Windows Server 2008 (P1)

Chia sẻ: Tuyen Thon | Ngày: | Loại File: PDF | Số trang:30

0
98
lượt xem
43
download

Windows Server 2008 (P1)

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

All rights reserved. No part of this book shall be reproduced, stored in a retrieval system, or transmitted by any means, electronic, mechanical, photocopying, recording, or otherwise, without written permission from the publisher. No patent liability is assumed with respect to the use of the information contained herein. Although every precaution has been taken in the preparation of this book, the publisher and author assume no responsibility for errors or omissions. Nor is any liability assumed for damages resulting from the use of the information contained herein. ISBN-13: 978-0-672-32930-2 ISBN-10: 0-672-32930-1 Library of Congress Cataloging-in-Publication Data is on file...

Chủ đề:
Lưu

Nội dung Text: Windows Server 2008 (P1)

  1. Rand Morimoto, Ph.D., MCSE, CISSP Michael Noel, MCSE+I, CISSP, MCSA, MVP Omar Droubi, MCSE Ross Mistry, MCTS, MCDBA, MCSE Chris Amaris, MCSE, CISSP Windows Server 2008 ® UNLEASHED 800 East 96th Street, Indianapolis, Indiana 46240 USA
  2. Windows Server® 2008 Unleashed Editor-in-Chief Copyright © 2008 by Sams Publishing Karen Gettman All rights reserved. No part of this book shall be reproduced, stored in a Senior Acquisitions Editor retrieval system, or transmitted by any means, electronic, mechanical, photo- Neil Rowe copying, recording, or otherwise, without written permission from the publisher. Development Editor No patent liability is assumed with respect to the use of the information Mark Renfrow contained herein. Although every precaution has been taken in the preparation of this book, the publisher and author assume no responsibility for errors or Managing Editor omissions. Nor is any liability assumed for damages resulting from the use of Gina Kanouse the information contained herein. Project Editor ISBN-13: 978-0-672-32930-2 Betsy Harris ISBN-10: 0-672-32930-1 Copy Editor Library of Congress Cataloging-in-Publication Data is on file Karen Annett Printed in the United States of America Senior Indexer Cheryl Lenser First Printing: February 2008 Proofreader Trademarks Kathy Ruiz All terms mentioned in this book that are known to be trademarks or service Technical Editor marks have been appropriately capitalized. Sams Publishing cannot attest to Jeff Guillet, MCSE: the accuracy of this information. Use of a term in this book should not be Messaging, MCSA, regarded as affecting the validity of any trademark or service mark. MCP+I, CISSP Warning and Disclaimer Publishing Coordinator Every effort has been made to make this book as complete and as accurate Cindy Teeters as possible, but no warranty or fitness is implied. The information provided is Book Designer on an “as is” basis. The authors and the publisher shall have neither liability Gary Adair nor responsibility to any person or entity with respect to any loss or damages arising from the information contained in this book. Senior Compositor Jake McFarland Bulk Sales Sams Publishing offers excellent discounts on this book when ordered in quan- Contributing Writers tity for bulk purchases or special sales. For more information, please contact Kimberly Amaris, PMP Scott G. Chimner, CISSP, U.S. Corporate and Government Sales MCSE, MCSA 1-800-382-3419 Stefan Garaygay, MCSE corpsales@pearsontechgroup.com Jeff Guillet, MCSE: For sales outside of the U.S., please contact Messaging, MCSA, MCP+I, CISSP International Sales Robert Jue, MCSE, MCDBA international@pearsoned.com Tyson Kopczynski, CISSP, GSEC, GCIH, MCSE Security Alec Minty, MCSE Shirmattie Seenarine Colin Spence, MCP James V. Walker, MCP, MCSE Chris Wallace, MCSA, MCSE
  3. Contents at a Glance Part I Windows Server 2008 Overview 1 Windows Server 2008 Technology Primer ............................................3 2 Planning, Prototyping, Migrating, and Deploying Windows Server 2008 Best Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3 Installing Windows Server 2008 and Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Part II Windows Server 2008 Active Directory 4 Active Directory Domain Services Primer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 5 Designing a Windows Server 2008 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 6 Designing Organizational Unit and Group Structure. . . . . . . . . . . . . . . . . . . . . . . . . . . 165 7 Active Directory Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 8 Creating Federated Forests and Lightweight Directories . . . . . . . . . . . . . . . . . . . . . . . 217 9 Integrating Active Directory in a UNIX Environment . . . . . . . . . . . . . . . . . . . . . . . . . 235 Part III Networking Services 10 Domain Name System and IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 11 DHCP/WINS/Domain Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 12 Internet Information Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331 Part IV Security 13 Sever-Level Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 14 Transport-Level Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399 15 Security Policies, Network Policy Server, and Network Access Protection. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Part V Migrating to Windows Server 2008 16 Migrating from Windows 2000/2003 to Windows Server 2008 . . . . . . . . . . . . . 439 17 Compatibility Testing for Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Part VI Windows Server 2008 Administration and Management 18 Windows Server 2008 Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 19 Windows Server 2008 Group Policies and Policy Management . . . . . . . . . . . . . 533 20 Windows Server 2008 Management and Maintenance Practices . . . . . . . . . . . . 581
  4. 21 Automating Tasks Using PowerShell Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639 22 Documenting a Windows Server 2008 Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . 685 23 Integrating Systems Center Operations Manager 2007 with Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715 Part VII Remote and Mobile Technologies 24 Server-to-Client Remote and Mobile Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 737 25 Terminal Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783 Part VIII Desktop Administration 26 Windows Server 2008 Administration Tools for Desktops . . . . . . . . . . . . . . . . . . . . 839 27 Group Policy Management for Network Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865 Part IX Fault Tolerance Technologies 28 File System Management and Fault Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 935 29 System-Level Fault Tolerance (Clustering/Network Load Balancing) . . . . . . 993 30 Backing Up the Windows Server 2008 Environment . . . . . . . . . . . . . . . . . . . . . . . . . 1043 31 Recovering from a Disaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077 Part X Optimizing, Tuning, Debugging, and Problem Solving 32 Optimizing Windows Server 2008 for Branch Office Communications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111 33 Logging and Debugging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1145 34 Capacity Analysis and Performance Optimization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1189 Part XI Integrated Windows Application Services 35 Windows SharePoint Services 3.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1233 36 Windows Media Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1281 37 Deploying and Using Windows Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1313 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1339
  5. Table of Contents Introduction xlix Part I Windows Server 2008 Overview 1 Windows Server 2008 Technology Primer 3 Windows Server 2008 Defined . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 Windows 2008 Under the Hood . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Windows Server 2008 as an Application Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 When Is the Right Time to Migrate? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Adding a Windows Server 2008 System to a Windows 2000/2003 Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Migrating from Windows 2000/2003 Active Directory to Windows Server 2008 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Versions of Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Windows Server 2008, Standard Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Windows Server 2008, Enterprise Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Windows Server 2008, Datacenter Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Windows Web Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Windows Server 2008 Server Core . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 What’s New and What’s the Same About Windows Server 2008? . . . . . . . . . . . . 13 Visual Changes in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Continuation of the Forest and Domain Model . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Changes That Simplify Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 Increased Support for Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Changes in Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Renaming Active Directory to Active Directory Domain Services . . . . 17 Renaming Active Directory in Application Mode to Active Directory Lightweight Directory Service . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Expansion of the Active Directory Federation Services . . . . . . . . . . . . . . . . . . 17 Introducing the Read-Only Domain Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Windows Server 2008 Benefits for Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Improvements in the Group Policy Management . . . . . . . . . . . . . . . . . . . . . . . . . 19 Introducing Performance and Reliability Monitoring Tools . . . . . . . . . . . . 20 Leveraging File Server Resource Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Introduction of Windows Deployment Services . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Improvements in Security in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Enhancing the Windows Server 2008 Security Subsystem . . . . . . . . . . . . . . 22 Transport Security Using IPSec and Certificate Services . . . . . . . . . . . . . . . . . 23
  6. vi Windows Server 2008 Unleashed Security Policies, Policy Management, and Supporting Tools for Policy Enforcement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Improvements in Windows Server 2008 for Better Branch Office Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 Read-Only Domain Controllers for the Branch Office . . . . . . . . . . . . . . . . . . . 24 BitLocker for Server Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Distributed File System Replication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 Improvements in Distributed Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Improvements for Thin Client Terminal Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 Improvements in RDP v6.x for Better Client Capabilities . . . . . . . . . . . . . . 26 Terminal Services Web Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Terminal Services Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Terminal Services Remote Programs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 Improvements in Clustering and Storage Area Network Support. . . . . . . . . . . . . 29 No Single Point of Failure in Clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Stretched Clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Improved Support for Storage Area Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Improvements in Server Roles in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . 30 Introducing Internet Information Services 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Windows SharePoint Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Windows Rights Management Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 Windows Server Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Identifying Which Windows Server 2008 Service to Install or Migrate to First . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Windows Server 2008 Core to an Active Directory Environment . . . . 33 Windows Server 2008 Running Built-in Application Server Functions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 Windows Server 2008 Running Add-in Applications Server Functions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 2 Planning, Prototyping, Migrating, and Deploying Windows Server 2008 Best Practices 39 Determining the Scope of Your Project . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Identifying the Business Goals and Objectives to Implement Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 High-Level Business Goals. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Business Unit or Departmental Goals . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 Identifying the Technical Goals and Objectives to Implement Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Defining the Scope of the Work . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 Determining the Time Frame for Implementation or Migration . . . . . . 46 Defining the Participants of the Design and Deployment Teams. . . . . 48
  7. Contents vii The Discovery Phase: Understanding the Existing Environment . . . . . . . . . . . . . 49 Understanding the Geographical Depth and Breadth . . . . . . . . . . . . . . . . . . . . 51 Managing Information Overload . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 The Design Phase: Documenting the Vision and the Plan . . . . . . . . . . . . . . . . . . . . . 52 Collaboration Sessions: Making the Design Decisions . . . . . . . . . . . . . . . . . . . 53 Organizing Information for a Structured Design Document . . . . . . . . . . . 54 Windows Server 2008 Design Decisions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Agreeing on the Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 The Migration Planning Phase: Documenting the Process for Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Time for the Project Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Speed Versus Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 Creating the Migration Document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 The Prototype Phase: Creating and Testing the Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 How Do You Build the Lab? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Results of the Lab Testing Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 The Pilot Phase: Validating the Plan to a Limited Number of Users . . . . . . . . . 64 The First Server in the Pilot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 Rolling Out the Pilot Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Fixing Problems in the Pilot Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Documenting the Results of the Pilot. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 The Migration/Implementation Phase: Conducting the Migration or Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Verifying End-User Satisfaction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 Supporting the New Windows Server 2008 Environment . . . . . . . . . . . . . . 68 3 Installing Windows Server 2008 and Server Core 73 Preplanning and Preparing a Server Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 Verifying Minimum Hardware Requirements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Choosing the Appropriate Windows Edition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Choosing a New Installation or an Upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Determining the Type of Server to Install . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 Gathering the Information Necessary to Proceed . . . . . . . . . . . . . . . . . . . . . . . . . 77 Backing Up Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 Installing a Clean Version of Windows Server 2008 Operating System . . . . . 79 1. Customizing the Language, Time, Currency, and Keyboard Preferences . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 2. The Install Now Page . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 3. Entering the Product Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 4. Selecting the Type of Operating System to Install . . . . . . . . . . . . . . . . . . . . . 81 5. Accepting the Terms of the Windows Server 2008 License . . . . . . . . . . 82 6. Selecting the Type of Windows Server 2008 Installation . . . . . . . . . . . . 82
  8. viii Windows Server 2008 Unleashed 7. Selecting the Location for the Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 8. Finalizing the Installation and Customizing the Configuration . . . 83 Upgrading to Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Backing Up the Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 Verifying System Compatibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Ensuring the Drivers Are Digitally Signed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Performing Additional Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Performing the Upgrade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Understanding Server Core Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Performing a Server Core Installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Managing and Configuring a Server Core Installation . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Launching the Command Prompt in a Server Core Installation . . . . . . 95 Changing the Server Core Administrator’s Password . . . . . . . . . . . . . . . . . . . . . 95 Changing the Server Core Machine Name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Assigning a Static IPV4 IP Address and DNS Settings . . . . . . . . . . . . . . . . . . . . 96 Adding the Server Core System to a Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Server Core Roles and Feature Installations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Installing the Active Directory Domain Services Role . . . . . . . . . . . . . . . . . . . . 99 Performing an Unattended Windows Server 2008 Installation . . . . . . . . . . . . . . 100 Part II Windows Server 2008 Active Directory 4 Active Directory Domain Services Primer 105 Examining the Evolution of Directory Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 Reviewing the Original Microsoft Directory Systems . . . . . . . . . . . . . . . . . . . 106 Numbering the Key Features of Active Directory Domain Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Understanding the Development of AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 Detailing Microsoft’s Adoption of Internet Standards . . . . . . . . . . . . . . . . . . 108 Examining AD DS’s Structure. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Understanding the AD DS Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Describing AD DS Domain Trees . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Describing Forests in AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Numbering the AD DS Authentication Modes . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Outlining Functional Levels in Windows Server 2008 AD DS . . . . . . . 110 Outlining AD DS’s Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Understanding AD DS’s X.500 Roots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 Conceptualizing the AD DS Schema . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Defining the Lightweight Directory Access Protocol (LDAP) . . . . . . . . . 113 Detailing Multimaster Replication with AD DS Domain Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
  9. Contents ix Conceptualizing the Global Catalog and Global Catalog Servers . . . 114 Numbering the Operations Master (OM) Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 Understanding Domain Trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Conceptualizing Transitive Trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Understanding Explicit Trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 Defining Organizational Units . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Determining Domain Usage Versus OU Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 Outlining the Role of Groups in an AD DS Environment . . . . . . . . . . . . . . . . . . . . 119 Choosing Between OUs and Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Explaining AD DS Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Sites, Site Links, and Site Link Bridgeheads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 Understanding Originating Writes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Outlining the Role of DNS in AD DS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Examining DNS Namespace Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 Comprehending Dynamic DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 Comparing Standard DNS Zones and AD-Integrated DNS Zones . . . 125 Understanding How AD DS DNS Works with Foreign DNS. . . . . . . . . . . 125 Outlining AD DS Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Understanding Kerberos Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 Taking Additional Security Precautions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Outlining AD DS Changes in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Restarting AD DS on a Domain Controller . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 Implementing Multiple Password Policies per Domain . . . . . . . . . . . . . . . . 127 Auditing Changes Made to AD Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 Reviewing Additional Active Directory Services . . . . . . . . . . . . . . . . . . . . . . . . . . 133 Examining Additional Windows Server 2008 AD DS Improvements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 Reviewing Legacy Windows Server 2003 Active Directory Improvements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 5 Designing a Windows Server 2008 Active Directory 139 Understanding AD DS Domain Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Examining Domain Trusts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 Choosing a Domain Namespace. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Choosing an External (Published) Namespace . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Choosing an Internal Namespace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Examining Domain Design Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Choosing a Domain Structure. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Understanding the Single Domain Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 Choosing the Single Domain Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Exploring a Single Domain Real-World Design Example . . . . . . . . . . . . . . 146
  10. x Windows Server 2008 Unleashed Understanding the Multiple Domain Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 Choosing When to Add Additional Domains. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 Exploring a Multiple Domain Real-World Design Example . . . . . . . . . . . 149 Understanding the Multiple Trees in a Single Forest Model . . . . . . . . . . . . . . . . . . 150 Choosing When to Deploy a Multiple Tree Domain Model . . . . . . . . . . 150 Examining a Multiple Tree Domain Real-World Design Example . . . 151 Understanding the Federated Forests Design Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Determining When to Choose Federated Forests . . . . . . . . . . . . . . . . . . . . . . . . 153 Exploring a Federated Forests Real-World Design Example . . . . . . . . . . . 153 Understanding the Empty-Root Domain Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 Determining When to Choose the Empty-Root Model . . . . . . . . . . . . . . . . 156 Examining a Real-World Empty-Root Domain Design Example. . . . . 157 Understanding the Placeholder Domain Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 Examining a Placeholder Domain Real-World Design Example . . . . . 158 Understanding the Special-Purpose Domain Design Model . . . . . . . . . . . . . . . . . . 159 Examining a Special-Purpose Domain Real-World Design Example . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Renaming an AD DS Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 Domain Rename Limitations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Outlining Domain Rename Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 Renaming a Domain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 6 Designing Organizational Unit and Group Structure 165 Defining Organizational Units in AD DS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 Defining AD Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 Outlining Group Types: Security or Distribution . . . . . . . . . . . . . . . . . . . . . . . . 168 Understanding Group Scope . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 Examining OU and Group Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Starting an OU Design. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 Examining Overuse of OUs in Domain Design. . . . . . . . . . . . . . . . . . . . . . . . . . . 173 OU Flexibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 Using OUs to Delegate Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Group Policies and OU Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Understanding Group Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Detailing Best Practice for Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 Establishing Group Naming Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Group Nesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Designing Distribution Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Exploring Sample Design Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Examining a Business Function–Based Design. . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 Understanding Geographically Based Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
  11. Contents xi 7 Active Directory Infrastructure 185 Understanding AD DS Replication in Depth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Understanding the Role of Replication in AD DS. . . . . . . . . . . . . . . . . . . . . . . . 186 Outlining Multimaster Topology Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Explaining Update Sequence Numbers (USNs) . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 Describing Replication Collisions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Understanding Property Version Numbers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Describing Connection Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 Understanding Replication Latency . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 Understanding Active Directory Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190 Outlining Windows Server 2008 Site Improvements . . . . . . . . . . . . . . . . . . . 191 Associating Subnets with Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191 Using Site Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 Defining Site Link Bridging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 Understanding the Knowledge Consistency Checker (KCC) and the Intersite Topology Generator (ISTG) . . . . . . . . . . . . . . . . . . 195 Detailing Site Cost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 Utilizing Preferred Site Link Bridgeheads. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 Deploying AD DS Domain Controllers on Server Core . . . . . . . . . . . . . . . . 197 Planning Replication Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Mapping Site Design into Network Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Establishing Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198 Choosing Between One Site or Many Sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Associating Subnets with Sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Determining Site Links and Site Link Costs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Choosing Replication Scheduling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Choosing SMTP or IP Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Windows Server 2008 Replication Enhancements . . . . . . . . . . . . . . . . . . . . . . . 201 Domain Controller Promotion from Media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 Identifying Linked-Value Replication/Universal Group Membership Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 Removing Lingering Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Disabling Replication Compression. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Understanding How AD Avoids Full Synchronization of Global Catalog with Schema Changes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Intersite Topology Generator Algorithm Improvements . . . . . . . . . . . . . . . 204 Outlining Windows Server 2008 IPv6 Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 Defining the Structure of IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Understanding IPv6 Addressing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Migrating to IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Making the Leap to IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207
  12. xii Windows Server 2008 Unleashed Detailing Real-World Replication Designs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Viewing a Hub-and-Spoke Replication Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 Outlining Decentralized Replication Design . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 Deploying Read-Only Domain Controllers (RODCs) . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Understanding the Need for RODCs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 Outlining the Features of RODCs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Deploying an RODC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 8 Creating Federated Forests and Lightweight Directories 217 Keeping a Distributed Environment in Sync . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 AD Lightweight Directory Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Understanding the Need for AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 Outlining the Features of AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Installing AD LDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Active Directory Federation Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Understanding the Key Components of AD FS . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 Installing AD FS with Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 Working with AD FS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Microsoft Identity Lifecycle Manager (ILM) 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 The History of ILM 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 Outlining the Identity Integration Feature Pack (IIFP) . . . . . . . . . . . . . . . . . 227 The SQL Server Database for ILM 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 ILM 2007 Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228 ILM 2007 Management Agents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Management Agent Run Profiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Installing Identity Lifecycle Manager 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Harnessing the Power and Potential of ILM 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 Managing Identities with ILM 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231 Provisioning and Deprovisioning Accounts with ILM 2007 . . . . . . . . . . 232 Summarizing ILM 2007 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 9 Integrating Active Directory in a UNIX Environment 235 Understanding and Using Windows Server 2008 UNIX Integration Components. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 The Development of Windows Server 2008 UNIX Integration Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 Understanding the UNIX Interoperability Components in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237 Prerequisites for Windows Server 2008 UNIX Integration . . . . . . . . . . . . 237 Installing Services for Network File System (NFS) . . . . . . . . . . . . . . . . . . . . . . . 238 Using and Administering Services for NFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 Configuring Active Directory Lookup for UNIX GID and UID Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
  13. Contents xiii Configuring Client for NFS and Server for NFS Settings . . . . . . . . . . . . . . . 241 Creating NFS Shared Network Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241 Reviewing the Subsystem for UNIX-Based Applications (SUA) . . . . . . . . . . . . . . 242 Installing the Subsystem for UNIX-Based Applications . . . . . . . . . . . . . . . . 242 Subsystem for UNIX-Based Applications Scripting . . . . . . . . . . . . . . . . . . . . . . 243 Subsystem for UNIX-Based Application Tools and Programming Languages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 Understanding the Identity Management for UNIX Components . . . . . . . . . 243 Installing Identity Management for UNIX Components . . . . . . . . . . . . . . 244 Configuring Password Change Capabilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Adding NIS Users to Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 Administrative Improvements with Windows Server 2008 . . . . . . . . . . . . . . . . . . . 246 Performing Remote Administration with Telnet Server and Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 Scripting with ActivePerl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 Part III Networking Services 10 Domain Name System and IPv6 251 Understanding the Need for DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Detailing the History of DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 Establishing a Framework for DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Explaining the DNS Hierarchy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 Outlining the DNS Namespace . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Getting Started with DNS on Windows Server 2008. . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Installing DNS Using the Add Roles Wizard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 Configuring DNS Server to Point to Itself . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Resource Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 Start of Authority (SOA) Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Host (A) Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258 Name Server (NS) Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Service (SRV) Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Mail Exchanger (MX) Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 Pointer (PTR) Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Canonical Name (CNAME) Records . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Other DNS Record Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Understanding DNS Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 Forward Lookup Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262 Reverse Lookup Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Primary Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Secondary Zones. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 Stub Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
  14. xiv Windows Server 2008 Unleashed Performing Zone Transfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 Performing Full Zone Transfers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Initiating Incremental Zone Transfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 Understanding DNS Queries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Performing Recursive Queries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Performing Iterative Queries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Other DNS Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 Dynamic DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 The Time to Live Value . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 Performing Secure Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271 Exploring Aging and Scavenging for DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Examining Root Hints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 Understanding the Role of Forwarders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 Using WINS for Lookups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Understanding the Evolution of Microsoft DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Active Directory–Integrated Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 Dynamic Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Unicode Character Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 DNS in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Application Partition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Automatic Creation of DNS Zones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Fix to the “Island” Problem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Forest Root Zone for _msdcs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 DNS in an Active Directory Domain Services Environment . . . . . . . . . . . . . . . . . . 277 The Impact of DNS on Active Directory Domain Services . . . . . . . . . . . . 277 Active Directory Domain Services in Non-Microsoft DNS Implementations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Using Secondary Zones in an AD DS Environment . . . . . . . . . . . . . . . . . . . . . 278 SRV Records and Site Resolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 GlobalNames Zone. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 280 Troubleshooting DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Using the DNS Event Viewer to Diagnose Problems . . . . . . . . . . . . . . . . . . . . 281 Using Performance Monitor to Monitor DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Client-Side Cache and HOST Resolution Problems. . . . . . . . . . . . . . . . . . . . . . 282 Using the NSLOOKUP Command-Line Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 Using the IPCONFIG Command-Line Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283 Using the TRACERT Command-Line Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 Using the DNSCMD Command-Line Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 IPv6 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 IPv6 Addressing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 Comprehending IPv6 Addressing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 Bridging the Gap with ISATAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288 Other Compatibility Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
  15. Contents xv How to Configure IPv6 on Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 Manually Setting the IPv6 Address . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 Setting Up a DHCPv6 Server on Windows Server 2008 . . . . . . . . . . . . . . . . 291 Setting Up a DHCPv6 Scope on Windows Server 2008 . . . . . . . . . . . . . . . . 292 Adding an IPv6 Host Record in Windows Server 2008 DNS . . . . . . . . . . 292 11 DHCP/WINS/Domain Controllers 297 Understanding the Key Components of an Enterprise Network . . . . . . . . . . . . 298 Detailing the Importance of Network Addressing . . . . . . . . . . . . . . . . . . . . . . . 298 Understanding Name Resolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298 Examining Directory Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 Outlining Network Services Changes in Windows Server 2008 . . . . . 299 Exploring the Dynamic Host Configuration Protocol (DHCP) . . . . . . . . . . . . . . 300 Detailing the Need for DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Outlining DHCP Predecessors: RARP and BOOTP . . . . . . . . . . . . . . . . . . . . . . . 300 Exploring the DHCP Server Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300 Examining the DHCP Client Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 Understanding Automatic Private IP Addressing (APIPA) . . . . . . . . . . . . . 301 Detailing DHCP Relay Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 Examining DHCP and Dynamic DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 Installing DHCP and Creating New Scopes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 Exploring DHCP Changes in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 307 Automating DHCP Database Backup and Restore . . . . . . . . . . . . . . . . . . . . . . . 307 Understanding DHCP Client Alternate Network Capability . . . . . . . . . . 308 Performing DHCP Failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308 Examining the 50/50 Failover Approach for DHCP Fault Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 Exploring the 80/20 Failover Approach to DHCP Fault Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 Understanding the 100/100 Failover Approach to DHCP Fault Tolerance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 Examining the Standby Scopes Approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Clustering DHCP Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Exploring Advanced DHCP Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 Understanding DHCP Superscopes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Examining DHCP Multicast Scopes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Delegating Administration of DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 Using the Netsh Command-Line Utility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Performing DHCP Database Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 Securing DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Examining DHCP Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 Understanding DHCP and Domain Controller Security . . . . . . . . . . . . . . . 316
  16. xvi Windows Server 2008 Unleashed Reviewing the Windows Internet Naming Service (WINS) . . . . . . . . . . . . . . . . . . . 317 Understanding the Need for Legacy Microsoft NetBIOS Resolution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Exploring WINS and DNS Integration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317 Reviewing Changes in Windows Server 2008 WINS . . . . . . . . . . . . . . . . . . . . 318 Installing and Configuring WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Installing WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Configuring Push/Pull Partners . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 Examining WINS Replication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Understanding NetBIOS Client Resolution and the LMHOSTS File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 Planning, Migrating, and Maintaining WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Designing a WINS Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Upgrading a WINS Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 Maintaining the WINS Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Exploring Global Catalog Domain Controller Placement . . . . . . . . . . . . . . . . . . . . . 325 Understanding the Role of the Active Directory Global Catalog . . . . 325 Placing Global Catalog/Domain Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Exploring Universal Group Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326 Examining Global Catalog and Domain Controller Placement . . . . . 326 Examining Read-Only Domain Controllers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 12 Internet Information Services 331 Understanding Internet Information Services (IIS) 7.0 . . . . . . . . . . . . . . . . . . . . . . . . 331 Improvements in Internet Information Services (IIS) 7.0 . . . . . . . . . . . . . 332 Understanding the New IIS Manager Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 Exploring the IIS Manager Administration Panes. . . . . . . . . . . . . . . . . . . . . . . . 333 Examining the IIS Manager Administration Nodes in the Connections Pane . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 Planning and Designing Internet Information Services 7.0 . . . . . . . . . . . . . . . . . . 336 Determining Server Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 Determining Fault-Tolerance Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Installing and Upgrading IIS 7.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Understanding the Modular Approach to Installing IIS 7.0 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 Installing the Web Server (IIS) Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 Upgrading from Other Versions of IIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Installing and Configuring Websites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Creating a Website with IIS 7.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Creating a Virtual Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 Configuring IIS 7.0 Website Properties. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
  17. Contents xvii Installing and Configuring FTP Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351 Examining the New “Out-of-Band” FTP 7.0 Service Features . . . . . . . . 352 Installing the “Out-of-the-Box” Legacy FTP Service . . . . . . . . . . . . . . . . . . . . . 353 Downloading and Installing the New “Out-of-Band” FTP 7.0 Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 Creating a Secure FTP 7.0 Site Using SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354 Configuring the “Out-of-Band” FTP 7.0 Features and Properties . . . . 356 Securing Internet Information Services 7.0. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Windows Server 2008 Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 IIS Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 Auditing Web Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Using SSL Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Administering IIS 7.0 Administrator and User Security . . . . . . . . . . . . . . . . 367 Creating an IIS 7.0 User Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368 Assigning Permissions to an IIS 7.0 User Account . . . . . . . . . . . . . . . . . . . . . . . 368 Configuring Feature Delegation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Using IIS Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Part IV Security 13 Server-Level Security 375 Defining Windows Server 2008 Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Outlining Microsoft’s Trustworthy Computing Initiative . . . . . . . . . . . . . 376 Common Language Runtime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 Understanding the Layered Approach to Server Security . . . . . . . . . . . . . . 376 Deploying Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376 Restricting Physical Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 Restricting Logon Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377 Using the Run As Administrator Command for Administrative Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378 Using Smart Cards for Logon Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379 Securing Wireless Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 Firewall Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380 Using the Integrated Windows Firewall with Advanced Security . . . . . . . . . . . 381 Understanding Windows Firewall Integration with Server Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 Creating Inbound and Outbound Rules on the Windows Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382 Hardening Server Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Defining Server Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Securing a Server Using Server Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385 Examining File-Level Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
  18. xviii Windows Server 2008 Unleashed Understanding NT File System (NTFS) Security . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Examining Share-Level Security Versus NTFS Security . . . . . . . . . . . . . . . . . 387 Auditing File Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Encrypting Files with the Encrypting File System . . . . . . . . . . . . . . . . . . . . . . . 389 Additional Security Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Antivirus Precautions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389 Deploying Backup Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Using Windows Server Update Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 Understanding the Background of WSUS: Windows Update . . . . . . . . . 390 Deploying the Automatic Updates Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Understanding the Development of Windows Server Update Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 Examining WSUS Prerequisites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Installing WSUS on a Windows Server 2008 Server . . . . . . . . . . . . . . . . . . . . . 392 Automatically Configuring Clients via Group Policy . . . . . . . . . . . . . . . . . . . 394 Deploying Security Patches with WSUS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 14 Transport-Level Security 399 Introduction to Transport-Level Security in Windows Server 2008 . . . . . . . . 400 The Need for Transport-Level Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400 Deploying Security Through Multiple Layers of Defense . . . . . . . . . . . . . . 400 Understanding Encryption Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401 Deploying a Public Key Infrastructure with Windows Server 2008. . . . . . . . . 401 Defining Private Key Versus Public Key Encryption. . . . . . . . . . . . . . . . . . . . . 401 Exploring Digital Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Understanding Active Directory Certificate Services (AD CS) in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402 Reviewing the Certificate Authority Roles in AD CS . . . . . . . . . . . . . . . . . . . . 403 Detailing the Role Services in AD CS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 Installing AD CS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404 Using Smart Cards in a Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . 407 Using the Encrypting File System (EFS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Integrating PKI with Non-Microsoft Kerberos Realms . . . . . . . . . . . . . . . . . . 408 AD DS Rights Management Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 Understanding the Need for AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 Understanding AD RMS Prerequisites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Installing AD RMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409 Using IPSec Encryption with Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411 Understanding the IPSec Principle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Detailing Key IPSec Functionality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Exploring IPSec NAT Transversal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
  19. Contents xix 15 Security Policies, Network Policy Server, and Network Access Protection 415 Understanding Network Access Protection (NAP) in Windows Server 2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415 Exploring the Reasons for Deploying NAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 Outlining NAP Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 Understanding Windows Server 2008 NAP Terminology . . . . . . . . . . . . . . 417 Deploying a Windows Server 2008 Network Policy Server. . . . . . . . . . . . . . . . . . . . 417 Exploring NPS Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418 Understanding RADIUS Support on a Network Policy Server . . . . . . . . 418 Installing a Network Policy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419 Enforcing Policy Settings with a Network Policy Server . . . . . . . . . . . . . . . . . . . . . . . 421 Creating a System Health Validator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421 Creating a Health Policy for Compliant Clients . . . . . . . . . . . . . . . . . . . . . . . . . 422 Creating a Health Policy for Noncompliant Clients . . . . . . . . . . . . . . . . . . . . 422 Creating a Network Policy for Compliant Clients . . . . . . . . . . . . . . . . . . . . . . . 423 Creating a Network Policy for Noncompliant Clients . . . . . . . . . . . . . . . . . . 424 Configuring a DHCP Server to Restrict Client Leases Based on the NPS Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 Deploying and Enforcing a Virtual Private Network (VPN) Using an RRAS Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 Exploring VPN Tunnels. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430 Tunneling Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 PPTP and L2TP Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 L2TP/IPSec Secure Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 Enabling VPN Functionality on an RRAS Server . . . . . . . . . . . . . . . . . . . . . . . . . 432 Modifying the RRAS Network Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 Part V Migrating to Windows Server 2008 16 Migrating from Windows 2000/2003 to Windows Server 2008 439 Beginning the Migration Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 Identifying Migration Objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 Establishing Migration Project Phases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 Comparing the In-Place Upgrade Versus New Hardware Migration Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 Identifying Migration Strategies: “Big Bang” Versus Phased Coexistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Exploring Migration Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Big Bang Migration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443 Verifying Hardware Compatibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 Verifying Application Readiness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444
Đồng bộ tài khoản