIX的互通性
為了有更好的UNIX互通性,Windows Server 2003 R2提供了下列功能。
UNIX身份識別管理
Windows Services for UNIX為Windows與UNIX的整合,提供了更新的識別管理解決方案。以下的解決方案可協助使用者順利存取作業系統中的各項網路資源,並有效地進行管理:
Server for NIS:可將Active Directory網域控制站作為一或多個NIS(Network Information Service)網域的NIS主控伺服器,以利整合Windows與UNIX的NIS伺服器。
密碼同步:可簡化密碼安全性的維護程序,以協助整合Windows與UNIX伺服器。有了密碼同步功能,使用者就不需要為Windows與UNIX帳戶分別設定個別的密碼,或費神變更多處的密碼。
UNIX應用程式子系統
UNIX應用程式子系統(Subsystem for UNIX-based Applications,SUA)是程式碼相容的子系統,可在Windows伺服器編譯及執行UNIX應用程式。您只需要略微調整原始程式碼,甚至完全不需變更,即可讓UNIX應用程式與SUA中的Windows產生完整的互通。
UNIX應用程式子系統可提供適用於「可攜式作業系統介面」(Portable Operating System Interface,POSIX)處理程序的作業系統。SUA若與支援公用程式套件(如Shell與Telnet用戶端)搭配使用,即可提供完整的UNIX環境。支援公用程式套件包含豐富的指令碼公用程式與軟體開發套件(SDK),可完整支援SUA的開發。
SUA也支援區分大小寫的檔案名稱、工作控制、編譯工具,也能夠支援超過300個UNIX命令、公用程式與Shell指令碼。由於子系統與Windows核心是分開安裝,因此子系統所提供的是真正的UNIX功能,而非模擬而來。
此版本的新功能包括:
資料庫(OCI/ODBC)程式庫連線:SUA可使用Oracle 呼叫介面(Oracle Call Interface,OCI)與「開放式資料庫連接性」(Open Database Connectivity,ODBC)標準,支援資料庫應用程式到Oracle與SQL Server的連線。
可為POSIX應用程式進行偵錯的Microsoft Visual Studio Debugger Extension:SUA可利用Visual Studio IDE為POSIX程序偵錯。
以SVR-5與BSD UNIX環境為基礎的公用程式:SUA下載套件支援兩種不同的UNIX 環境,包括SVR-5與BSD。
支援64位元應用程式:SUA會使用thunking的程序,不只能在64位元作業系統執行64位元應用程式,也可依預設讓64位元作業系統執行32位元應用程式。
新的Windows Server發行週期
討論過Windows Server 2003 R2種種新增功能之後,本文將說明新的Windows Server發行週期,作為結尾。Windows Server 2003自從推出以來,系統管理者都相當關心Windows Server 2003的維護及發行週期,而微軟也希望提供更能預期的Windows Server發行週期,才能讓用戶有更長期的規劃;依照微軟目前的計畫,Windows Server的版本包括「主要版本」、「更新版本」兩種,另外還有所謂的Service Pack和Feature Pack。
主要版本:微軟希望主要版本的發行週期是每四年一次,並且能包含新的核心技術、支援新的硬體、提供新的程式開發架構、改善安全性和可靠性等。而所謂的主要版本,舉例來說Windows 2000 Server或Windows Server 2003即為主要版本。
更新版本:微軟計畫每個主要版本推出之後的兩年,為主要版本發行更新版本;例如Windows Server 2003 R2即為更新版本。更新版本通常會集結主要版本的最新Service Pack、Feature Pack,並且也會包含新功能。
Service Pack:這還是大家熟悉的Service Pack,也就是更新程式的集結,以方便管理者或使用者安裝。Service Pack也可能包含新功能,例如Windows Server 2003 Service Pack 1就提供了「安全性設定精靈」。
Feature Pack:這也稱為「功能套件」,意指可選擇的外加功能,例如Windows SharePoint Services或Services for UNIX 3.5就是Windows Server 2003功能套件。發行過的獨立功能套件也有可能合併到下一個更新版本或主要版本,而微軟也計畫要大幅減少功能套件的數量和發行頻率,將大部分的功能套件整合到更新版本或主要版本。
結語
R2為Windows Server 2003新增了許多強化伺服器管理的功能:「分公司伺服器管理」提供了集中式的管理工具、快速的資料複寫,能將本機系統管理及本機備份降到最低;「身份識別及存取管理」提供了更有效率的單一登入及身份識別、更好的安全性,也改善了與異質系統相互操作能力;「儲存管理」能透過詳細的儲存裝置報告提供儲存裝置應用資訊,也能以目錄配額監控磁碟空間的使用、以檔案篩選限制伺服器所允許的檔案類型,達到輕易設定及備援SAN的目的。
此外,Active Directory應用程式模式、Active Directory聯邦服務等Active Directory的新功能,以及Windows SharePoint Services和UNIX的互通性也都是Windows Server 2003 R2的特色,同樣也都值得管理者深入瞭解並靈活善用。
軟體或文件下載
參考資料