WS_2012
第1章WS2012介绍
1.1新功能
1)全新metro
2)灵活GUI
3)容错DHCP
VHDX格式:(虚拟机硬盘格式,可以校验错误,Hyper-V虚拟硬盘存在最大2TB的容量限制。而VHDX最大能够达到64TB。而VHDX的优势不只限于容量方面的改进,VHDX为现在的硬盘而设计,相比于VHD文件,其4KB大小的逻辑区域大小有助于提高性能。)
4)Hyper-v复制:通过Live Migration(实时迁移)实现高可用,不需要采购存储即可实现高可用,此hyper-v能不用就不用
5)结合公有云:本地与公有云相互迁移
6)Cisco Nexus 1000:虚拟交换机,方便网络监控虚拟机流量
7)NIC Team:简单说来就是将多个网卡绑定到一起,生成一个逻辑的网卡来提供高可用和带宽聚合(功能路径:本地服务器-NIC组合-新建组)
8)重复数据删除:
服务器角色-文件和存储-数据删除重复->然后在磁盘上启用
9)SMB:SMB(全称是Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。
10)Direct Access:Direct Access 称为直接访问,它是Windows 7(企业版或者更高级版本)和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。
1.2iSCSI介绍
ISCSI是一个通过IP网络基础设施来连接数据存储设备的协议。
iSCSI Target:iSCSI--服务端口:3260
ISCSI target是位于iSCSI服务器上的存储资源,可以用来执行各种存储相关的工作,比如为微软Hyper-V提供共享存储等。
1、ISCSI target是位于Internet小型计算机系统接口(iSCSI)服务器上的存储资源。
2、微软iSCSI target是Windows Server 2012中的一个功能,它可以将一台运行Windows Server的计算机转换到能够通过TCP/IP网络并以虚拟硬盘(VHD)的形式为客户提供共享存储的存储设备上。被访问的设备称为Target,而访问Target的服务器(或客户端)称为Initiator。 [1]
微软iSCSI target可以用来执行各种存储相关的工作,比如为微软Hyper-V提供共享存储、为多个应用服务器整合存储、为被托管在Windows故障集群的应用程序提供共享存储,还能保证无盘计算机从一个单一操作系统(OS)图像上进行远程开机
1.3Hyper-v介绍
1,虚拟化特征
打包:将整个系统,包括硬件配置,Windows以及程序打包成文档
整合:一台物理机上同时跑多台虚机
备份:既然是文件,当然容易备份和恢复
迁移:可以在其他服务器上不加修改的运行
2,VMware与Hyper-V对比
3,Hyper-v 3.0部署需求
1)服务器CPU支持虚拟化(Intel 支持VT,AMD支持AMD-v)并且在BIOS中启用虚拟化支持
2)在BIOS中企业DEP(数据执行保护)
3)安装Windows Server 2012,Windows 8 X64系统
4)安装Hyper-v组件
4,Hyper-v 虚机安装步骤
1)创建网卡
2)创建磁盘:分为固定大小,动态扩展,差异三种虚拟硬盘类型,差异类型生产环境中不要用,仅作了解。另外有直通硬盘类型,也就是物理硬盘,但是Hyper-v的很多功能不能用,比如快照功能
3)待补充
注:Hyper -v自带3种虚拟交换机分别是外部,内部,专用,
外部:虚拟交换机部署完成后,虚拟机和宿主机连接到同一个虚拟交换机。虚拟机与宿主机获取同一网段的IP地址,与宿主机所在的网络中的其他计算机通信,每台虚拟机等同于宿主机所在网络的宿主机。相当于VMware workstation的桥接模式。
内部:内部网络相当于给宿主机虚拟一张网卡,用于虚拟机通信,并且提供DHCP服务和NAT代理服务。虚拟机可以通过宿主机上网但是不能与宿主机所在的网络通信。相当于VMware 的NAT模式
专用:专用网络相当于虚拟一个专供虚拟机之间连接的虚拟交换机,所有虚拟机连接到同一个交换机上,所有的虚拟机之间可以通信,但是不能访问宿主机以及宿主机所在的网络。相当于VMware的host模式。
5,主机与虚拟机之间文件交换
使用虚拟机时,常常面临到的问题就是主机与虚拟机之间文件的交换。出于安全的考虑,微软是把物理机和虚拟机完全隔离的。并不支持文件的直接拖拽传输等方式。在这里,将介绍3种文件交换的方法:局域网文件共享;远程桌面连接;虚拟磁盘共享;
第2章AD
2.1概念介绍
1,域:用来描述一种系统架构,和“工作组"相对应,由工作组升级而来的高级架构,在域架构中,可以实现统一化管理
域是一个安全边界(在域中,分配某个管理权限的时候,权限仅限于管理这个域,无论有多少子域,都无管理权限)
是一个复制单元(1,在同一个域中,所有DC的数据库都是相互同步的。2,如果同一个域中两个DC在同一个站点中,默认15s复制一次;如果两个DC不在同一站点中,复制的频率取决于站点链路的频率;3,在域中复制的类型有两种:多主复制和单主复制;4,活动目录数据库有三个逻辑分区:Domain,Configuration,Schema,在同一个域的DC,三个分区数据都同步,如果不在一个域中的DC,只同步Configuration和Cchema分区)
2,活动目录:是微软所提供的目录服务(查询,身份验证),活动目录的核心包含了活动目录数据库,在活动目录数据库中包含了域中所有的对象(用户,计算机,组。。。)
3,域控制器:在域架构中用来管理所有客户端的服务器,是域架构的核心,每个域控制器上都包含了活动目录数据库。
4,OU:OU能有效的组织域中对象,使域组织更加有条理,在公司中一般表示一个部门,并且可以嵌套,可以针对OU进行权限的委派,实现分散式管理,在OU上可以捆绑组策略,这样使组策略的管理更加细化
5,全局编录:GC是一台特殊的DC,记录了整个林中所有对象,在一个林中至少有一个GC,默认情况下林中第一台DC就是GC;DC的数据库记录了当前域中所有对象的所有属性;GC除了存储当前域中所有对象的所有属性外,还存储了整个林中所有对象的部分属性
知识点:
1,域通过组策略(具体的是针对OU或用户做策略)进行统一化管理
2,在域控中分发软件,可以通过重新封装的方式解决要输入产品密钥的问题,可用微软的SCCM工具分发软件
3,gpupdate/force 将所配置策略立即生效
4,WDS批量部署系统,同时可以进行加域操作
5,域是一个抽象的概念,通过活动目录来实现域的环境
6,adbulkadmin用来批量管理用户
2.2在企业中部署域架构
1,在域架构中,最核心的就是DC(域控制器),创建域首先必须要创建DC,DC创建完成后,把所有的客户端加入DC中,这样就形成了域环境
2,域控制器是由工作组的计算机升级而成,通过DCPROMO命令就可以完成升级(2012之前的版本支持DCPROMO,之后的版本不支持)
3,只有Windows Server(Web版本除外)才可以提升为域控制器
4,在升级DC前不需要安装DNS服务,因为在安装的过程中有DNS服务安装选项
5,文件系统必须要是NTFS
6,域名的起名推荐公网地址
7,林功能级别:控制的是整个林中域控制器的操作系统版本
域功能级别:控制的是整个域中域控制器的操作系统版本
8,制定域架构方案时,跨物理区域时,或公司分支机构建立域,是建立备份域控还是建立子域?
在什么情况下建立备份域控:统一化管理,例如:直营适合备份域控
在什么情况下建立子域:独立管理和运营,例如:加盟店适合子域模式
知识点:
1 如何实现客户机在当地域控验证登录,而不通过VPN到异地DC验证?
1,站点能够让当客户端找当地的DC进行验证,站点最大的好处:可以让客户端优先找本站点的DC来完成登录的身份验证,只有在本站点DC出现故障的情况下,才会找其他站点的DC完成登录
2,划分站点后,会优先找VPN速率快的DC进行同步,优先级越高,
3,两个站点的DC需要创建站点链路才能保证DC数据同步
4,VPN互联的多个物理区域一定有不同的子网
2 两个站点DC同步时间周期?
默认情况下180分钟,系统自动同步
可以手工实现“立即复制”
3 客户端要在DC上完成身份验证,需要满足两个条件:
输入DC上正确的用户名和密码
在DC上能够找到当前登录的计算机对象
**4 子网问题 **
如果服务器和客户端的网段是不同的,需要手工的在Active Directory站点和服务中的Subnets将所有网段加进去,不支持子网汇总
5 如果在公网中,AD用户如何改自己的密码?
如果过期了,可以在exchange 2010/2013或sharepoint中改
或者找开源的网页,进行更改
6 分支机构创建DC
通过活动目录快照快速的创建备份预控
7 颗粒化密码策略?
1,分部门进行密码策略的指定
2,在windows域的组策略中,密码策略必须应用在域上,不能应用在OU上
3,难道密码策略做在OU上做了等于没做吗?
密码策略做在OU上,生效的不是OU中的用户,而是OU中计算机对象的本地用户账户
8 用户登录缓存
默认缓存10个账号,180天
用户在登陆域的时候,如果无法联系到DC,就是用输入到用户名和密码到缓存中校验,如果成功,完成登录
9 还原模式密码修改
需要能正常登陆DC
netsutil-->set dsrm password-->Reset Password on Server 12DC.iLync.cn-->输入新密码-->确认新密码-->完成
10 禁用180天未登录用户
查询180天不登录的用户然后禁用dsquery user -stalepwd 180 -limit 0| demos user -disabled yes
11 管理活动目录数据库
1,标准SQL数据库:SQL Server
2,ESE引擎数据库:ADDB, Exch DB
12 活动目录域服务
1,Windows Server 2008新特性,把所有域中的功能整合到一个服务中,大大方便了管理
2,启动服务:Net Start NTDS
3,停止服务:Net Stop NTDS
在Windows 2003 中,需要进入到目录服务还原模式
在Windows 2008之后的系统中,只需要执行net stop ntds,然后执行移动动作,然后启动服务:net start ntds,即可完成数据库移动动作
移动活动目录数据库案例:
#1 需求
公司域控服务器原先存储在C盘,由于空间不够,现需要把活动目录数据库移动到H盘,应该如何操作?
#2 移动活动目录数据库:
1,Net Stop ntds
2,Ntdsutil-->Active Instance NTDS-->files-->Move DB to H:\ADDB\-->Move LOGS to H:\1DDB\
3,Net Start ntds
13 压缩整理活动目录数据库
1,有两种压缩方式:一种是在线整理(由DC自动完成,一种是离线整理(手动完成)
a,在线整理:DC会每隔12小时自动运行所谓的“垃圾收集程序”来整理AD库,它只是将资料有效率的重新整理、排序。不会减少空间。此时AD在线。
b,离线整理:在目录还原模式内手动进行,会压缩空间,AD离线
14 活动目录备份
1,标准活动目录备份选择“System State"
2,可以通过Windows Server Backup备份,也可以通过 Symantec BE来完成对活动目录的备份
3,备份ADDB推荐备份整个系统(裸机恢复的备份),即使买了一台新的服务器,也可以保证一次恢复,大大提高了恢复的成功率
4,默认备份有效期180天
注:
系统状态:
①如果是一台普通的服务器:注册表,com+类库。Boot Files
②如果是DC:注册表,com+类库,Boot Files,活动目录数据库,Sysvol
③如果是CA:注册表,com+类库,Boot Files,证书数据库
④DC+CA:注册表,com+类库,Boot Files.活动目录数据库,Sysvol,证书数据库
注:如果备份系统状态,在还原的时候,当前的系统一定要能正常工作,对于AD备份,还是推荐整机备份(裸机恢复的备份)
15 活动目录回收站
1,启用活动目录回收站必须需要Enterprise Admins成员
2,当前的林功能基本至少是Windows 2008 R2模式
3,活动目录回收站一旦启用,无法禁用
4,活动目录回收站启用后,活动目录数据库容量会增加15%-30%
误删除对象-->活动目录回收站(180天)-->Delete object(180天)--真正删除
16 活动目录迁移
升级:
1)广义的:从低版本到高版本的过程
2)狭义的:本机升级
迁移:
全新部署一台服务器,把数据移动到新的服务器
迁移前所考虑的问题
①域名(内外域名是否一致)
②公司域的逻辑架构拓扑图,域的架构
③公司网络拓扑图,公司带宽
④客户端数量,是否加域,客户端操作系统
⑤域平台应用:是否有Exchange,基于域身份验证的应用有哪些
⑥环境部署是否使用到虚拟化技术
⑦当前域存在哪些问题
⑧预算及实施时间
Windows 2003可以直接迁移到Windows 2012R2吗?
可以,但exchange不行
exchange 2003-->exchange 2007 sp3/exchange 2010
exchange 2007 sp3/exchange 2010-->exchange 2013
如果现在有两个DC,都是Windows 2003系统(同林)
1,DC01 192.168.1.2(PDC)
2,DC02 192.168.1.3
如何迁移到Windows 2012对当前的架构影响最小?
迁移的大致步骤:
1,把DC02关机,让DC01运行一段时间(一周)
2,对DC02进行备份
3,取消DC02的GC,调整客户端DNS的指向,让DC02DNS地址指向DC01
4,降级DC02为Member Server,并退域关机
5,安装一台全新的Windows Server 2012 R2,计算机名为DC02,IP:192.168.1.3,
并且加入域
6,让DC02成为当前域的备份域控
7,确保DC02 DNS,GC功能
8,迁移操作主机到DC02
9,把DC01关机,让DC02运行一段时间(一周)
10,对DC01进行备份
11,取消DC01的DC,调整客户端DNS的指向,让DC01DNS地址指向DC02
12,降级DC01为Member Server,并退域关机
13,安装一台全新的Windows Server 2012 R2,计算机名称为DC02,IP:192.168.1.3,并且加入域
14,让DC01成为当前域的备份域控
注:如果是Windows server 2003迁移到2008 R2,还需要做以下操作:
1)更新林ADPrep/forestprep
2)更新域ADPrep/domainprep
3)更新域ADPrep/rodcprep
dcpromo
netdom query fsmo
跨林迁移
1,林与林必须存在信任关系,配置林信任满足的条件:
1)配置两个林的DNS转发
2)林的功能级别至少是Windows Server 2003模式
使用ADMT(Active Directory Migration Tools),一般是安装在源DC上,如果源DC是2003 SP2的版本,建议使用ADMT 3.0版本,如果源DC是2008,建议使用ADMT3.2(后台需要安装SQL Server )
ADMT:活动目录迁移工具,可以迁移用户,组,计算机等对象
2.1 批量创建用户账户
http://www.ilync.cn/org/6818_ld_510579_1
第3章 存储
3.1存储分类介绍
存储架构根据服务器类型分为:
1、开放系统的存储(开放系统指基于Windows、UNIX、Linux等操作系统的服务器)
2、封闭系统的存储(封闭系统主要指大型机)
开放系统的存储分为:
内置存储和外挂存储
外挂存储根据连接的方式分为:直连式存储(Direct-Attached Storage,简称DAS)和网络化存储(Fabric-Attached Storage,简称FAS);网络化存储根据传输协议又分为:网络接入存储(Network-Attached Storage,简称NAS)和存储区域网络(Storage Area Network,简称SAN)。
3.2DAS存储
DAS存储是最常见的一种存储方式,尤其是在中小企业应用中。PC中的硬盘或只有一个外部SCSI接口的JBOD都属于DAS架构。
DAS是指存储设备直接连接到服务器总线上,存储设备只与一台独立的主机连接,其他主机不能使用这个存储设备哦(^_^)∠※
DAS存储设备与服务器主机之间的连接通道通常采用SCSI连接,DAS存储设备主要是磁盘阵列(RAID: Redundant Arrays of Independent Disks)、磁盘簇(JBOD:Just a Bunch Of Disks)等。
3.3NAS存储
(网络接入存储Network-Attached Storage)
NAS存储就是存储设备通过标准的网络拓扑结构(比如以太网)添加到一群计算机上。与DAS以及SAN不同,NAS是文件级的存储方法。采用NAS较多的功能是用来进行文件共享。
NAS存储也通常被称为附加存储,顾名思义,就是存储设备通过标准的网络拓扑结构(例如以太网)添加到一群计算机上。NAS是文件级的存储方法,它的重点在于帮助工作组和部门级机构解决迅速增加存储容量的需求。如今更多的亲们采用NAS较多的功能是用来文档共享、图片共享、电影共享等等,而且随着云计算的发展,一些NAS厂商也推出了云存储功能,大大方便了企业和亲们等个人用户的使用。
NAS产品是真正即插即用的产品。NAS设备一般支持多计算机平台,用户通过网络支持协议可进入相同的文档,因而NAS设备无需改造即可用于混合Unix/Windows NT局域网内,同时NAS的应用非常灵活。
但NAS有一个关键性问题,即备份过程中的带宽消耗。与将备份数据流从LAN中转移出去的存储区域网(SAN)不同,NAS仍使用网络进行备份和恢复。NAS 的一个缺点是它将存储事务由并行SCSI连接转移到了网络上。这就是说LAN除了必须处理正常的最终用户传输流外,还必须处理包括备份操作的存储磁盘请求。
3.4SAN存储
(存储区域网络Storage Area Network)存储区域网络,从名字上亲们也可以看出,这个是通过光纤通道交换机连接存储阵列和服务器主机,最后成为一个专用的存储网络。SAN经过十多年历史的发展,已经相当成熟,成为业界的事实标准(但各个厂商的光纤交换技术不完全相同,其服务器和SAN存储有兼容性的要求)。
SAN提供了一种与现有LAN连接的简易方法,并且通过同一物理通道支持广泛使用的SCSI和IP协议。SAN不受现今主流的、基于SCSI存储结构的布局限制。特别重要的是,随着存储容量的爆炸性增长,SAN允许企业独立地增加它们的存储容量。SAN的结构允许任何服务器连接到任何存储阵列,这样不管数据置放在那里,服务器都可直接存取所需的数据。因为采用了光纤接口,SAN还具有更高的带宽。
如今的SAN解决方案通常会采取以下两种形式:光纤信道以及iSCSI或者基于IP的SAN,也就是FC SAN和IP SAN。光纤信道是SAN解决方案中大家最熟悉的类型,但是,最近一段时间以来,基于iSCSI的SAN解决方案开始大量出现在市场上,与光纤通道技术相比较而言,这种技术具有良好的性能,而且价格低廉。
SAN的优势:
随着存储容量的增长,SAN允许企业独立地增加他们的存储容量。
SAN允许任何服务器连接到任何存储阵列(好处是:不管数据放在哪里,服务器都可以直接存取所需的数据哦)
由于使用光纤接口,SAN具有更高的带宽。除了FC连接,SAN连接还有ISCSI(SCSI over IP)以及
SAS(Serial Attached SCSI)接口。
光纤接口可以提供10公里那么长那么远的连接长度,非常容易实现物理分离的存储Y(^_^)Y
SAN与NAS的主要区别体现在操作系统所在的位置。
3.5关于三种存储架构的应用场景
DAS虽然比较古老了,但是还是很适用于那些数据量不大,对磁盘访问速度要求较高的中小企业;
NAS多适用于文件服务器,用来存储非结构化数据,虽然受限于以太网的速度,但是部署灵活,成本低;
SAN则适用于大型应用或数据库系统,缺点是成本高、较为复杂(>﹏<)