共用方式為

  • 發行項

互通性

從 Mac 環境與 Windows 互動

Wes Miller

 

概覽:

  • 通過 Directory Utility 連接到 Active Directory
  • 配合使用 Exchange 和 Entourage
  • 通過 Messenger 和 OCS 通信
  • 通過虛擬化橋接平臺

目錄

Active Directory
Exchange
網路訪問保護
OCS 和 Messenger
連接回 Windows
資訊許可權版權管理
共同的平臺
虛擬化
總結

當今組織的環境可能包含了 Mac 和 Windows PC,並且使它們配合工作變得容易多了。 以前的情況並不如此。 1995 年,我開始在北卡羅來納州羅利市的一家小型的 ISP 和服務機構工作,裡面大多數員工都使用 Mac,只有少數運行 Windows。 在我 1996 年離職之前,才真正實現少量互通性。

當時,在網路方面,Mac 依賴 AppleTalk,而 Windows 使用 TCP/IP 作為它的預設協定(Apple 剛開始嘗試 TCP/IP)。 另外,Mac 有專有檔共用機制,而 Windows 則使用將被稱為伺服器訊息區 (SMB) 的協定。 二者不相容,以致于我們不得不將它們隔離在單獨的網路中,主要是由於 AppleTalk 的通信能力。

現在時代已經變了,您不僅可以把 Mac 放入 Windows 網路基礎結構中,還可以集成一些作業系統服務。 本期 Don Jones 的文章介紹將 Mac 和 Windows 聯網。 我將重點介紹如何使兩類系統實現交互操作。

Mac 與 Windows 電腦之間的互通性需要處理軟體和實現企業所需功能的作業系統服務。 它還假定硬體屬於基本級別,以真正實現互通性,並往往以虛擬化充當兩種平臺之間的橋樑。 Mac 從 AppleTalk 移動到 TCP/IP 對於實現與 Windows 的互通性來說極其重要。 您稍後還將瞭解到,移動到基於 Intel 的體系結構至少也同樣重要。

Active Directory

是的,沒錯。 請看圖 1,您會看到我在家裡面安裝的測試 Active Directory 域,而 iMac 是成員之一。

fig01.gif

圖 1 包含 Mac 的 Active Directory 域(按一下圖像可查看大圖)

自 OS X 首度推出以來,ISV 就構建了在某種程度上可將 Mac 集成到 Active Directory 的工具(或是相反地,甚至允許您將群組原則推送到 Mac 用戶端)。 2007 年發佈的 OS X 10.5(“Leopard”)直接集成部分支援,允許您將 Mac 輕鬆加入 Windows Active Directory 域。

Mac 在其自己的環境中使用 Apple 的 LDAP 目錄,即 Open Directory。 雖然 Open Directory 和 Active Directory 使用的架構不同,但 Mac 能夠加入目錄意味著您可以開始集中管理它們。 您很可能採用 Active Directory 基礎結構,並且不用費多少功夫,就能夠將 Mac 集成到 Active Directory 中。

若要在不使用協力廠商工具的情況下將 Mac 集成到 Active Directory 中,您必須擁有運行 Mac OS X 10.5 或更高版本並以 Intel 或 PowerPC 為基礎的 Mac。 啟動系統並登錄之後,打開 Applications 資料夾,並流覽至 Utilities 資料夾。 您在該處會找到一個命名很符合邏輯的實用程式,名為 Directory Utility,直接啟動它。 如果您的 Mac 已經具有相關的 Open Directory 關係,將會在此處顯示。 否則,您將看到類似于圖 2 所示的結果。

fig02.gif

圖 2 Mac 的 Directory Utility(按一下圖像可查看大圖)

首先將左下角的鎖解除鎖定,然後提供您的管理憑據。 然後按一下 + 符號添加目錄。 對話方塊打開時,選擇 Active Directory,您將看到圖 3 中的對話方塊。

fig03.gif

圖 3 添加 Active Directory 目錄(按一下圖像可查看大圖)

這與將 Windows 系統加入 Active Directory 的體驗並沒有太大不同,只不過它全都出現在同一頁上,而且似乎不接受舊式憑據 (domain\user)。 憑據必須以較新的 user@domain.tld 形式提供。 加入之後,即可看到 Directory Utility 中列出的目錄(見圖 4)。 請注意,如果您只加入幾台電腦,或想要使用 GUI,Directory Utility 是迅速完成這項任務的方法。 若是您想要從腳本加入若干台電腦,或更加熟悉 Terminal(Mac 命令 shell),也可以運行 dsconfigad,如下所示(都在同一行鍵入):

dsconfigad –f –a computername –domain yourforest
 .yourdomain.tld –u domainaccount –p domainpassword –lu
 localadminaccount –lp localadminpassword

fig04.gif

圖 4 Mac 上的 Active Directory(按一下圖像可查看大圖)

請注意,如果打算將 Mac 同時加入到 Active Directory 和 Open Directory 中,則建議每次都先將它加入到 Active Directory 中,再加入到 Open Directory 中。

現在已將系統加入到 Active Directory,然後能做什麼?唯一提供對 Exchange 的本機郵件和日曆訪問的 Mac 電子郵件用戶端,即 Microsoft Entourage,在枚舉目錄屬性的功能上,並不如 Microsoft Outlook 豐富。 所以除了提供管理功能之外,Directory Utility(也可以在 /Applications/Utilities 資料夾中找到)還允許您查看使用者、組及更多的目錄屬性(見圖 5)。

fig05.gif

圖 5 Directory Utility 允許您查看使用者和組的屬性(按一下圖像可查看大圖)

如前所述,有些應用程式可説明您從 Active Directory,甚至是從群組原則本身來管理 Mac 系統 — 管理時幾乎是把 Mac 當成 Windows 系統。 請看一看 ADmitMacCentrify DirectControl等應用程式,這些不過是當中的幾個例子。

Exchange

多年來,要將 Mac 連接到 Exchange,意味著需要 Mac 使用者使用 POP3/SMTP 或 Internet 消息訪問協定 (IMAP) 來訪問 Exchange,或只是使用 Outlook Web Access。 不過,所有這些一點都比不上完整的 Exchange/Outlook 體驗。

適用于 Mac 的 Microsoft Office 2004 和 2008 版都通過 Entourage(與 Mac OS X Mail 一樣,但缺乏本機的日曆功能)提供全面的 Exchange 支援。 雖然不能得到 Active Directory 與通訊錄全面集成的豐富功能,但您所享有的推送電子郵件體驗(還有會議請求、連絡人和日曆)要比使用 Internet 協定訪問 Exchange 更加完善。 Entourage 支援所有最新版本的 Microsoft Exchange。

請注意,Apple 的預設 Web 流覽器 Safari,在通過 Web 連接到 Exchange 時只支援 Outlook Web Access Light。 (Internet Explorer 是唯一支援完整 Outlook Web Access 功能的流覽器)。

網路訪問保護

如果您使用的是 Windows Server 2008,並且正在部署網路訪問保護 (NAP),不妨留意一下 Microsoft 已將它的 NAP 體系結構授權給 UNet 和 Avenda 兩家供應商,為 Mac(以及 Linux)構建用戶端。

OCS 和 Messenger

隨著 Messenger for Mac 7 應用程式最新版本(對最初隨適用于 Mac 的 Microsoft Office 2008 版發佈的版本的更新)的發行,它也提供了對其他 MSN Messenger/Live Messenger 使用者的支援。 在 Windows 組織中同樣重要的是,它現在支援對企業實施的 Office Communications Server (OCS) 的訪問。 圖 6 中的螢幕擷取畫面顯示 Messenger“帳戶”的“公司”區域,您可在此處指定用於連接到 OCS 的資訊。

fig06.gif

圖 6 您可以指定用於將 Messenger 連接到 OCS 的資訊(按一下圖像可查看大圖)

連接回 Windows

Microsoft 提供適用于 Macintosh 的 Remote Desktop 用戶端版本已有一段時間。 Microsoft 在去年發佈了非常不錯的新版本 Remote Desktop Connection Client 2(今年進行了更新),可允許 Mac 連接回 Windows — 甚至是連接回 Windows Vista 或 Windows Server 2008 系統。 圖 7 顯示適用于 Mac 的 Remote Desktop。 此版本支援驅動器、印表機和音訊重定向,但缺乏其他設備重定向。 它還添加了同時建立多個連接的功能。

fig07.gif

圖 7 將 Mac 連接到 Windows(按一下圖像可查看大圖)

資訊許可權管理

正如我在 2008 年 11 月的“桌面檔”專欄中提到的,Microsoft 現在並不支援從 Microsoft Office for Mac 2004 或 2008 中訪問資訊許可權管理 (IRM) 保護的文檔(請參閱“ 無法在 Office for Macintosh 上打開 IRM 保護的文檔”)。 這些版本可以打開 Office Open XML 文檔 — 2008 版提供本機支援,而 2004 版則在安裝最新更新和格式轉換器之後提供本機支援。 但是兩個版本都無法直接打開受 IRM 保護的文檔,而 Mac 自身也不具備任何方法與受 IRM 保護的電子郵件交互。

如果 Mac 使用者需要能夠訪問受 IRM 保護的內容,最快速的方法是使用適用于 Mac 的一種虛擬化技術,並運行加入域的 Windows 實例,這允許管理並方便與 IRM 集成。 Windows 系統將被配備企業授權的 Office 2003 或 Office 2007 副本,並配置為與 IRM 配合使用。

此解決方案帶來的唯一複雜性是,您現在除了 Mac 之外還要管理另一個 Windows 系統。 當然,這是虛擬化這把雙刃劍的效果之一,即如果不妥善管理,Windows 安裝可能會傳播出去。 此外,還必須學習在 Windows 和 Mac 上使用 Office,這也是潛在的挑戰。

除了虛擬化之外,唯一的替代方法對最終使用者來說更困難,需要安裝另一個 Windows。 您可以使用 Boot Camp 卷,在上面安裝 Windows 並依照上述方式來配置,但直接在 Mac 上的 Boot Camp 卷中運行(稍後會詳細討論 Boot Camp)。 讓我們簡單瞭解一下 Mac 上的 Boot Camp 和虛擬化。 討論 Boot Camp 和虛擬化的前提是使用基於 Intel 的 Macintosh。 舊式基於 PowerPC 的 Mac 只能通過軟體模擬產品(例如 Microsoft Virtual PC)提供模擬,而不能提供真正的虛擬化。

共同的平臺

幾年前,Apple 從基於 PowerPC 的體系結構移動到 Intel x86,從而使商用硬體可以在降低平臺成本的同時提高性能。 對有些人來說也同樣重要的是,Mac 現在有了與 Windows 共同的平臺,不過 Mac 使用的是可延伸韌體介面 (EFI) 而不是 BIOS。 而且它們使用 GUID 分區表 (GPT) 分區類型,而不是 32 和 64 位 Windows 所使用的主引導記錄 (MBR) 分區類型。

Apple 所出售的第一批系統全都是單核,而且僅限 x86。 如今出售的所有 Mac 系統則都具備 x64 處理能力,而且有雙核處理器 — 在使用虛擬化軟體時提供非常令人滿意的體驗,在本地通過 Boot Camp 運行 Windows XP 或帶有 Aero 的 Windows Vista 時提供絕佳的體驗。

通過使用 EFI 和 GPT(順便提一下,這兩者大體上都是由 Intel 設計而成,並且由 Intel Itanium 64 位處理器體系結構所採用),Apple 在很大程度上避免了 BIOS 體系結構所擁有的傳統複雜性,並且實現了比 Windows 更靈活的磁碟分割方案。 MBR 磁片在創建卷的數量、類型和大小限制方面有許多限制。 GPT 則經過專門設計,消除了這些限制。

由於移動到了 x86 體系結構,圍繞使 Mac OS 運行 Windows XP 的程式設計社區有所發展。 為實現此目的而出現的複雜性相當明顯,因為 32 位 Windows 既不支援 EFI 也不支援 GPT。 Apple 創建了一個簡單的實用程式,稱為 Boot Camp,最初可以下載試用,現在則專門包含在 Mac OS X 10.5 中。 通過提供 BIOS 模擬以及極具創意的“覆蓋”分區格式(通過這種格式磁片使用匹配的 MBR 和 GPT 分區條目進行分區),Windows 能從自己的卷上引導,而 Mac 繼續留在自己的卷上。

Boot Camp 非常容易使用;它可即時地將磁片重新分區,並説明安裝 Windows。 Boot Camp 的唯一缺點是,您必須將 Mac 重新引導到 Windows,然後再次重新引導以返回 Mac,才能切換作業系統環境。 簡言之,它的效果不錯 — 特別是對**《TechNet 雜誌》讀者之類的技術愛好者(不過我得坦白說,實際過程太不方面,我不太喜歡)。

如果使用者有個應用程式需要訪問電腦的實際硬體(例如佔用大量圖形資源的應用程式或是通過 FireWire 連接的週邊設備),那麼 Boot Camp 可能正是他所需的。 但虛擬化可提供幾乎相同的體驗,不過有一些限制。 Boot Camp 最大的問題可能在於它們的本機配置,Windows 無法訪問 Mac HFS+ 格式的卷,而 Macs 無法寫入(雖然可以讀取)NTFS 格式的卷。

我想花點時間來介紹一下兩個免費的實用程式和一個商業產品,它們可使 Boot Camp 使用起來甚至更加容易。 免費的 rEFIt 實用程式允許您使用 Mac 並創建比 BootCamp 單個卷方案更加靈活的引導配置(通過 Boot Camp 只能安裝一個 Windows 實例)。 使用 rEFIt,我可以在 Macintosh 上實現三重引導:Mac OS X(首先安裝)、Windows XP(使用 Boot Camp 安裝),以及 Windows Vista Ultimate(使用 rEFIt 安裝)。 使用 rEFIt 時需謹慎(請閱讀相關文檔)— 此工具非常強大,如果使用不當,可能會破壞系統。

另一個免費的工具是 NTFS-3G 實用程式,不僅允許 Mac OS X 讀取,也允許寫入 NTFS 格式的卷。 最後,據我所知, MacDrive 7($49.95/系統)是使 Boot Camp 引導的 Windows 卷讀取並寫入 Mac OS X HFS+ 格式的卷的唯一方法。

虛擬化

雖然 Connectix(將模擬和虛擬化工具出售給 Microsoft 的公司),為 Mac 開發了 Virtual PC 產品,但這個產品其實是模擬產品,而非虛擬化產品。 實際上,它在基於 PowerPC 的電腦類比 x86 指令集。 結果雖然可行,但速度並不能滿足日常需要。 現在,Microsoft 的 Virtual PC 產品僅適用于基於 PowerPC 的舊版 Mac。 但自從 Apple 順應潮流而轉移到 x86 體系結構以來,已為 Mac 提供了至少三個完全不同的虛擬化產品。 有些甚至還提供 GPU 模擬,允許更多佔用大量圖形資源的應用程式(或者更確切地說是遊戲)在 Mac 上運行 — 並且性能與在物理硬體上運行時相同或接近。

主要的 Mac 虛擬化產品是 VMware FusionParallels Desktop for Mac。 這兩種產品除了允許您通過 Boot Camp 引導之外,實際上還允許您引導相同的 Boot Camp 分區(同時具備了二者的優點),並實現了“透明”模式,在這種模式下,在 Windows 虛擬機器上運行的應用程式實際上看起來就像直接在 Mac 上運行一樣。 它們還支援在 Mac 和 Windows 虛擬機器之間拖放。

請注意,虛擬化 IRM 用戶端有可能避開 IRM 保護 — 對在 Mac 上運行的 Windows VM 執行螢幕捕獲相對來說比較容易。 不過,正如我在 2008 年 11 月“桌面檔”專欄中提到的,IRM 只有在您遇到“類比漏洞”之後才發揮作用,惡意使用者從虛擬機器上很容易辦到,這一點需要注意。

當然,如果您可以為 Mac(或任何其他平臺)使用者提供與 Windows 使用者相同的易用性體驗,就再好不過了。 但是有些工具(如 IRM、SQL Server 應用程式或 Microsoft .NET 應用程式)無法本機運行,必須從以虛擬化形式或在 Boot Camp(或二者)下運行的 Windows 安裝中才能使用。 並且任何需要高端 GPU 或 DirectX 10 的應用程式都必須借助通過 Boot Camp 運行的 Windows 安裝才能運行。 當您有需要使用 Mac 的使用者時,虛擬化為僅能用於 Windows 的應用程式提供了最佳的橋樑。

總結

現在,隨著移動到基於 Intel x86 的體系結構,能夠在本機使用的大量應用程式以及強大虛擬化/本機引導解決方案的推出,實現 Mac/Windows 平臺的交互操作比以往更加容易。 對於組織中的 Mac 使用者,需要隔離在單獨的網路中,無法簡單地與 Windows 電腦共用檔都以成為過去。

Wes Miller 是位於德克薩斯州奧斯丁市的 CoreTrace 公司 ( www.CoreTrace.com) 的高級技術產品經理。 在此之前,他在 Winternals Software 公司任職,並曾在 Microsoft 擔任專案經理。 您可以通過電子郵件與 Wes 聯繫: technet@getwired.com