Windows Server 2008的各个方面，包括该操作系统中新增的功能和选项，如Active Directory、组策略等，其中最引人注目的是服务器核心这一概念。《Windows Server2008宝典》还指导您如何升级到Windows Server 2008，包括大量安装、配置、管理和维护Windows Server 2008的信息。《Windows Server2008宝典》内容都经过了严格的测试和评估，能为您提供最好的实战指导。<br>    《Windows Server2008宝典》共分为4部分，首先介绍Windows Server 2008的安装，以及该操作系统几个关键的网络和通信服务；接着讨论文件、打印和存储服务，然后介绍安全和Active Directory；最后对更改控制和工作区管理进行了讨论。<br>    《Windows Server2008宝典》内容全面、组织清晰，而且图文并茂、指导性强，是一本完备的Windows Server 2008实战参考手册，适合从事网络管理、服务器管理、MIS等工作的人员学习，对于肩负着安全、服务级别和客户关系管理等特定任务的读者也可以从《Windows Server2008宝典》中受益。

    不过Windows Server 2008允许开启“启动选项”控制台（检测到故障时）。此控制台上有网络安全模式等几个选项，在此可以尝试没有特定服务的启动，并在操作系统启动并运行后调试问题。也可以启动0J陕复模式”控制台模式进入命令行，使用命令行访问NTFS分区和启动磁盘。离开引导程序或FAT卷上的系统文件的行为是Windows N7.系列存储器欠妥的结果，已经过时。推荐您使用下面各节描述的分区安排。<br>    1.选项、：一个HDD<br>    此安排使用一个硬盘驱动器，迫使Windows Server 2008将启动文件和系统文件放入同一驱动器和分区。按下列步骤执行此选项：<br>    （1）用一个约12GB的硬盘驱动配置系统（Microsoft的官方建议是提供至少10GB的分区，但为了添加角色和功能，以及将来增加补丁、修复和新功能，需要预留扩展空间）；<br>    （2）安装过程中将该分区格式化为NTFS；<br>    （3）由Windows Server 2008选择默认分区名称。<br>    这个分区选项的好处如下：首先，能节省硬盘驱动器。其次，可以镜像该磁盘以提供容错（但遗憾的是，由于Windows Server 2008不允许镜像作为基本分区安装的磁盘，所以只能在硬件磁盘镜像下镜像磁盘，即使让磁盘成为动态磁盘也是如此）。<br>    此分区选项的缺点是，如果必须将系统或启动卷格式化为：FAT，会导致磁盘出现大量分区。这在服务器上没有必要，而且以后可能无法镜像或缩小硬盘空间并失去动态磁盘的高级功能。例如，还可能在提供双引导功能时遇到麻烦，不过并不推荐使用双引导，此外，在生产服务器上无需提供双引导。<br>    2.选项2：双HDD<br>    此安排使用两个硬盘驱动器：Windows Server 2008将启动文件和系统文件分别放在两个磁盘上。按下列步骤使用该选项：<br>    （1）使用两个约2GB大的硬盘驱动器配置系统；<br>    （2）安装期间将驱动器格式化为NTFS；<br>    （3）由Windows Server 2008选择分区名称和默认设置并把文件放到适当位置。<br>    据我们所知，此分区选项的优点是，可以选择将启动卷格式化为FAT（或：FAT32），而将其余的分区和驱动器格式化为NTFS。<br>    此分区选项的缺点是您为了少量的硬盘空间而使用第二个驱动器，但如果打算用双引导或多重引导，第二个驱动器可以容纳额外的OS。<br>    尽管有使用第二个硬盘可以提高性能，但考虑到现代硬盘的速度和响应，增加的性能仍比不上付出的努力和第二个硬盘的价值。在这里我们还讨论服务器核心而不是Active Directory、LOB服务器、SQL Server或Exchange，后面这些是为了利用额外硬盘。最好把第二个驱动器作为第一个驱动器的镜像来获得容错功能。

第1部分 Windows Server 2008、核心、配置、网络和通信服务<br>第1章 安装Windows Server 2008 3<br>1.1 关于核心 3<br>1.2 安装和配置策略 4<br>1.2.1 安装准备工作 5<br>1.2.2 服务器方案 5<br>1.3 硬件概述 7<br>1.4 安装Windows Server 2008 8<br>1.4.1 硬盘驱动器分区 8<br>1.4.2 服务器核心安装 9<br>1.4.3 执行无人参与的服务器核心安装 10<br>1.4.4 执行基本安装 10<br>1.4.5 从网络安装 12<br>1.5 角色、功能和应用程序 12<br>1.5.1 独立服务器 13<br>1.5.2 成员服务器 13<br>1.5.3 角色服务器 13<br>1.5.4 Windows Server 2008作为域控制器 15<br>1.6 Windows Server 2008作为通信服务器和Microsoft Exchange 17<br>1.6.1 Internet信息服务集成 17<br>1.6.2 Active Directory集成 17<br>1.6.3 分布式服务 17<br>1.6.4 安全性 17<br>1.6.5 单座和基于策略的管理 18<br>1.6.6 SMTP消息路由 18<br>1.6.7 Internet邮件内容 18<br>1.7 使用Windows管理规范进行系统监视 18<br>1.8 Windows Server 2008中的SQLServer数据库服务 19<br>1.9 Windows Server 2008用于IIS和ASP.NET 19<br>1.10 Windows Server 2008用于应用程序服务 19<br>1.11 Windows Server 2008用于解析服务 20<br>1.11.1 DNS 20<br>1.11.2 DHCP 21<br>1.11.3 WINS 21<br>1.12 小结 22<br><br>第2章 配置Windows Server 2008 23<br>2.1 使用Microsoft管理控制台 23<br>2.1.1 了解MMC的功能 23<br>2.1.2 打开MMC 24<br>2.1.3 使用管理单元 25<br>2.1.4 了解任务板 26<br>2.1.5 其他附加工具 27<br>2.1.6 自定义MMC满足自身需要 28<br>2.1.7 控制面板与MMC 28<br>2.2 MMC工具的Windows防火墙更改 29<br>2.3 了解MMC工具 29<br>2.3.1 证书颁发机构 29<br>2.3.2 故障转移群集管理 29<br>2.3.3 组件服务 30<br>2.3.4 计算机管理 30<br>2.3.5 事件查看器 31<br>2.3.6 可靠性和性能 31<br>2.3.7 共享文件夹 31<br>2.3.8 使用事件查看器 37<br>2.3.9 服务器扩展 40<br>2.4 使用安全配置向导 40<br>2.5 使用数据源（ODBC） 42<br>2.5.1 定义DSN 42<br>2.5.2 查看驱动程序信息 45<br>2.5.3 跟踪 45<br>2.5.4 连接池 45<br>2.6 了解控制面板applet 45<br>2.6.1 轻松访问applet 45<br>2.6.2 添加硬件applet 45<br>2.6.3 程序和功能applet 46<br>2.6.4 管理工具applet 46<br>2.6.5 Windows更新 46<br>2.6.6 日期和时间applet 46<br>2.6.7 显示对象-个性化 47<br>2.6.8 文件夹选项applet 47<br>2.6.9 Internet选项applet 47<br>2.6.10 网络和共享中心applet 48<br>2.6.11 电源选项applet 48<br>2.6.12 打印机控制面板applet 48<br>2.6.13 系统applet 48<br>2.7 Windows PowerShell 52<br>2.8 小结 52<br><br>第3章 Windows Server 2008的网络功能 53<br>3.1 Windows Server 2008中的TCP/IP 53<br>3.2 TCP/IP基础（IPv4） 54<br>3.2.1 IP地址 54<br>3.2.2 子网 55<br>3.2.3 无类域间路由表示法 57<br>3.2.4 获得IP地址 57<br>3.2.5 网关和路由 57<br>3.2.6 动态主机配置协议（DHCP） 58<br>3.2.7 域和名称解析 59<br>3.2.8 准备安装 59<br>3.3 设置TCP/IP 60<br>3.4 了解和使用IPv6 62<br>3.4.1 IPv6术语和概念 63<br>3.4.2 在Windows Server 2008中使用IPv6 65<br>3.5 TCP/IP故障排除 66<br>3.5.1 常见的故障排除概念 66<br>3.5.2 ping命令 67<br>3.5.3 ipconfig命令 68<br>3.5.4 netstat命令 69<br>3.5.5 hostname命令 70<br>3.5.6 tracert命令 70<br>3.5.7 arp命令 71<br>3.5.8 route命令 71<br>3.5.9 nbtstat命令 72<br>3.5.10 遗留协议 72<br>3.5.11 NetBEUI 72<br>3.5.12 IPX/SPX 73<br>3.5.13 DLC 73<br>3.6 SNMP 73<br>3.6.1 了解SNMP的工作原理 73<br>3.6.2 安装和配置SNMP 74<br>3.7 Windows防火墙配置和管理 76<br>3.7.1 Windows防火墙变更概述 76<br>3.7.2 配置Windows防火墙 77<br>3.7.3 用组策略管理Windows防火墙 78<br>3.7.4 从控制台管理Windows防火墙 78<br>3.7.5 高级安全Windows防火墙 79<br>3.8 小结 80<br><br>第4章 DHCP 81<br>4.1 DHCP概述 81<br>4.2 Windows Server DHCP服务 82<br>4.2.1 支持动态DNS 82<br>4.2.2 供应商类别和用户类别 83<br>4.2.3 多播地址分配 83<br>4.2.4 检测未授权DHCP服务器 83<br>4.2.5 自动配置客户端 83<br>4.2.6 监视和报告 83<br>4.3 安装和配置DHCP服务器 84<br>4.3.1 安装DHCP 84<br>4.3.2 使用DHCP控制台 84<br>4.3.3 创建作用域 84<br>4.3.4 设置常规作用域选项 85<br>4.3.5 配置全局DHCP选项 87<br>4.3.6 创建保留 87<br>4.3.7 设置全局作用域属性 87<br>4.3.8 激活和停用作用域 88<br>4.3.9 授权服务器 88<br>4.4 定义和实现用户和供应商类别 88<br>4.4.1 供应商类别 88<br>4.4.2 用户类别 90<br>4.4.3 配置客户端使用类别ID 90<br>4.5 创建和使用超级作用域 90<br>4.5.1 创建超级作用域 91<br>4.5.2 激活和停用超级作用域 92<br>4.5.3 从超级作用域中删除作用域 92<br>4.5.4 删除超级作用域 92<br>4.6 创建多播作用域 92<br>4.7 配置全局DHCP服务器属性 93<br>4.8 管理DHCP数据库 94<br>4.8.1 备份和还原DHCP数据库 94<br>4.8.2 将DHCP数据库移动到另一台服务器上 95<br>4.9 配置Windows DHCP客户端 95<br>4.10 网络访问保护 96<br>4.11 小结 96<br><br>第5章 Windows名称服务 97<br>5.1 域名服务概述 97<br>5.1.1 了解域名 98<br>5.1.2 现在的DNS系统 99<br>5.1.3 解析器、名称服务器和正向查找 99<br>5.1.4 域记录和区域文件 101<br>5.1.5 反向查找 102<br>5.1.6 委派 103<br>5.1.7 缓存、转发器和从属服务器 104<br>5.1.8 递归、迭代和参照 105<br>5.2 Microsoft域名服务 106<br>5.2.1 安装DNS 106<br>5.2.2 DNS控制台概述 107<br>5.2.3 创建正向查找区域 107<br>5.2.4 创建反向查找区域 108<br>5.2.5 创建资源记录 108<br>5.2.6 配置区域属性 109<br>5.3 管理DNS服务器选项和行为 111<br>5.3.1 在DNS服务器上配置多个地址 111<br>5.3.2 使用转发器 111<br>5.3.3 配置高级设置 111<br>5.3.4 设置根提示 113<br>5.3.5 配置日志 113<br>5.3.6 监视和测试 114<br>5.3.7 应用安全 114<br>5.3.8 管理服务器和缓存 115<br>5.4 配置子域和委派 115<br>5.4.1 设置子域 115<br>5.4.2 委派子域 115<br>5.5 DNS和Active Directory 116<br>5.6 动态DNS 116<br>5.6.1 配置DDNS 117<br>5.6.2 配置清理 118<br>5.7 Windows Internet命名服务（WINS） 118<br>5.8 WINS的工作原理 119<br>5.8.1 WINS注册 120<br>5.8.2 映射更新 120<br>5.9 还是用WINS 120<br>5.9.1 永久连接 121<br>5.9.2 手动删除标记 121<br>5.10 WINS的安装与配置 121<br>5.10.1 安装WINS 121<br>5.10.2 配置WINS 122<br>5.11 为DNS和WINS配置Windows客户端 123<br>5.12 使用Hosts和LMHOSTS文件进行名称解析 124<br>5.12.1 使用Hosts文件进行名称解析 124<br>5.12.2 使用LMHOSTS文件进行名称解析 125<br>5.13 小结 126<br><br>第6章 路由和远程访问 127<br>6.1 Windows Server 2008 RAS和电话服务 127<br>6.1.1 Windows Server 2008 RRAS概述 127<br>6.1.2 Windows Server 2008 RRAS的新功能 129<br>6.1.3 路由和访问控制管理控制台 130<br>6.2 RAS连接类型和协议 130<br>6.2.1 点对点协议 131<br>6.2.2 点对点多重链接协议和BAP 131<br>6.2.3 点对点隧道协议 131<br>6.2.4 第2层隧道协议 132<br>6.2.5 传输协议 132<br>6.3 启用和配置RRAS 132<br>6.4 IP路由 133<br>6.4.1 IP路由概述 133<br>6.4.2 用RRAS路由 135<br>6.4.3 配置基本路由器 135<br>6.4.4 动态路由 138<br>6.4.5 添加和配置RIP 138<br>6.4.6 DHCP中继代理 140<br>6.4.7 IGMP——多播转发 141<br>6.4.8 网络地址转换 142<br>6.4.9 配置NAT 142<br>6.5 配置服务和端口 143<br>6.6 为入站连接配置RAS 144<br>6.6.1 启用RRAS 144<br>6.6.2 配置调制解调器和端口 145<br>6.6.3 配置协议 146<br>6.6.4 配置身份验证 148<br>6.6.5 禁用路由（仅限远程访问服务器） 150<br>6.6.6 RRAS日志记录和记账 150<br>6.7 配置VPN服务器 151<br>6.7.1 配置VPN端口 152<br>6.7.2 为VPN启用L2TP 152<br>6.8 使用多重链接和BAP 153<br>6.9 策略服务器 154<br>6.9.1 创建新策略 154<br>6.9.2 设置策略优先级 156<br>6.10 使用RADIUS 156<br>6.10.1 配置RADIUS 157<br>6.10.2 配置记账 157<br>6.11 配置传出拨号网络连接 157<br>6.11.1 创建连接 157<br>6.11.2 配置连接属性 157<br>6.11.3 配置拨号网络来连接Internet 159<br>6.12 小结 160<br><br>第7章 备份和还原 161<br>7.1 为什么要备份数据 161<br>7.2 备份什么 162<br>7.3 理解备份 162<br>7.3.1 理解存档位 162<br>7.3.2 什么是备份 162<br>7.3.3 什么是还原 163<br>7.3.4 理解备份的工作原理 163<br>7.4 可移动存储和介质池 163<br>7.4.1 可移动存储服务 164<br>7.4.2 可移动存储数据库 165<br>7.4.3 物理位置 165<br>7.4.4 介质池 166<br>7.4.5 工作队列和操作员请求 167<br>7.4.6 练习擦除和保存 168<br>7.5 为数据备份/还原建立支持基准质量 168<br>7.6 确定捕捉质量 170<br>7.6.1 最佳备份时间 171<br>7.6.2 备份时间长短 171<br>7.6.3 备份服务器和工作站 171<br>7.6.4 打开文件的尴尬 172<br>7.7 备份步骤 173<br>7.8 执行备份 174<br>7.8.1 创建介质池 174<br>7.8.2 理解权利和权限 175<br>7.8.3 理解源和目标 175<br>7.8.4 制定计划 176<br>7.9 轮询方案 176<br>7.10 还原数据 177<br>7.11 磁带位置 178<br>7.12 备份带宽 178<br>7.13 使用卷影副本 179<br>7.14 小结 180<br><br>第8章 灾难恢复 181<br>8.1 灾难恢复计划 181<br>8.1.1 策略和协议 181<br>8.1.2 文档 181<br>8.1.3 灾难恢复培训和操作计划 182<br>8.2 找出资源 182<br>8.3 制定响应计划 183<br>8.4 测试响应计划 183<br>8.5 模拟灾难程序 184<br>8.6 找出弱链路 185<br>8.7 从备份恢复 185<br>8.7.1 恢复基本操作系统 185<br>8.7.2 恢复配置 186<br>8.8 镜像的服务、数据和硬件 186<br>8.9 恢复关键服务 186<br>8.9.1 Active Directory 186<br>8.9.2 DNS 186<br>8.9.3 注册表 187<br>8.10 崩溃分析 187<br>8.11 小结 187<br><br>第9章 注册表 188<br>9.1 注册表的用途 188<br>9.2 注册表的结构 189<br>9.2.1 注册表配置单元文件 191<br>9.2.2 键和值 192<br>9.3 注册表编辑器 192<br>9.3.1 Regedit.exe 192<br>9.3.2 修改注册表 192<br>9.3.3 导入和导出键 193<br>9.3.4 编辑远程注册表 194<br>9.3.5 加载和卸载配置单元 194<br>9.4 保护注册表 194<br>9.4.1 阻止访问注册表 194<br>9.4.2 在注册表键上应用权限 195<br>9.4.3 审核注册表访问 195<br>9.4.4 保护远程注册表访问 196<br>9.5 小结 196<br><br>第10章 Windows Server 2008审核 197<br>10.1 审核概述 197<br>10.2 配置审核 198<br>10.2.1 启用审核策略 198<br>10.2.2 审核对象访问 199<br>10.3 查看审核报告 200<br>10.3.1 使用事件查看器 200<br>10.3.2 使用其他工具 200<br>10.4 审核策略 201<br>10.4.1 关闭审核 201<br>10.4.2 打开所有审核 201<br>10.4.3 审核问题用户 201<br>10.4.4 审核管理员 201<br>10.4.5 审核关键文件和文件夹 202<br>10.5 小结 202<br><br>第11章 .NET Framework服务 203<br>11.1 .NET Framework简介 204<br>11.1.1 64位平台支持 204<br>11.1.2 访问控制列表 204<br>11.1.3 ADO.NET和LINQ 204<br>11.1.4 异步处理 204<br>11.2 了解.NET计划 205<br>11.2.1 公共语言运行时 205<br>11.2.2 通用类型系统 205<br>11.2.3 .NET安全 206<br>11.2.4 应用程序域 206<br>11.2.5 垃圾收集 206<br>11.2.6 .NET与JVM 207<br>11.2.7 配置全局程序集缓存 207<br>11.3 小结 207<br><br>第2部分 文件、打印和存储服务<br>第12章 打印服务 211<br>12.1 打印服务 212<br>12.2 了解Windows Server打印机服务 212<br>12.2.1 打印机服务：逻辑环境 212<br>12.2.2 打印机服务：物理环境 218<br>12.3 打印服务策略 219<br>12.3.1 打印机分类法 219<br>12.3.2 创建打印组 220<br>12.3.3 创建打印网络 220<br>12.3.4 保持驱动程序最新 221<br>12.4 安装并设置打印机 221<br>12.5 发布打印机 224<br>12.5.1 定位打印机 224<br>12.5.2 隐藏打印机 225<br>12.5.3 打印机池 225<br>12.5.4 加载打印机端口 225<br>12.6 打印机管理 226<br>12.6.1 打印机管理 226<br>12.6.2 作业管理 228<br>12.6.3 高级后台打印选项 229<br>12.6.4 访问控制 230<br>12.7 故障排除 231<br>12.7.1 服务器端打印问题 232<br>12.7.2 客户端打印问题 233<br>12.7.3 启用双向打印 234<br>12.8 审核打印机使用和管理 234<br>12.9 小结 234<br><br>第13章 存储管理 235<br>13.1 存储概述 235<br>13.2 存储管理 235<br>13.2.1 性能和容量 235<br>13.2.2 高可用性 237<br>13.2.3 可恢复性 238<br>13.2.4 与遗留系统相关的问题 238<br>13.3 磁盘管理 238<br>13.4 分区样式 239<br>13.4.1 MBR磁盘 239<br>13.4.2 GPT磁盘 240<br>13.5 可移动存储 240<br>13.6 远程存储和HSM 240<br>13.7 “磁盘管理”管理单元 241<br>13.8 基本存储 241<br>13.8.1 主分区 241<br>13.8.2 扩展分区 242<br>13.8.3 基本卷 242<br>13.9 动态卷和容错 242<br>13.9.1 动态磁盘 242<br>13.9.2 RAID-1：磁盘镜像 244<br>13.9.3 RAID-5：带有奇偶校验的容错带区 244<br>13.10 硬件RAID 245<br>13.11 动态存储管理 246<br>13.11.1 把基本磁盘转换为动态磁盘 246<br>13.11.2 创建简单卷 247<br>13.11.3 扩展简单卷和跨区卷 247<br>13.11.4 创建和管理RAID-0卷（带区） 248<br>13.11.5 创建和管理RAID-1卷 248<br>13.11.6 创建和管理RAID-5卷 249<br>13.11.7 导入磁盘 250<br>13.12 使用磁盘配额管理存储 250<br>13.12.1 为什么需要磁盘配额 250<br>13.12.2 设置磁盘配额 252<br>13.12.3 磁盘配额管理常识 253<br>13.13 故障排除 253<br>13.13.1 磁盘和卷状态 254<br>13.13.2 修复RAID冗余故障 254<br>13.14 存储资源管理器 255<br>13.15 小结 255<br><br>第14章 Windows Server 2008文件系统 256<br>14.1 磁盘结构概述 256<br>14.2 FAT16和FAT32 258<br>14.3 NTFS 259<br>14.3.1 NTFS结构 259<br>14.3.2 磁盘配额 262<br>14.3.3 重新解析点 262<br>14.3.4 加密文件系统 262<br>14.3.5 分层存储管理 262<br>14.3.6 目录联接 263<br>14.3.7 已装入卷 263<br>14.3.8 事务NTFS 263<br>14.4 选择文件系统 264<br>14.5 优化存储容量 265<br>14.5.1 优化簇大小 265<br>14.5.2 对卷进行碎片整理 265<br>14.5.3 在NTFS中使用磁盘压缩 265<br>14.6 管理分布式文件系统 266<br>14.6.1 DFS的结构和术语 267<br>14.6.2 基于域的DFS命名空间与独立DFS命名空间 268<br>14.6.3 客户端支持 269<br>14.6.4 使用DFS进行复制 269<br>14.6.5 使用DFS-R进行复制 269<br>14.6.6 客户端缓存 270<br>14.6.7 使用DFS管理控制台 270<br>14.7 使用已装入卷 273<br>14.7.1 装入卷 274<br>14.7.2 卸载卷 274<br>14.8 网络文件系统服务 274<br>14.9 小结 278<br><br>第15章 共享和保护文件与文件夹 279<br>15.1 数据的共享和安全 280<br>15.2 所有权 280<br>15.3 配置文件服务器角色 281<br>15.4 在Active Directory中发布共享 284<br>15.5 创建共享 284<br>15.5.1 共享本地文件夹 285<br>15.5.2 使用共享和存储管理控制台建立共享 286<br>15.6 共享属性 289<br>15.6.1 拒绝 290<br>15.6.2 共享权限的累积 290<br>15.6.3 移动或复制文件夹 290<br>15.6.4 域内共享 290<br>15.6.5 谁能共享文件夹 290<br>15.6.6 隐藏共享 291<br>15.6.7 连接到共享 291<br>15.6.8 把用户连接到已发布的共享 292<br>15.6.9 为用户映射DFS命名空间 293<br>15.7 管理共享 294<br>15.8 共享文件夹的常识性策略 295<br>15.8.1 限制共享 295<br>15.8.2 设置应用程序共享点 296<br>15.8.3 设置数据共享点 296<br>15.9 脱机访问（缓存） 296<br>15.9.1 脱机属性 297<br>15.9.2 同步已缓存的资源 297<br>15.10 使用权限保护文件和文件夹 297<br>15.11 权限类型 298<br>15.12 权限属性 299<br>15.13 继承 300<br>15.14 取得所有权 300<br>15.15 复制和移动 301<br>15.16 权限管理策略 301<br>15.17 使用加密文件系统保护文件 302<br>15.17.1 EFS如何工作 303<br>15.17.2 可恢复性和加密恢复策略 304<br>15.17.3 使用EFS 305<br>15.17.4 复制、移动或重命名加密文件 306<br>15.17.5 远程访问加密数据 307<br>15.17.6 共享加密数据 307<br>15.17.7 为多个用户加密文件 309<br>15.17.8 备份和恢复加密数据 309<br>15.17.9 配置和使用恢复策略 310<br>15.18 小结 312<br><br>第3部分 安全和Active Directory<br>第16章 Windows Server 2008的安全性 315<br>16.1 Windows Server 2008安全性概述 315<br>16.1.1 安全需求 316<br>16.1.2 数据输入 316<br>16.1.3 数据传输 316<br>16.1.4 威胁存在的原因 316<br>16.2 安全挑战 318<br>16.3 服务器角色方面的安全增强 318<br>16.3.1 Active Directory域控制器角色服务 318<br>16.3.2 DHCP服务器角色 319<br>16.3.3 DNS服务器角色 319<br>16.4 理解加密基础 319<br>16.5 了解加密 320<br>16.5.1 Cryptography Next Generation 320<br>16.5.2 密钥 321<br>16.5.3 私钥 321<br>16.5.4 公钥 321<br>16.5.5 会话密钥 321<br>16.5.6 密钥证书 322<br>16.5.7 数字签名 322<br>16.6 了解Kerberos 322<br>16.6.1 Kerberos和单一登录的管理 323<br>16.6.2 Kerberos工作原理 323<br>16.6.3 时间身份验证 324<br>16.6.4 密钥分发 324<br>16.6.5 会话票证 324<br>16.6.6 Kerberos和信任 325<br>16.6.7 KDC定位 325<br>16.7 了解IPSec 325<br>16.8 SSL/TLS 326<br>16.9 了解Active Directory证书服务 327<br>16.9.1 公钥基础结构 327<br>16.9.2 数字证书 327<br>16.9.3 使用Active Directory证书服务创建PKI 327<br>16.10 旧NTLM支持 328<br>16.11 智能卡 328<br>16.12 域 328<br>16.13 登录和身份验证 329<br>16.13.1 Windows Server 2008登录 329<br>16.13.2 双因素和单因素身份验证 329<br>16.14 信任 329<br>16.15 访问控制 331<br>16.16 审核 331<br>16.17 安全计划 331<br>16.18 防火墙 331<br>16.19 Active Directory安全策略 332<br>16.20 安全套接字 332<br>16.21 防火墙、代理和防御 332<br>16.22 公钥基础结构简介 333<br>16.23 设置和配置Active Directory证书服务 333<br>16.24 了解Active Directory证书服务 334<br>16.25 设置和配置证书颁发机构 334<br>16.26 部署PKI 335<br>16.27 小结 340<br><br>第17章 Windows 2008和Active Directory 341<br>17.1 功能全面的Active Directory 342<br>17.1.1 我们为什么需要目录 342<br>17.1.2 什么是Active Directory 344<br>17.1.3 现代目录的雏形：X.500规范 344<br>17.1.4 现代目录之父：LDAP 345<br>17.1.5 X.500规范之后 347<br>17.1.6 开放的Active Directory 347<br>17.1.7 如何注册合适 347<br>17.2 Active Directory的元素 349<br>17.2.1 命名空间和命名架构 349<br>17.2.2 Active Directory和Internet 349<br>17.2.3 无处不在的Active Directory 350<br>17.3 Active Directory的内部情况 350<br>17.3.1 看起来像一只散步的鸭子…… 350<br>17.3.2 Active Directory数据库结构 352<br>17.3.3 Active Directory对象 352<br>17.3.4 Active Directory架构 354<br>17.3.5 对象属性 354<br>17.3.6 Active Directory的路径 354<br>17.3.7 命名约定 355<br>17.3.8 域对象 356<br>17.3.9 组织单位 357<br>17.3.10 树 357<br>17.3.11 林 358<br>17.3.12 信任 358<br>17.3.13 全局编录 359<br>17.3.14 我的Active Directory 359<br>17.4 跨越旧的Windows与Windows Server 2008之间的鸿沟 360<br>17.4.1 单点访问和管理 361<br>17.4.2 域和更多的域 361<br>17.4.3 域内信任关系 362<br>17.4.4 访问控制列表和访问令牌 362<br>17.5 小结 362<br><br>第18章 计划使用Active Directory 363<br>18.1 Active Directory概述 363<br>18.2 基本设计原则 363<br>18.3 Active Directory结构 364<br>18.3.1 域计划 364<br>18.3.2 站点拓扑 365<br>18.3.3 林计划 365<br>18.3.4 信任计划 366<br>18.3.5 组织单位计划 367<br>18.4 为Active Directory企业计划 367<br>18.4.1 命名策略计划 367<br>18.4.2 域和组织单位计划 368<br>18.4.3 分支办公室计划 368<br>18.5 管理计划 370<br>18.5.1 委派管理 370<br>18.5.2 委派林、树和组织单位 371<br>18.5.3 实现对象安全 371<br>18.5.4 管理角色 371<br>18.6 迁移计划 372<br>18.6.1 更新计划 372<br>18.6.2 重构计划 372<br>18.6.3 迁移工具 373<br>18.6.4 测试实验室计划 373<br>18.6.5 备份和恢复计划 374<br>18.7 部署计划 374<br>18.8 小结 374<br><br>第19章 组织逻辑域结构 375<br>19.1 维持新秩序 375<br>19.2 计划Active Directory体系结构 376<br>19.3 逻辑域结构计划 376<br>19.3.1 做好思想准备 376<br>19.3.2 组建团队 377<br>19.3.3 域计划委员会 377<br>19.3.4 域管理 377<br>19.3.5 更改控制管理 377<br>19.3.6 域安全 378<br>19.3.7 域内通信 378<br>19.3.8 教育和信息 378<br>19.3.9 企业调查 378<br>19.3.10 企业分析 379<br>19.3.11 企业环境 379<br>19.3.12 制作组织图表 381<br>19.3.13 找出关键管理实体 381<br>19.3.14 策略驱动程序 382<br>19.3.15 找出逻辑单元 382<br>19.3.16 找出物理单元 383<br>19.3.17 记录 383<br>19.3.18 管理建模 383<br>19.4 逻辑域结构：蓝图 385<br>19.4.1 顶级域 385<br>19.4.2 DNS命名实践 390<br>19.4.3 二级域 390<br>19.5 域分区 393<br>19.5.1 组织单位 393<br>19.5.2 使用组 394<br>19.5.3 保护分区 395<br>19.6 小结 396<br><br>第20章 Active Derictory物理体系结构 397<br>20.1 过去、现在和未来 397<br>20.2 林和信任 398<br>20.3 域控制器和全局编录 401<br>20.3.1 域控制器 401<br>20.3.2 全局编录 402<br>20.3.3 DC和GC定位器服务 404<br>20.3.4 设计决策 404<br>20.4 站点 405<br>20.4.1 站内复制 406<br>20.4.2 站点链接 406<br>20.4.3 站点链接桥 407<br>20.4.4 站点间的连接对象 407<br>20.5 Active Directory复制 407<br>20.6 目录同步 409<br>20.7 Active Directory站点设计和配置 410<br>20.7.1 拓扑 410<br>20.7.2 创建DC站点 411<br>20.7.3 部署域控制器 411<br>20.7.4 保护域控制器 412<br>20.7.5 部署GC服务器 413<br>20.7.6 部署DNS服务器 413<br>20.7.7 DDNS体系结构 414<br>20.7.8 中心站点 414<br>20.7.9 部署WINS服务器 414<br>20.7.10 部署DHCP服务器 415<br>20.8 站点体系结构 417<br>20.8.1 体系结构 418<br>20.8.2 站点链接成本 419<br>20.9 时间 421<br>20.10 小结 422<br><br>第21章 Active Directory的安装和部署 424<br>21.1 部署前的准备工作 424<br>21.2 Millennium City的Active Directory部署计划 424<br>21.3 执行摘要 425<br>21.3.1 MCITY网络 425<br>21.3.2 GENESIS域 425<br>21.3.3 CITYHALL域 426<br>21.3.4 DITT域 427<br>21.3.5 MCPD域 427<br>21.4 安装和测试Active Directory域控制器 427<br>21.4.1 安装DC计算机 428<br>21.4.2 提升为域控制器 429<br>21.4.3 在DNS或WINS中创建域控制器 432<br>21.4.4 创建站点 433<br>21.4.5 创建组织单位（OU） 434<br>21.4.6 委派OU管理 435<br>21.4.7 保护DC并遵守灾难恢复协议 435<br>21.5 实现 435<br>21.5.1 安装 436<br>21.5.2 保留IP地址 436<br>21.5.3 根域MCITY.US的安装 436<br>21.5.4 质量保证 439<br>21.6 小结 440<br><br>第22章 Active Directory管理 441<br>22.1 在现有基础结构中安装新的目录服务 441<br>22.2 复制管理 442<br>22.3 安装新的域控制站 442<br>22.4 安装新的目录服务器 442<br>22.5 防止Acitve Directory损坏 443<br>22.5.1 联机和脱机数据库碎片整理 443<br>22.5.2 确保数据库的完整性 444<br>22.6 移动Active Directory 445<br>22.7 Active Directory与其他服务集成 445<br>22.7.1 Active Directory和SQL Server 445<br>22.7.2 Active Directory和Microsoft Exchange 445<br>22.8 无全局编录登录 446<br>22.9 Active Directory和DNS 446<br>22.10 Active Directory管理体系结构 447<br>22.10.1 体系结构 449<br>22.10.2 Windows Server 2008的组成员身份 450<br>22.10.3 网络服务管理 451<br>22.10.4 管理企业服务服务器 451<br>22.10.5 远程工作站的管理体系结构 452<br>22.10.6 终端服务策略 452<br>22.10.7 安全管理 453<br>22.11 小结 456<br><br>第4部分 更改控制和工作区管理<br>第23章 管理用户和组 459<br>23.1 Windows Server 2008账户：用户资源 459<br>23.1.1 什么是用户 460<br>23.1.2 什么是联系 460<br>23.1.3 本地的用户和“本地用户” 460<br>23.1.4 什么是组 460<br>23.1.5 探索用户和计算机管理工具 462<br>23.1.6 Windows Server 2008用户账户 463<br>23.1.7 账户策略 466<br>23.1.8 安全主体和登录身份验证过程 466<br>23.1.9 安全标识符 467<br>23.1.10 SAM和LSA身份验证 467<br>23.2 活动的用户账户 468<br>23.2.1 熟悉RunAs 468<br>23.2.2 命名用户账户 468<br>23.2.3 密码 469<br>23.2.4 理解登录 470<br>23.2.5 获取远程访问的权限 470<br>23.2.6 创建用户账户 470<br>23.2.7 重命名用户账户 474<br>23.2.8 删除和禁用用户账户 474<br>23.2.9 复制账户 474<br>23.3 计算机账户 475<br>23.4 组账户 475<br>23.4.1 组的作用域 475<br>23.4.2 组的元素 477<br>23.4.3 安装预定义组 477<br>23.4.4 成员服务器上的组 479<br>23.4.5 嵌套组 479<br>23.4.6 创建组 479<br>23.4.7 管理组 481<br>23.4.8 权利和权限 481<br>23.4.9 混合模式与本机模式 483<br>23.5 管理用户和组的真谛 483<br>23.6 用户和组管理策略 485<br>23.6.1 警惕TCO 485<br>23.6.2 确定所需的访问和特权 485<br>23.6.3 确定安全级别 486<br>23.6.4 通过使用本地组来保护资源并减轻工作负担 486<br>23.6.5 谨慎对待委派 486<br>23.6.6 只进行最少量的更改 486<br>23.7 小结 486<br><br>第24章 更改控制、组策略和工作区管理 487<br>24.1 什么是更改控制 487<br>24.2 了解更改管理 488<br>24.2.1 用户 491<br>24.2.2 计算机 491<br>24.3 取得控制 492<br>24.3.1 应用程序 492<br>24.3.2 安全 493<br>24.3.3 操作系统环境 494<br>24.3.4 工作站锁定 494<br>24.3.5 准备制订更改控制策略 494<br>24.4 理解组策略 495<br>24.4.1 组策略的类型 496<br>24.4.2 组策略的元素 497<br>24.4.3 GPO的有效范围 499<br>24.5 组策略的工作原理 500<br>24.5.1 本地和非本地组策略对象 500<br>24.5.2 组策略的应用 501<br>24.5.3 筛选策略 502<br>24.5.4 委派GP控制 502<br>24.5.5 本地组策略对象的安全 503<br>24.5.6 如何处理组策略 503<br>24.6 使组策略投入运作 505<br>24.6.1 软件策略 505<br>24.6.2 安全策略 506<br>24.7 组策略和更改管理：结合在一起考虑 506<br>24.7.1 不要接受默认策略 507<br>24.7.2 制订GP攻击计划 507<br>24.7.3 处理计算机账户 508<br>24.8 正式开始 508<br>24.8.1 自定义登录/注销 508<br>24.8.2 锁定桌面 508<br>24.8.3 控制开始菜单 509<br>24.8.4 文件夹重定向 509<br>24.8.5 旧版Windows 509<br>24.9 组策略的更改控制管理 510<br>24.9.1 从组策略的制订到组策略的结果 510<br>24.9.2 组策略的更改控制 510<br>24.9.3 使用组策略结果向导计划GP并对它进行故障排除 511<br>24.10 构建组策略 511<br>24.10.1 密码策略 513<br>24.10.2 账户锁定策略 513<br>24.10.3 审核策略 514<br>24.10.4 事件日志 516<br>24.10.5 锁定Domain Admins 516<br>24.11 小结 517<br><br>第25章 服务级别 518<br>25.1 理解服务级别 518<br>25.1.1 示例1 519<br>25.1.2 示例2 519<br>25.1.3 服务级别协议 519<br>25.2 服务级别管理 519<br>25.2.1 问题检测 520<br>25.2.2 性能管理 520<br>25.2.3 可用性 520<br>25.2.4 设计SLM 520<br>25.3 SLM与Windows Server 2008 521<br>25.4 Windows Server 2008监视体系结构 521<br>25.4.1 理解速率和吞吐量 522<br>25.4.2 理解队列 522<br>25.4.3 理解响应时间 522<br>25.4.4 性能对象的工作原理 523<br>25.4.5 系统监视工具 523<br>25.5 任务管理器 523<br>25.6 可靠性和性能控制台 524<br>25.6.1 性能监视器 525<br>25.6.2 性能日志和警报 526<br>25.6.3 创建数据收集器集 527<br>25.7 认识服务器 528<br>25.7.1 监视瓶颈 528<br>25.7.2 理解服务器工作负荷 529<br>25.8 性能监视开销 530<br>25.9 Microsoft系统中心运行管理器的服务级别 530<br>25.10 小结 531