Windows Server 2008 再造新一代IT基礎(chǔ)架構(gòu) 實驗手冊

Windows Server 2008 再造新一代IT基礎(chǔ)架構(gòu)實驗手冊模塊 A：活動目錄升級與服務(wù)器部署模塊 B：Windows Server 2008組策略模塊 C：保護(hù)網(wǎng)絡(luò)接入和主機(jī)安全模塊 D：終端服務(wù)新體驗 Lab version 1.0c (2008年11月20日) - A4 實驗準(zhǔn)備為確保完成所有實驗?zāi)K，請務(wù)必閱讀下列信息： 虛擬 PC本實驗將使用Microsoft Virtual PC 2007。該應(yīng)用程序支持在同一物理硬件上運行多臺虛擬計算機(jī)。您將于實驗過程中在不同窗體之間進(jìn)行切換，而每個窗體均包含運行Windows Server 2008或Windows Vista的獨立虛擬計算機(jī)。在開始實驗前，請務(wù)必熟悉有關(guān)Virtual PC的下列基本操作：n 在虛擬計算機(jī)窗體內(nèi)，請使用<右側(cè)>Alt-Del組合鍵替代Ctrl-Alt-Del組合鍵。n 如欲調(diào)整虛擬計算機(jī)窗體大小，請拖動窗體右下角。n 如欲切換到全屏模式或從全屏模式返回窗體模式，請按組合鍵<右側(cè)>Alt-Enter。 實驗環(huán)境注 : 實驗的所有密碼都是 Password01!Shanghai站點DC-01 : 作為 AD,DNS,DHCP服務(wù)器TCP/IP:10.237.0.2, 255.255.255.0, 10.237.0.1DNS: 10.237.0.2 2008-01 : 終端服務(wù)(預(yù)安裝), 在實驗中將把它配置為額外域控制器TCP/IP: 10.237.0.3, 255.255.255.0, 10.237.0.1DNS: 10.237.0.22008-03 : 實驗中將會把它配置為TS網(wǎng)關(guān)服務(wù)器TCP/IP:10.237.0.4, 255.255.255.0, 10.237.0.1DNS: 10.237.0.2Beijing站點2008-02 : 實驗中將會把它配置為只讀域控制器（該虛擬機(jī)在這次HOL沒有使用）TCP/IP: 10.237.1.2, 255.255.255.0, 10.237.1.1DNS: 10.237.0.2Vista-01 : Vista-01 有兩塊網(wǎng)卡.一塊用于Shanghai 站點 ,另一塊用于 Beijing 站點. 使得我們可以更改Vista-01 所在的站點。TCP/IP(Beijing 網(wǎng)卡): 10.237.1.2, 255.255.255.0, 10.237.1.1DNS(Beijing 網(wǎng)卡) : 10.237.0.2Vista-02 : 加入域 Router (預(yù)先配置,使用RRAS來轉(zhuǎn)發(fā)網(wǎng)絡(luò)數(shù)據(jù)包). 請您不要修改此PC上的設(shè)置。 開始實驗在開始任何一個實驗?zāi)K之前，均應(yīng)首先啟動虛擬計算機(jī)，并執(zhí)行登錄操作。您只要啟動各項練習(xí)所需使用的虛擬計算機(jī)。登錄虛擬計算機(jī)上的一臺計算機(jī)：1. 按下組合鍵<右側(cè)>Alt-Del （而非Ctrl-Alt-Del）打開登錄對話框。2. 輸入以下信息：n用戶名：Administratorn密碼：Password01!然后單擊“確定”。3. 現(xiàn)在即可開始做實驗手冊中的練習(xí)。祝實驗順利！ 意見和反饋請將有關(guān)虛擬計算機(jī)或?qū)嶒炇謨缘囊庖?、反饋或勘誤發(fā)送給：王輝chinamctLab version 1.0c (2008年11月20日)模塊 A：活動目錄升級與服務(wù)器部署練習(xí)1升級到Windows Server 2008通過這個練習(xí),您將升級已有的Windows Server 2003 域控制器到Windows Server 2008。在升級的過程中，您將打開一個命令提示符, 從安裝卷的日志中查看特定的信息。完成此練習(xí)的估計時間為 30分鐘（建議本實驗和PPT講解同時進(jìn)行，此實驗為后面所有實驗的基礎(chǔ)）場景您公司的Windows Server 2003必須要升級到Windows Server 2008，公司的政策規(guī)定所有服務(wù)器必須升級。您希望保證Windows Server 2003域控制器可以正常升級。任務(wù)詳細(xì)步驟4 注意：此實驗練習(xí)使用以下計算機(jī)：DC-01請參考手冊的開始部分以了解有關(guān)如何啟動計算機(jī)的說明。登錄到計算機(jī)。4 在 DC-01 計算機(jī)上執(zhí)行以下步驟。1. 嘗試升級到Windows Server 2008a. 把Windows Server 2008安裝ISO文件掛載到虛擬機(jī)。v ISO文件位于SetupFiles文件夾下面。v 您的桌面將出現(xiàn)Install Windows窗口。b. 在Install Windows窗口，點擊Install Now。c. 在Important updates屏幕，不要選擇I want to help make Windows installation better,點擊Do not get the latest updates for installation。d. 在Select the operating system屏幕，選擇Windows Server 2008 Enterprise (Full Installation)。e. 在end user license agreement (EULA) 屏幕, 選擇I accept the license terms，然后點擊 Next。f. 在 type of installation 屏幕, 注意以下消息:v Upgrade has been disabled.v Active Directory on this domain controller does not contain Windows Server 2008 ADPREP /FORESTPREP updates. See g. 按 Esc 鍵，當(dāng)提示 Are you sure you want to cancel Windows installation?, 請點擊 Yes。h. 最小化Windows Server 2008安裝窗口。2. 設(shè)置域的功能級別為Windows Server2003 a. 點擊“開始”，指向“管理工具”，然后點擊“Active Directory用戶和計算機(jī)。.b. 點擊“”，右擊選擇“提升域功能級別”。c. 在“提升域功能級別”窗口，可以看到當(dāng)前年域的功能級別為“Windows 2000混合模式”。d. 在下拉列表中選擇“Windows Server 2003”，點擊“提升”，然后再彈出的窗口點擊“確定”。e. 當(dāng)提示域功能級別提升成功，點擊“確定”。f. 關(guān)閉“Active Directory 用戶和計算機(jī)。3. 為升級到Windows Server 2008準(zhǔn)備森林和域a. 從開始菜單打開命令提示符，變更路徑到D:sourcesadprep。b. 為準(zhǔn)備森林輸入以下命令adprep /forestprep。c. 出現(xiàn)確認(rèn)提示，輸入C,然后按Enter鍵。d. 完成以后將輸出以下消息.。v Adprep successfully updated the forest-wide informatione. 為準(zhǔn)備域輸入以下命令adprep /domainprep。f. 完成后將輸出以下消息。v Adprep successfully updated the domain-wide information4. 重新嘗試升級到Windows Server 2008a. 恢復(fù)Windows Server 2008安裝窗口。b. 在Install Windows窗口，點擊Install Now。c. 在Important updates屏幕，不要選擇I want to help make Windows installation better,點擊Do not get the latest updates for installation。d. 在Select the operating system屏幕，選擇Windows Server 2008 Enterprise (Full Installation)。e. 在end user license agreement (EULA) 屏幕, 選擇I accept the license terms，然后點擊 Next。f. 在 installation type 屏幕，可以看到 Upgrade 選項可以使用了，點擊Upgrade。g. 在 Compatiblity Report 屏幕，查看信息，然后點擊 Next。v 在本實驗中，可以忽略任何報告的兼容性問題。5. 觀察文件復(fù)制過程a. 在文件復(fù)制過程中，按 SHIFT +F10 來訪問 WinPE 命令提示符。輸入下面的命令進(jìn)入C盤根目錄并列出內(nèi)容：v cd v dirb. 記錄下您在C盤根目錄下觀察到的文件和文件夾。6. 完成升級過程a. 在第一次重啟動時，按 SHIFT +F10 來訪問 WinPE 命令提示符。在命令提示符下，輸入下列命令來切換到C盤的根目錄并列出內(nèi)容。v cd v dirb. 記錄下您在C盤根目錄下觀察到的文件和文件夾。c. 使用Administrator登錄。7. 重新安裝虛擬機(jī)插件a. 在虛擬機(jī)窗口上點擊Action，點擊Install or update virtual machine additions，在彈出的窗口點擊continue。b. 關(guān)閉彈出的auto play的窗口。c. 運行D:WindowsVirtualMachineAddtions.msi，然后點擊next，最后點擊finish。d. 在virtual Machine Additions 窗口，點擊Yes。e. 重啟以后使用Administartor登錄。8. 安裝多國語言包a. 把setupCD文件夾下的MUI文件夾復(fù)制到虛擬機(jī)的桌面上。b. 從開始菜單點擊control panel，點擊“Regional and language options”。c. 在彈出的窗口點擊“keyboards and languages”，點擊install/uninstall languages。d. 在彈出的窗口選擇install languages，然后瀏覽到桌面，選擇MUI文件夾，點擊next。e. 接受協(xié)議，點擊兩次next，開始安裝過程。v 大約需要花費10分鐘左右時間。f. 安裝結(jié)束后，將彈出“install or uninstall display languages”窗口。g. 在“install or uninstall display languages”窗口中勾選change my display language to，在下來拉列表中選擇“簡體中文”，勾選Apply changes to my system accounts，點擊Close。h. 在Regional and language options 窗口中，在choose a display language下選擇“簡體中文“，然后點擊OK。i. 在change display language，點擊logoff now。j. 重新用Administrator登錄。9. 查看安裝日志文件a. 訪問路徑 %windir%logsCBS ，然后雙擊CBS.log。10. 查看SetupAct.log日志文件a. 在“服務(wù)器管理器”控制臺，查看“服務(wù)器摘要”，“角色摘要”，“功能摘要”下的信息。b. 點擊“開始”，“計算機(jī)”。c. 雙擊C盤，然后雙擊Windows文件夾。d. 找到SetupAct.log，然后用寫字板打開。e. 在“編輯”菜單，點擊“查找”，輸入monitor 作為關(guān)鍵字，然后點擊“查找下一個”來查看文件中所有監(jiān)視器的實例。v 您查看到那些文件和監(jiān)視器相關(guān)聯(lián)？f. 回顧日志文件中顯示器的信息并注意哪些DLL被用于安裝顯示設(shè)備。.11. 查看setupapi.de.log設(shè)備安裝日志文件a. 在Windows文件夾下面，雙擊INF文件夾。b. 找到setupapi.dev.log，然后用寫字板打開。 在“編輯”菜單，點擊“查找”，輸入CD-ROM Drive 作為關(guān)鍵字，然后點擊“查找下一個”。 c. 查看日志文件中 CD-ROM Drive的部分。v 那些INF文件被用于安裝CD-ROM Drive？12. 查看C盤下的文件夾結(jié)構(gòu)a. 當(dāng)前 WindowsINF 文件夾依然打開，點擊“后退”兩次，將返回C盤的根目錄。b. 查看C盤下的文件和文件夾結(jié)構(gòu)。4 備注：不要關(guān)閉DC-01虛擬機(jī)，保持虛擬機(jī)為運行狀態(tài)。練習(xí)2安裝額外的Windows Server 2008域控制器通過這個練習(xí),您將把一臺工作組中的Windows Server 2008計算機(jī)提升為Windows Server 2008域的域控制器。完成此練習(xí)的估計時間為15分鐘（建議上午完成本實驗）場景您公司已經(jīng)成功把Windows Server 2003域升級到Windows Server 2008域，為了實現(xiàn)容錯性，因此打算部署第二臺輔助與控制器。任務(wù)詳細(xì)步驟4 注意：此實驗練習(xí)使用以下計算機(jī)：DC-01，2008-014 請參考手冊的開始部分以了解有關(guān)如何啟動計算機(jī)的說明。登錄到計算機(jī)。4 在 2008-01 計算機(jī)上執(zhí)行以下步驟。1. 安裝活動目錄域服務(wù)a. 使用Administrator登錄。b. 運行“服務(wù)器管理器”。v 點擊“開始“，”管理工具“，”服務(wù)器管理器“。c. 選擇”角色“，然后在右邊面板選擇“添加角色”，此時將打開“添加角色向?qū)А薄. 在“開始之前”頁面，點擊“下一步”。e. 在“選擇服務(wù)器角色”頁面，選擇“Active Directory域服務(wù)”，在彈出的對話框選擇“仍要安裝ADDS（不推薦）”，然后點擊“下一步”。f. 在“Active Directory域服務(wù)”頁面選擇“下一步”。g. 在“確認(rèn)安裝選擇”頁面，點擊“安裝”。h. 當(dāng)“安裝結(jié)果”出現(xiàn)，請確認(rèn)安裝成功。i. 點擊“關(guān)閉”。j. 注意在“服務(wù)器管理器”中“角色摘要”列表中“Active Directory域服務(wù)”有一個紅色的X。點擊“Active Directory域服務(wù)”，然后閱讀“摘要”。v 可以看到此服務(wù)器還沒有被配置為域控制器。安裝ADDS角色并不會自動運行dcpromo過程。2. 提升新域控制器a. 打開“命令提示符”，輸入dcpromo，然后按Enter鍵。v 另外，在“摘要”下面也可以運行此向?qū)А. 此計算機(jī)安裝了終端服務(wù)，所以此時會彈出對話框提示您安全策略的變化，閱讀完畢后請點擊“OK”。c. 在“歡迎使用Active Directory域服務(wù)安裝向?qū)А表撁妫x擇“使用高級模式安裝”，然后點擊“下一步”。d. 在“操作系統(tǒng)兼容性”頁面選擇“下一步”。e. 在“選擇某一部署設(shè)置”頁面選擇“現(xiàn)有林”，然后選擇“向現(xiàn)有域添加域控制器”，然后點擊“下一步”。f. 在“網(wǎng)絡(luò)憑據(jù)”頁面輸入，在“備用憑據(jù)”下選擇“設(shè)置”，輸入以下信息：v contosoAdministratorv Password01!g. 點擊“下一步”。h. 在“選擇一個域”頁面選擇“（林根域）”。i. 由于在運行向?qū)е皼]有在域中運行過adprep /rodcprep，所以彈出一個提示框讓您去人，請點擊“是”。j. 在“選擇一個站點”頁面，不要選擇“與此計算機(jī)的IP地址對應(yīng)的站點”，然后選擇“Shanghai”,點擊”下一步“。v Windows Server 2008 Active Directory域服務(wù)安裝向?qū)в幸粋€新的對話框，此對話框可用的選項有：v DNS服務(wù)器v 全局編錄k. 閱讀“其他信息”，選擇“DNS服務(wù)器”和“全局編錄”，然后點擊“下一步”。l. 此時將彈出對話框，顯示“無法創(chuàng)建該DNS服務(wù)器的委派”，點擊“是”。v 這是因為是頂級域并且不能找到.com域（根本不存在）。這個消息的目的是為了幫助IT管理員能在安裝ADDS的過程中正確的配置DNS。m. 在“從介質(zhì)安裝”頁面選擇“通過網(wǎng)絡(luò)從現(xiàn)有域控制器復(fù)制數(shù)據(jù)”，然后選擇“下一步”。n. 在“源域控制器”頁面，選擇“讓向?qū)нx擇一個合適的域控制器”，然后點擊“下一步”。v 這是一個新頁面，可以讓您選擇一個源域控制器，注意源域控制器必須是可寫的。o. 在“數(shù)據(jù)庫，日志文件和SYSVOL的位置”頁面點擊“下一步”。p. 在“目錄服務(wù)還原模式的Administrator密碼”頁面，兩次輸入Password01！。q. 在“摘要”頁面，點擊“導(dǎo)出設(shè)置”來創(chuàng)建一個應(yīng)答文件。v 輸入C:2008-answer.txt，然后點擊“保存”，“確定”。r. 在“摘要”頁面點擊“下一步”，開始Active Directory域服務(wù)的安裝。s. 在“Active Directory域服務(wù)安裝向?qū)А表撁孢x擇“完成后重新啟動。3. 驗證域控制器是否工作正常a. 重新啟動以后使用contosoAdministrator登錄。b. 從開始菜單，打開Control Panel，雙擊Regional and Language Settings，選擇keyboards and Languages，把Display Language更改為“簡體中文”。c. 重新注銷用contosoAdministrator登錄。d. “初始化配置任務(wù)”頁面將自動打開。注意在“1 提供計算機(jī)信息”區(qū)域下“計算機(jī)完整名稱”和“域”已經(jīng)列出來。e. 關(guān)閉“初始化配置任務(wù)”頁面。“服務(wù)器管理器”頁面會自動打開。f. 確認(rèn)在“角色”下列出了“Active Directory域服務(wù)”。g. 選擇“Active Directory域服務(wù)”，查看右邊面板中的信息。h. 從左面面板展開“Active Directory域服務(wù)”，“Active Directory用戶和計算機(jī)”，“domain controller”。v 確認(rèn)2008-01在列表中。i. 展開“Active Directory站點和服務(wù)”，Sites，Shanghai，Servers。v 確認(rèn)2008-01在列表中。展開2008-01。v 確認(rèn)ntds settings已經(jīng)成功創(chuàng)建。4. 驗證DNS記錄注冊和DNSa. 展開“DNS服務(wù)器”，DNS，2008-01，正向查找區(qū)域，然后選擇_tcp。在右面面板確定出現(xiàn)了以下記錄。v _LDAP._TCP v _Kerberos._TCPv _Kpasswd._TCPv _GC._TCPb. 在左面面板點擊最頂層的“服務(wù)器管理器”，在“服務(wù)器摘要”下點擊“查看網(wǎng)絡(luò)連接”。c. 查看TCP/IPv4屬性，注意127.0.0.1已經(jīng)被作為輔助的DNS服務(wù)器添加。d. 關(guān)閉TCP/IPv4屬性，返回“服務(wù)器管理器”。e. 在左面面板點擊“診斷”，“事件查看器”，“Windows日志”。v 選擇“應(yīng)用程序”日志，確認(rèn)SceCli 事件 1704被報告。f. 選擇“應(yīng)用程序和服務(wù)日志”。g. 選擇“文件復(fù)制服務(wù)“日志，確認(rèn)NtFrs 事件13516被報告。h. 關(guān)閉“服務(wù)器管理器”。5. 查察看dcpromo.loga. 打開C:WindowsDebugDCPROMO.LOG。v 可以看到現(xiàn)在dcopromo.log在第一行記錄了該計算機(jī)提升為域控制器的年，月，日。v 例如：10/01/2007 11:03:20 INFO Promotion request4 備注：不要關(guān)閉2008-01虛擬機(jī)，保持虛擬機(jī)為運行狀態(tài)。練習(xí)3使用WDS在Windows Server 2008域中部署成員服務(wù)器通過這個練習(xí),您將配置2008-01為WDS服務(wù)器，并使用它分發(fā)服務(wù)器操作系統(tǒng)。完成此練習(xí)的估計時間為40分鐘（建議上午11點30進(jìn)行本實驗，午餐回來此實驗即可完成）場景您是公司的IT管理員，您公司已經(jīng)成功把Windows Server 2003域升級到Windows Server 2008域，為了更方便、高效的部署Windows Server 2008成員服務(wù)器，因此您打算使用Windows部署服務(wù)來分發(fā)Windows Server 2008。任務(wù)詳細(xì)步驟4 注意：此實驗練習(xí)使用以下計算機(jī)：DC-01請參考手冊的開始部分以了解有關(guān)如何啟動計算機(jī)的說明。登錄到計算機(jī)。4 在 DC-01計算機(jī)上執(zhí)行以下步驟。1. 安裝WDS服務(wù)a. 使用contosoAdministrator登錄DC-01。b. 打開“服務(wù)器管理器”，點擊“角色”。c. 點擊“添加角色”。點擊”下一步“。d. 選擇“windows部署服務(wù)“，點擊”下一步“。e. 點擊“下一步“兩次。f. 點擊“安裝“。g. 向?qū)瓿珊簏c擊“關(guān)閉“。2. 配置WDSa. 從開始菜單，點擊“管理工具“，點擊”Windows部署服務(wù)“。b. 在“Windows部署服務(wù)“控制臺，展開”服務(wù)器“，點擊DC-，右擊選擇”配置服務(wù)器“。c. 點擊“下一步“。d. 接受默認(rèn)路徑，點擊“下一步“，在警告框中點擊”是“。e. 選擇“不偵聽端口67“和”將DHCP選項標(biāo)記#60配置為PXEClient“，點擊”下一步“。v 只有當(dāng)DHCP和WDS裝在一臺服務(wù)器上時才會出現(xiàn)此頁面，f. 由于后續(xù)尚有配置沒做，所以這里選擇“不響應(yīng)任何客戶端計算機(jī)“。g. 不選擇“立即在Windows部署服務(wù)器上添加映像“，點擊完成。3. 查看DHCP服務(wù)器選項a. 從開始菜單，點擊“管理工具“，點擊DHCP。b. 在DHCP控制臺展開dc-，IPV4，點擊“服務(wù)器選項“。v 可以看到自動添加了060 PXEClient服務(wù)器選項。4. 創(chuàng)建啟動映像a. 把Windows Server 2008安裝的ISO掛載到虛擬機(jī)。b. 在Windows部署服務(wù)控制臺，點擊“啟動映像“，右擊選擇”添加啟動映像“。c. 點擊“瀏覽“，點擊”計算機(jī)“，雙擊D盤，雙擊Sources文件夾，選擇boot.wim文件，點擊”打開“。v 只有Windows Server 2008光盤內(nèi)的boot.wim才支持多播。d. 點擊“下一步“。設(shè)置映像名稱和說明為Microsoft Windows Longhorn Boot Image(x86)，點擊”下一步“。e. 點擊“下一步“。f. 點擊“完成“。4 小結(jié)：啟動映像的作用用于引導(dǎo)操作系統(tǒng)安裝5. 創(chuàng)建捕獲啟動映像a. 選擇”啟動映像“，在右面面板選擇Microsoft Windows Longhorn Boot Image(x86)啟動映像，右擊選擇”創(chuàng)建捕獲啟動映像“。b. 設(shè)置映像名稱為“Microsoft Windows Longhorn Capture Image(x86) “，映像保存路徑指定為C:WDSCapture.wim，點擊”下一步“。c. 點擊“完成“。6. 添加捕獲啟動映像作為啟動映像a. 在Windows部署服務(wù)控制臺，點擊“啟動映像“，右擊選擇”添加啟動映像“。b. 點擊“瀏覽“，點擊”計算機(jī)“，雙擊C盤，選擇WDSCapture.wim，點擊”打開“。c. 點擊“下一步“三次。d. 點擊“完成“。4 小結(jié)：捕獲啟動映像的作用是把自定義的模板計算機(jī)捕獲成新的安裝映像。7. 創(chuàng)建發(fā)現(xiàn)啟動映像a. 選擇”啟動映像“，在右面面板選擇Microsoft Windows Longhorn Boot Image(x86)啟動映像，右擊選擇”創(chuàng)建發(fā)現(xiàn)啟動映像“。b. 設(shè)置映像名稱和說明為Microsoft Windows Longhorn Discover Image(x86)，映像保存路徑指定為C:WDSDiscover.wim，指定要響應(yīng)的WDS服務(wù)器為DC-，點擊“下一步“。c. 點擊“完成“。8. 安轉(zhuǎn)Windows AIK工具包。a. 把Windows AIK的ISO掛載到虛擬機(jī)。b. 雙擊D盤，點擊windows AIK setup，執(zhí)行安裝。9. 制作發(fā)現(xiàn)啟動映像的ISO文件a. 從開始菜單，點擊“所有程序“，Microsoft Windows AIK，點擊windows PE tools。b. 執(zhí)行copype.cmd x86 c:winPE。c. 執(zhí)行copy /y c:WDSDiscover.wim c:winPEISOSourcesboot.wim。d. 切換路徑到C:Program filesWindows AIKtoolsx86。e. 執(zhí)行oscdimg.exe -n -bc:winPEisoboot c:winpeiso c:WDSDiscover.isov 此時您的C盤根目錄下有三個文件，分別是WDSCapture.wim，WDSDiscover.wim，WDSDiscover.iso。4 發(fā)現(xiàn)啟動映像的作用是在客戶端計算機(jī)無法從網(wǎng)卡引導(dǎo)時可以從該光盤（把WDSDiscover.iso刻錄成CD）引導(dǎo)。10. 創(chuàng)建安裝映像a. 把Windows Server 2008安裝的ISO掛載到虛擬機(jī)。b. 在Windows部署服務(wù)控制臺，點擊“安裝映像“，右擊選擇”添加安裝映像“。c. 輸入映像組名稱為2008MemberServersGroup，點擊“下一步”d. 點擊“瀏覽“，點擊”計算機(jī)“，雙擊D盤，雙擊Sources文件夾，選擇install.wim文件，點擊”打開“，點擊“下一步”。e. 只選擇Windows Longhorn SERVERENTERPRISE，點擊“下一步”。f. 點擊“下一步”。g. 點擊“完成”。11. 設(shè)定PXE響應(yīng)設(shè)置a. 選擇“DC-”，右擊“屬性”，點擊“PXE響應(yīng)設(shè)置”選項卡，選擇“響應(yīng)所有（已知和未知）客戶端計算機(jī)。12. 創(chuàng)建DBServers組織單位a. 打開“Active Directory用戶和計算機(jī)“，選擇，右擊選擇”新建“，”組織單位“，命名為DBServers。13. 創(chuàng)建WDS安裝管理員用戶a. 點擊Users容器，右擊選擇”新建“，”用戶，命名為WDSAdmin，密碼為Password01！,設(shè)置密碼永不過期。14. 委派WDSAdmin對DBServers組織單位完全控制計算機(jī)的權(quán)限a. 選擇DBServers組織單位，右擊選擇“委派控制“，點擊”下一步“。b. 添加WDSAdmin，點擊“下一步“。c. 選擇”創(chuàng)建自定義任務(wù)去委派“，點擊”下一步“。d. 選擇“只是這個文件夾中的下列對象“，選擇”計算機(jī)對象“，勾選”在這個文件夾中創(chuàng)建所選對象“和”刪除這個文件夾中所選對象“，點擊”下一步“。e. 選擇”完全控制“，點擊”下一步“。f. 點擊“完成“。15. 設(shè)置WDS目錄服務(wù)設(shè)定a. 選擇“DC-”，右擊“屬性”，點擊“目錄服務(wù)“選項卡，設(shè)置客戶端帳戶位置為”DBServers“，點擊”確定“。v 您可以同時查看其他選項卡。4 測試WDS分發(fā)新操作系統(tǒng)4 新建一個空白虛擬機(jī)，指定虛擬機(jī)存放路徑為HOL的VM文件夾，虛擬機(jī)名為DBServer。1. 啟動虛擬機(jī)，安裝操作系統(tǒng)a. 按F12鍵。b. 選擇Microsoft Windows Longhorn Boot Image(x86)映像，按Enter鍵。v 此時會顯示W(wǎng)indows is Loading Files畫面，注意左下角顯示的IP為10.237.0.2，此IP正是WDS服務(wù)器的地址。c. 選擇Chinese(Simplified PRC),點擊next。d. 輸入用戶名contosoWDSAdmin，密碼Password01！。e. 分成C和D兩個主分區(qū)，然后點擊Next。f. 點擊Next，等待計算機(jī)完成安裝。g. 按照提示完成操作系統(tǒng)配置。v 區(qū)域設(shè)置選擇Chinav Administrator密碼設(shè)置為Password01!。h. 安裝虛擬機(jī)插件。i. 重新啟動計算機(jī)。4 以此計算機(jī)為模板，創(chuàng)建新的自定義的服務(wù)器安裝映像。2. 重新封裝此計算機(jī)a. 用Administrator登錄。b. 打開命令提示符，進(jìn)入WindowsSystem32sysprep。c. 執(zhí)行sysprep -oobe -generalize -reboot。3. 捕獲操作系統(tǒng)映像a. 計算機(jī)會自動重啟。b. 按Delete鍵，進(jìn)入BIOS，修改為引導(dǎo)方式為PXE。c. 按F12鍵。d. 選擇Microsoft Windows Longhorn Capture Image(x86)。v 此時會顯示W(wǎng)indows is Loading Files畫面，注意左下角顯示的IP為10.237.0.2，此IP正是WDS服務(wù)器的地址。e. 點擊Next。f. 選擇要捕獲的卷為C盤，Image名字和說明均為CustomDBServer。g. 保存到D盤，文件名為CustomDBSever.wim，選擇upload image to Server，服務(wù)器名為DC-h. 輸入用戶名contosoadministrator，密碼Password01！，點擊“確定“。i. 選擇Image Group為2008memberServersGroup，點擊“下一步“。4 在 DC-01計算機(jī)上執(zhí)行以下步驟。4. 查看捕獲并上傳的自定義安裝映像a. 打開WDS控制臺，點擊安裝映像。b. 可以看到CustomDBServer安裝映像。v 此映像可以作為其他新服務(wù)器安裝的模板。v 新服務(wù)器安裝依然開機(jī)按F12鍵即可，后面就可以選擇到該模板安裝映像。模塊 B：Windows Server 2008組策略練習(xí)1實現(xiàn)粒度化的密碼策略在這個練習(xí)中，您將創(chuàng)建密碼設(shè)置對象用于粒度化的密碼策略。 完成此練習(xí)的估計時間為 10分鐘場景您是公司的管理員，你被要求為屬于公司經(jīng)理組的用戶設(shè)置一個密碼策略，規(guī)定密碼最少10個字符。任務(wù)詳細(xì)步驟4 注意：此實驗練習(xí)使用以下計算機(jī)：DC-01請參考手冊的開始部分以了解有關(guān)如何啟動計算機(jī)的說明。登錄到計算機(jī)。4 在 DC-01計算機(jī)上執(zhí)行以下步驟。1. 提升域功能級別到Windows Server 2008a. 使用Administrator登錄DC-01。b. 打開“服務(wù)器管理器”。c. 運行“服務(wù)器管理器”。v 點擊“開始“，”管理工具“，”服務(wù)器管理器“。d. 展開“角色”| “Active Directory用戶和計算機(jī)”|。e. 右擊，然后選擇“提升域功能級別”。f. 設(shè)置功能級別為“Windows Server 2008”，點擊“提升”。g. 點擊“確定”兩次。2. 為經(jīng)理組創(chuàng)建PSO（密碼設(shè)置對象）a. 點擊“開始“，”運行“，輸入“adsiedit.msc”，然后點擊確定。b. 連接到“默認(rèn)命名上下文”。c. 展開CN=System,DC=contoso,DC=com。d. 右擊CN=Password Settings Container，選擇“新建”，“對象”。e. 此時將會運行“創(chuàng)建對象”向?qū)А. 確認(rèn)“msDS-PasswordSettings”被選擇，然后點擊“下一步”。g. 按下面列表為不同屬性指定值（時間采取d:hh:mm:ss的格式）。cnManagersmsDS-PasswordSettingsPrecedence10msDS-PasswordReversibleEncryptionEnabledFALSEmsDS-PasswordHistoryLength24msDS-PasswordComplexityEnabledTRUEmsDS-MinimumPasswordLength10msDS-MinimumPasswordAge0msDS-MaximumPasswordAge20:00:00:00 (20 days)msDS-LockoutThreshold0msDS-LockoutObservationWindow0:00:30:00 (30 minutes)msDS-LockoutDuration0:00:30:00 (30 minutes)h. 點擊“完成”來完成對象的創(chuàng)建。3. 應(yīng)用PSO(密碼設(shè)置對象)到經(jīng)理組a. 展開CN=Password Settings Container，右擊CN=Managers對象，選擇“屬性”。b. 在列表屬性中選擇msDS-PSOAppliesTo。c. 點擊“編輯”。d. 點擊“添加Windows賬戶”。e. 在“選擇用戶、計算機(jī)和組”對話框中輸入Managers，點擊“確定”。f. 在“具有安全主體的多值可分辨名稱編輯器”對話框中點擊“確定”。g. 點擊“確定”，關(guān)閉Adsiedit.msc。4. 測試密碼策略a. 運行“服務(wù)器管理器”。b. 展開“角色”|“Active Directory域服務(wù)”|“Active Directory用戶和計算機(jī)”| 。c. 在users容器下選擇users。d. 右擊User2賬戶選擇“屬性”。點擊“隸屬于”，確認(rèn)User2屬于Managers安全組，點擊“確定”。e. 右擊User2賬戶，選擇“重設(shè)密碼”。f. 輸入8位的密碼Pssw0rd。g. 將會報告錯誤消息表示W(wǎng)indows無法完成密碼修改的操作，因為密碼不滿足密碼策略的要求。h. 點擊“確定”。i. 重新右擊User2賬戶，選擇“重設(shè)密碼”。j. 輸入10位的密碼Pssw0rd01，點擊“確定”。k. 將會報告密碼被成功修改。5. 考查那一個PSO被應(yīng)用到該用戶（查詢msDS-ResultantPSO）a. 在“Active Directory用戶和計算機(jī)”，點擊“查看”，確定“高級功能”被選擇。b. 打開user2賬戶的屬性。c. 選擇“屬性編輯器”選項卡。d. 點擊“篩選器”選擇“顯示屬性：可選”和“顯示只讀屬性：已構(gòu)造”。e. 從屬性列表中選擇“msDs-ResultantPSO”屬性，點擊“查看”。v 將會顯示PSO的完全辨識名稱。v 思考：如果有多個PSO應(yīng)用到同一用戶，那一個生效?v 思考：如果一個PSO同時應(yīng)用到用戶和用戶所在的組，那一個生效？練習(xí)2使用組策略首選項概述：組策略通過引入組策略首選項擴(kuò)展其在 Windows Server 2008 中的功能。首選項提供 20 多個組策略擴(kuò)展，它們擴(kuò)展組策略對象中的可配置首選項設(shè)置的范圍。組策略允許您管理驅(qū)動器映射、注冊表設(shè)置、本地用戶和組、服務(wù)、文件和文件夾，而不需要學(xué)習(xí)腳本語言。首選項允許您使用熟悉的組策略管理控制臺管理所有這些附加設(shè)置。在大多數(shù)首選項中，用戶界面模仿相關(guān)的最終用戶界面來配置這些設(shè)置，從而使配置更加直觀想想看以前為了分發(fā)一些自定義的設(shè)置，需要自己寫腳本，甚至要使用Policy maker這樣的工具自定義ADM管理模板文件.L完成此練習(xí)的估計時間為 10分鐘場景您是公司的管理員，你被要求為公司所有的用戶創(chuàng)建一個網(wǎng)絡(luò)磁盤。但是這個網(wǎng)絡(luò)磁盤在這些計算機(jī)的硬盤空間下降到一定的閾值的時候是不會自動創(chuàng)建的。任務(wù)詳細(xì)步驟4 注意：此實驗練習(xí)使用以下計算機(jī)：DC-01，Vista-02請參考手冊的開始部分以了解有關(guān)如何啟動計算機(jī)的說明。登錄到計算機(jī)。4 在 DC-01計算機(jī)上執(zhí)行以下步驟。4 在C盤根目錄下創(chuàng)建文件夾Public并共享。1. 創(chuàng)建組策略對象a. 打開“管理工具”，“組策略管理”，點擊，右擊選擇“在這個域中創(chuàng)建GPO并在此鏈接”。b. 把此GPO命名為”IntelligenceDriveMappingPolicy”。2. 編輯此組策略對象a. 選中” IntelligenceDriveMappingPolicy”，右擊選擇“編輯”。b. 展開“用戶配置”，“首選項”，“Windows設(shè)置”。v 您可以依次點擊其下的這些首選項類別，可以發(fā)現(xiàn)它們的用戶界面和最終用戶界面極為類似，所以配置非常直觀。c. 選擇“驅(qū)動器映射”，在右邊面板右擊選擇“新建”,”驅(qū)動器映射”。d. 在操作下選擇“創(chuàng)建”，在位置中輸入dc-01Public，驅(qū)動器號使用Q，點擊“顯示此驅(qū)動器”。e. 點擊“公用”選項卡，選擇“在登錄用戶的安全上下文中運行（用戶策略選項）”。f. 勾選“項目級目標(biāo)”，點擊“目標(biāo)”。g. 點擊“新建項目”，在下拉列表中選擇“磁盤空間”。h. 按F8快捷鍵，可以看到條件變?yōu)椤安淮笥诨虻扔凇薄. 設(shè)置可用磁盤空間為50G，驅(qū)動器號選擇“系統(tǒng)”。點擊“確定”兩次。j. 關(guān)閉組策略管理編輯器。4 在Vista-02客戶端計算機(jī)上執(zhí)行以下步驟。1. 刷新組策略a. 打開命令提示符，運行g(shù)pudate /force。b. 注銷重新用contosoAdministrator登錄。c. 從開始菜單打開計算機(jī)，可以看到自動映射了一個Q盤。4 在 DC-01計算機(jī)上執(zhí)行以下步驟。1. 編輯組策略對象a. 編輯“IntelligenceDriveMappingPolicy”，設(shè)置可用磁盤空間為30G。4 在Vista-02客戶端計算機(jī)上執(zhí)行以下步驟。2. 刷新組策略b. 打開命令提示符，運行g(shù)pudate /force。c. 注銷重新用contosoAdministrator登錄。d. 從開始菜單打開計算機(jī)，可以看到映射的Q盤被刪除。4 備注：如有興趣，您可以測試其他首選項。練習(xí)3使用組策略進(jìn)行網(wǎng)絡(luò)帶寬控制在本練習(xí)中，我們將標(biāo)識客戶端 NetBIOS 文件傳輸所消耗的帶寬量。然后使用 Windows Server 2008的QoS 策略向?qū)?chuàng)建策略，以限制客戶端向文件服務(wù)器上傳文件時使用的網(wǎng)絡(luò)帶寬。您會將此策略與客戶端計算機(jī)所在的賬戶的活動目錄組織單位建立關(guān)聯(lián)。然后兩次執(zhí)行上傳測試，并觀察結(jié)果，驗證策略只應(yīng)用于客戶端 NetBIOS 文件傳輸。完成此練習(xí)的估計時間為 10分鐘場景您是公司的管理員，你被要求對公司內(nèi)部文件服務(wù)器的訪問流量進(jìn)行控制，因此您打算使用QoS策略來達(dá)成目標(biāo)。任務(wù)詳細(xì)步驟4 注意：此實驗練習(xí)使用以下計算機(jī)：DC-01，2008-01，Vista-02請參考手冊的開始部分以了解有關(guān)如何啟動計算機(jī)的說明。登錄到計算機(jī)。4 在2008-01計算機(jī)上執(zhí)行以下步驟。1. 創(chuàng)建自定義管理工具，監(jiān)視 QoS 的效果a. 使用contosoadministrator登錄。b. 在“開始”菜單的“開始搜索”中，鍵入 MMC，然后按enter鍵。 c. 在“文件”菜單上單擊“添加/刪除管理單元”。d. 在“添加或刪除管理單元”的“可用的管理單元”下，選擇“可靠性和性能監(jiān)視器”，單擊“添加”，然后單擊“確定”。e. 在“控制臺1”中，導(dǎo)航到“控制臺根節(jié)點可靠性和性能(本地)監(jiān)視工具性能監(jiān)視器”。f. 在內(nèi)容窗格中，右鍵單擊圖表的空白區(qū)域，然后單擊“添加計數(shù)器”。 g. 在“添加計數(shù)器”的“可用的計數(shù)器”下，展開“Network Interface”，選擇“Bytes Total/sec”，單擊“添加”，然后單擊“確定”。v 您必須向上滾動才能找到網(wǎng)絡(luò)接口。h. 在“性能監(jiān)視器”中，雙擊活動的計數(shù)器。i. 在“性能監(jiān)視器屬性”對話框的“比例”中，選擇“0.001”，然后單擊“確定”。j. 更改圖形類型為“直方圖條”。k. 在“控制臺1”中，單擊“文件”，然后單擊“另存為”。l. 在“另存為”對話框中，選擇“桌面”，在“文件名”中鍵入 Network Activity，然后單擊“保存”。 m. 保留 Network Activity 處于打開和最大化狀態(tài)。2. 創(chuàng)建共享文件夾a. 在C盤創(chuàng)建文件夾Public并共享。4 在Vista-02計算機(jī)上執(zhí)行以下步驟。1. 執(zhí)行文件上傳測試a. 確保您以 contosoAdministrator 的身份登錄。b. 在“開始”菜單的“開始搜索”中，鍵入 cmd，然后按回車。c. 在“命令提示符”窗口中鍵入以下命令，然后按回車。命令完成時，保持命令提示符窗口處于打開狀態(tài)。v copy /y C:Music*.* 2008-01Publicd. 快速切換回Florence上的 Network Activity，并選擇“性能監(jiān)視器”，以觀察報告的“Bytes Sent/sec”的“最后”值和“最大”值，并記錄下來。 4 在DC-01計算機(jī)上執(zhí)行以下步驟。1. 創(chuàng)建QoS策略v 在此任務(wù)中，您將創(chuàng)建 QoS 規(guī)則，用它來演示如何管理服務(wù)質(zhì)量的內(nèi)在功能。您將部署基于策略的 QoS 規(guī)則，該規(guī)則的作用是將傳輸至特定計算機(jī)端口 445 的流量限制到 64KBPS。此策略僅供演示之用。在使用網(wǎng)絡(luò)資源時，全局性地限制端口 445 可能會造成嚴(yán)重的性能損失。此外，此任務(wù)還將通信限制到特定的 IP 地址。在實際部署中，您可以將部署限制到一組 IP 地址（如子網(wǎng)），這通過輸入子網(wǎng) ID，用它來代替單一 IP 地址即可實現(xiàn)。a. 在“開始”菜單上，導(dǎo)航到“所有程序”/“管理工具”，然后單擊“組策略管理”。b. 在“組策略管理”中，導(dǎo)航到“組策略對象”。c. 選擇“組策略對象”，點擊“新建”，在“新建 GPO”的名稱輸入“文件傳輸QoS策略”。d. 在“操作”菜單上，單擊“編輯”。e. 在“組策略管理編輯器”中，導(dǎo)航到“計算機(jī)配置/策略/Windows 設(shè)置”，然后單擊“基于策略的 QoS”。f. 在“操作”菜單上，單擊“新建策略”。g. 使用下列信息完成基于策略的 QoS 向?qū)?。v 策略名：文件傳輸帶寬控制v 指定 DSCP 值：取消選中v 指定中止值等級：選中v 調(diào)節(jié)率：20KBpsv 應(yīng)用程序：所有應(yīng)用程序v 應(yīng)用程序：任何源 IP 地址v 目標(biāo) IP 地址：10.237.0.3v 協(xié)議：TCPv 源端口：任何源端口v 目標(biāo)端口：445h. 關(guān)閉“組策略管理編輯器”窗口。2. 創(chuàng)建測試OU并把Vista-02移動到該OU下a. 打開“Active Directory 用戶和計算機(jī)”，點擊，右擊選擇“新建”，“組織單位”，輸入名稱為“測試QoS”。b. 把Vista-02計算機(jī)賬號從Computers容器下移動到“測試QoS”組織單位下。3. 鏈接“文件傳輸QoS策略”到測試OU上c. 在“組策略管理”中，展開，點擊“測試QoS”，右擊選擇“鏈接現(xiàn)有的GPO”。d. 在“選擇GPO”對話框中選擇“文件傳輸QoS策略”，點擊“確定“。4 在Vista-02計算機(jī)上執(zhí)行以下步驟。1. 執(zhí)行新文件上傳測試v 在此任務(wù)中，您將應(yīng)用新的帶寬調(diào)節(jié)策略，執(zhí)行新的文件傳輸測試，然后將結(jié)果與以前的測試結(jié)果進(jìn)行比較。您將使用 GPUPDATE 命令應(yīng)用策略，而無需重新啟動計算機(jī)。為了更新計算機(jī)策略，將需要啟動管理員級別的命令提示。a. 在“命令提示符”窗口中鍵入以下命令，然后按回車v gpupdate /force /target:computerb. 在“命令提示符”窗口中鍵入以下命令，然后按回車。v copy /y C:Music*.* 2008-01Publicc. 快速切換回2008-01上的 Network Activity，并選擇“性能監(jiān)視器”，以觀察報告的“Bytes Sent/sec”的“最后”值和“最大”值。 v 您也可以直接查看直方圖條圖。d. 在 Network Activity 中，選擇“可靠性和性能(本地)”，然后單擊“網(wǎng)絡(luò)”圖表。v 您不必等整個復(fù)制完成。只要觀察到結(jié)果，即可在 “命令提示符”窗口中，按 CTRL+C 取消復(fù)制操作。4 在DC-01計算機(jī)上執(zhí)行以下步驟。4 把Vista-02計算機(jī)賬號移回Computers容器。4 在Vista-02計算機(jī)上執(zhí)行以下步驟。4 打開命令提示符，運行g(shù)pupdate /force。模塊 C：保護(hù)網(wǎng)絡(luò)接入和主機(jī)安全練習(xí)1實現(xiàn)網(wǎng)絡(luò)接入安全（NAP With DHCP）在這個練習(xí)中，您將配置Windows Server 2008作為DHCP客戶端的NAP服務(wù)器。同時會配置Windows Vista客戶端從啟用NAP的DHCP服務(wù)器獲得IP地址。 完成此練習(xí)的估計時間為 15分鐘場景您是公司的管理員，你被要求使用Windows Server 2008的新技術(shù)NAP來保護(hù)公司網(wǎng)絡(luò)的接入安全，防止訪客使用不安全（不健康）的計算機(jī)訪問公司內(nèi)部網(wǎng)絡(luò)。