发廊员工五大职业心态培训.docx

Windows Server 2008新特性全景体验模块 A：管理Windows Server 2008服务器 5模块 B：使用Windows Server 2008管理远程基础架构 15模块 C：Windows Server 2008虚拟化之表示虚拟化 20模块 D：Windows Server 2008接入安全控制和策略强制 27模块 E：Windows Server 2008高效Web和应用程序平台 35 目录模块 A：管理Windows Server 2008服务器5实验目标5使用 服务器管理器来配置角色和功能并监视服务器状态5管理和部署 Server Core （服务器核心）服务器5使用 WinRM 来执行计算机管理5使用 Windows PowerShell 查询服务器信息5实验概述5练习1 使用服务器管理器6练习2 管理Windows Server 2008 Server Core服务器9练习3 使用WimRM管理远程计算机11练习4 使用Windows PowerShell 管理服务器13模块 B：使用Windows Server 2008管理远程基础架构15实验目标15安装和管理分支机构只读域控制器15实现分支机构只读域控制器（密码复制策略）15实验概述15练习1 安装和管理分支机构只读域控制器16练习2 实现分支机构只读域控制器18模块 C：Windows Server 2008虚拟化之表示虚拟化（Presentation Virtualization）20实验目标20使用终端服务网关连接远程桌面20使用终端服务RemoteApp和终端服务Web访问来连接到一个远程应用程序20集成终端服务网关，终端服务RemoteApp和终端服务Web访问。20实验概述20练习1 实现终端服务网关21练习2 发布远程应用程序（RemoteApp）23练习3 实现终端服务Web访问(TS Web Access)25模块 D：Windows Server 2008接入安全控制和策略强制27实验目标27实验概述27练习1 使用 Windows 服务质量 (QOS) 管理网络带宽28练习2 使用组策略限制移动(USB)设备的使用30练习331使用NAP控制DHCP客户端接入网络31模块 E：Windows Server 2008高效Web和应用程序平台35实验目标35实验概述35练习1 在IIS 7.0中管理Web站点36练习2 实现共享配置37 网络拓扑 应用场景介绍微软动手实验室位于中国上海紫竹科技园，它有两个办公室，其中一个为分支机构。同时还有一些在家办公的远程用户及在外出差的漫游用户。微软动手实验室已经全部采用了Windows Server 2008作为服务器，Windows Vista作为桌面（为了节约磁盘空间，实验中的客户端仍采用Windows Server 2008操作系统）。微软动手实验室已经实现了很多新的技术，例如终端服务网关，SSL VPN，故障转移群集，只读域控制器，和网络访问保护等。今天的动手实验室课程，将以场景为导向，带您进入Windows Server 2008魔幻乐园，开始神奇的旅程，尽览最新、最好的服务器技术！下面每一个场景使用到的虚拟机将使用黑色标记出来，注意查看哦！实验准备为确保完成所有实验模块，请务必阅读下列信息： 虚拟 PC本实验将使用Microsoft Virtual PC 2007。该应用程序支持在同一物理硬件上运行多台虚拟计算机。您将于实验过程中在不同窗体之间进行切换，而每个窗体均包含运行Windows Server 2008的独立虚拟计算机。在开始实验前，请务必熟悉有关VirtualPC的下列基本操作：在虚拟计算机窗体内，请使用Alt-Del组合键替代Ctrl-Alt-Del组合键。如欲调整虚拟计算机窗体大小，请拖动窗体右下角。如欲切换到全屏模式或从全屏模式返回窗体模式，请按组合键Alt-Enter。 开始实验在开始任何一个实验模块前，均应首先启动虚拟计算机，并执行登录操作。您只要启动各项练习所需使用的虚拟计算机。启动虚拟计算机：从开始菜单运行Virtual PC 2007主程序根据实验场景运行对应的虚拟机。在登录对话框出现时，执行计算机登录操作。登录虚拟计算机上的一台计算机：1. 按下组合键Alt-Del （而非Ctrl-Alt-Del）打开登录对话框。输入以下信息：n用户名：Administratorn密码：password01!然后单击“确定”。备注：1. Denver虚机请使用域用户msholkenneth.wang进行登录，密码同上2. 如果您发现虚拟机之间的时间不同步，那么请您在命今提示符下输入以下命令：W32tm /resync 回车现在即可开始做实验手册中的练习。 祝实验顺利！ 意见和反馈请将有关虚拟计算机或实验手册的意见、反馈或勘误发送给：王辉Lab version 1.0c (2008年4月4日)模块 A：管理Windows Server 2008服务器实验目标 使用 服务器管理器来配置角色和功能并监视服务器状态 管理和部署 Server Core （服务器核心）服务器 使用 WinRM 来执行计算机管理 使用 Windows PowerShell 查询服务器信息实验概述在这个实验中，您将体验新的Windows Server 2008管理技术。首先您将使用服务器管理器来分析服务器的配置，然后将执行角色和功能的管理。您也可以使用ServerManagerCMD执行基本的服务器管理任务，使用Windows Power Shell来查看服务器设置、执行服务器的调试分析。最后您将在分支机构部署Windows Server 2008 Server Core作为DHCP服务器和文件服务器，并配置WimRM从Server Core订阅关键事件，使用Windows Remote Shell对Server Core进行远程管理。实验场景微软动手实验室已经使用Windows Server 2008部署完成了它的新的核心基础架构。在评估完整个部署后，微软动手实验室发现使用Windows Server 2008包含的新的管理工具能更好的管理资源，降低运维成本，提高效率。特别是他们决定使用服务器管理器来交互式的管理服务器角色和功能，以及监控服务器的健康状态。他们还决定使用ServerManagerCMD来为新服务器配置角色和服务。他们评估了大量的自动化的工具和脚本，然后决定迁移到Windows Power Shell，因为使用Power Shell可以大量减少工具的维护和使用，提高管理效率。最后，他们打算把分支机构的Server Core配置为D服务器，来降低总部的D服务器的负载。并打算通过配置WinRM从分支机构的Server Core服务器订阅日志，进行监控，使用Windows Remote Shell进行远程管理。实验中使用的虚拟机虚拟机角色London总部域控制器Istanbul分支机构的Server Core服务器练习1使用服务器管理器任务详细步骤4 注意：此实验练习使用以下计算机：London 请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 London 计算机上执行以下步骤。1. 使用”服务器管理器”查看服务器配置。a. 在 London计算机的桌面上，双击“服务器管理器”。“服务器管理器”窗体打开。查看在“服务器摘要”显示的内容。v 服务器摘要使您可以快速了解服务器的信息和状态，例如地址和防火墙的状态。b. 向下拉滚动条到“角色摘要”。v 这个区域包含了已经安装的服务器角色的列表.。c. 向下拉滚动条到“功能摘要”。v 这个区域包含了已经安装的服务器功能的列表.。d. 在“服务器管理器”的导航栏，点击“角色”。e. 在“角色”面板，点击“Active Directory域服务”。f. 在摘要下，查看“事件”和“系统服务”的信息。g. 向下拉滚动条到“高级工具”，点击ADSI Edit。v 常用的工具和实用程序将作为角色摘要的一部分。h. 关闭“ADSI Edit”。i. 在“目录服务工具”下，点击“Dsmgmt.exe”。v Windows Server 2008新增加的命令行工具，专门用于管理操作主控角色和进行元数据清理。j. 向下拉滚动条到“资源与支持”，点击“通过部署只读域控制器，提高分支机构安全和网络流量”，然后阅读“描述”。2. 添加“FTP角色服务”到”Web服务器(IIS)”角色。a. 在“服务器管理器”的导航栏，点击“角色”。b. 在“角色”面板，点击”Web服务器(IIS)”.c. 向下拉滚动条到”角色服务”，点击“添加角色服务”。d. 在“添加角色服务”向导中，在“选择角色服务”，向下拉滚动条选择“FTP发布服务”，点击“下一步”，然后点击“安装”。v 角色服务是一个单独的组件，用于实现角色的某一个功能，有些角色只有一个角色服务，但是有一些，例如Web服务器（IIS），它就包含了40个角色服务。e. 当“添加角色服务”向导完成，点击“关闭”。v 此过程可能需要执行数分钟。3. 添加“DHCP服务器”角色。a. 在 “服务器管理器”的导航栏，点击“角色”。b. 在“角色”面板，点击“添加角色”。v “添加角色向导”能根据安装的角色自动调整，例如安装终端服务访问这一终端服务角色服务，它将自动检测到需要安装对应的Web服务器角色服务，并提示安装。也就是说它可以让您在一次任务中同时安装和配置多个角色，这大大减少了配置错误和重启次数。c. 在“添加角色向导”，点击“下一步”。d. 在“选择服务器角色”页面，选择“DHCP服务器”，选择“下一步”。v 可以看到“添加角色向导”自动调整为允许您在安装时配置DHCP服务器。e. 使用下列值完成DHCP服务器配置，如果值没有列出，请使用默认值。一旦完成下列设置，请点击“安装”。v 网络连接绑定：v IPv4DNS设置：v IPv4WINS设置：v DHCP作用域：（名称：MSHOL，起始IP地址：00，结束IP地址：54，子网掩码：，默认网关：00）v DHCPv6无状态模式：禁用v DHCP服务器授权：默认f. 点击“关闭”来关闭“添加角色向导”。v 此安装过程应小于分钟。g. 在“服务器管理器”，在“角色摘要”下，点击“DHCP服务器”。h. 查看“DHCP服务器”面板中的“事件”和“系统服务”信息。4. 添加“桌面体验”和”Windows Server Backup功能“。a. 在“服务管理器”，点击“功能”。b. 在“功能”面板，点击“添加功能”。c. 在“添加功能向导”，选择“桌面体验”和”Windows Server Backup功能“，点击“下一步”。v London是一台终端服务器。为了给终端服务客户端带来Windows Vista的桌面体验，因此需要在Windows Server 2008的终端服务器上安装”桌面体验”功能。v 为了能对London这一域控制器进行服务器备份，因此需要安装“Windows Server Backup”功能，此功能用于取代以前的”NTBackup”，提供了更好的备份体验。d. 在“确认安装选择”页面，点击“安装”。v 此安装过程应小于分钟。e. 在“安装结果”页面，点击“关闭”。然后在“添加功能向导”，点击“是”。v London计算机将会重启。重新启动将需要分钟。f. 重新用“MSHOLadministrator”登录。g. 在“恢复配置向导”，点击“关闭”。h. 关闭“服务器管理器”。i. 在“开始”菜单，指向“所有程序“。v 此时你可以看到Windows Media Player，Windows照片库，以及其他的一些工具已经可以使用。j. 在“开始”菜单，指向“管理工具”，点击“服务”。k. 在“服务”的内容面板，双击“Themes”，打开“Themes”服务的属性。l. 把服务的“启动类型”更改为“自动”，点击“应用”，然后点击“启动”。m. 关闭所有打开的窗口。n. 在“桌面”右击，点击“个性化”。o. 在“个性化”窗体，点击“主题”。p. 在“主题”，选择“Windows Vista”,然后点击“确定”。q. 关闭所有打开的窗口。5. 使用”服务器管理器”进行疑难解答并进行灾难恢复。a. 在 London计算机的桌面上，双击“服务器管理器”。“服务器管理器”窗体打开。b. 展开“诊断”，然后选中“事件查看器”。c. 展开“自定义视图”，然后选择“管理事件”。v 管理事件摘要是事件查看器中新的视图，用于显示所有日志中的管理事件。d. 展开“应用程序和服务日志”，“Microsoft，然后选中 Windows。v 所有可用的 Windows 组件将显示在“内容”窗格中。双击其中任意一个组件，将显示与该组件有关的事件。e. 点击“Group Policy”,双击“Operational”。v 此时显示与组策略相关的事件。f. 在“服务器管理器”窗体，选择“存储”，然后选中“Windows Server Backup”。g. 在“Windows Server Backup”动作窗格，单击“备份计划“。h. 在”备份计划向导”的开始页上，单击“下一步“。i. 在”选择备份配置页上，确保选中”整个服务器（推荐）”，然后单击”下一步”。j. 在“指定备份时间”页上，选择“每日一次”，选择 “2:30”，然后单击“下一步“。v 因为London没有配置第二块硬盘用于存放整个服务器的备份，所以将会出现错误提示，如果有第二块硬盘，您将可以选择到。k. 在错误提示框中点击“确定”，点击“取消”。l. 关闭所有窗口。6. 使用“ServerManagerCM”进行服务器管理。a. 在“桌面”，双击“命令提示符”。v ServerManagerCMD是服务器管理器的命令行版本，用于支持三种重要的操作：添加和删除角色，角色服务，功能，以及用于显示安装的角色，角色服务，功能。其中查询功能使用了-query参数，他可以使您只用一个命令就可以查看到服务器的配置和功能。v 在这个实验将使用它来查询安装的角色，角色服务或功能，并删除Windows Server Backup功能。b. 在“命令提示符”窗口输入ServerManagerCMD -query，然后按enter键。v 已经安装的安装的角色、角色服务或功能将会用绿色标记出来，非常容易查看。c. 在“命令提示符”窗口输入ServerManagerCMD -remove backup-features，然后按enter键。v 删除过程中可以显示进度。d. 关闭 “命令提示符“ 窗口。e. 重新启动London计算机。练习2管理Windows Server 2008 Server Core服务器Server Core 是 WindowsServer 2008 中新增的最小服务器安装选项。它安装以后没有图形化界面，Server Core 安装提供了运行特定服务器角色所需的最小环境，从而降低了维护和管理需求以及对那些服务器角色的攻击范围。本实验中将为Server Core服务器配置Windows防火墙，允许远程桌面和允许访问文件和打印共享。此外，您还将安装 DNS服务器角色。任务详细步骤4 注意：此实验练习使用以下计算机：London-Istanbul请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在Istanbul计算机上执行以下步骤。1. 在Istanbul计算机上查看常用的命令，和配置信息。a. 使用“MSHOLadministrator”登录，您将看到“命令提示符”窗口。，v Server Core没有，登录以后仅有一个“命令提示符”窗口。b. 在“命令提示符”窗口，输入命令prompt $t$s$p$g，然后按enter键。v 此命令使得可以在命令提示符中显示时间。c. 输入cd c:windowssystem32, 然后按enter键。d. 输入cscript SCregEdit.wsf /cli，然后按enter键。v SCregEdit.wsf是Server Core特有的脚本，其中的cli开关非常有用，它可以把所有常见的配置Server Core的命令全部列出，而不需要管理员自己摸索。v 请仔细看看输出的结果。v 另外改脚本还有其他开关，用于进行一些特殊的配置，例如开启远程桌面，自动更新更能等。e. 输入Cscript slmgr.vbs dlv，然后按enter键。v 此命令将显示当前服务器的授权状态。v 当您初次安装时应使用开关-ipk安装产品密钥，然后使用开关-ato进行激活。f. 输入systeminfo，然后按enter键。v 此命令将显示计算机详细信息。g. 输入wmic，然后按enter键。h. 输入product，然后按enter键。v 此命令将显示安装的msi应用程序。v WMIC是一个很有用的操纵和管理WMI对象的命令，借助此命令透过WMI可以对Server Core进行绝大多数的管理操作（硬件管理，软件管理，网络管理等等）。如您要卸载安装的某一个MSI应用程序，您可以调用Product这个WMI对象的Uninstall方法，使用命令WMIC product where name=” call uninstall。v 实验环境中已经配置了TCP/IP，加入域，因此这些设置将不在进行，对应的命令您可以查看“cscript SCregEdit.wsf /cli”的输出。2. 配置Windows 防火墙允许访问文件和打印共享以及DNS查询。a. 输入netsh firewall set opmode enable，然后按enter键。v 此命令将启用Windows防火墙，实验环境中事先把Istanbul的防火墙关闭了。默认情况下Windows防火墙实已开启，v 您可以通过”netsh firewall show state”来查看防火墙状态。b. 输入netsh firewall add portopening UDP 53 DNS-Server，然后按enter键。v 此命令使得Istanbul计算机能响应客户端的DNS查询请求。 v 后续实验中将配置Istanbul作为DNS服务器。c. 输入下列命令，使得分支机构桌面可以访问Istanbul计算机的“文件和打印服务”（假设Istanbul为分支机构文件服务器）。v netsh firewall add portopening UDP 137 Netbios-nsv netsh firewall add portopening UDP 138 Netbios-dgmv netsh firewall add portopening TCP 139 Netbios-ssnv netsh firewall add portopening TCP 445 Netbios-dsd. 输入netsh firewall show config，然后按enter键。v 此命令用于查看防火墙配置。v 从输出中您应可以看“文件和打印共享”已经被启用。3. 启用远程桌面。a. 在”命令提示符”输入cscript SCregEdit.wsf /Ar 0，然后按enter键。v 确定当前所在目录为“C:WindowsSystem32”。v 此命令用于启用远程桌面。b. 输入 netsh firewall add portoepning TCP 3389 Remote-Desktop，然后按enter键。v 此命令用于在防火墙打开远程桌面使用的端口。4 在 London计算机上执行以下步骤。4. 验证防火墙的配置和远程桌面连接。a. 在“开始”菜单，点击“运行”，输入“istanbul”，双击“培训资料”共享，确定您可以打开其中的文件“更新您的活动目录技术到Windows Server 2008.pdf”。b. 在”开始”菜单，“搜索”框，输入关键字“远程桌面”，在搜索出来的列表中点击“远程桌面连接”。c. 在“计算机”框内，输入“”，点击“连接”。d. 在“输入您的凭据”对话框中，输入域管理员的用户名和密码。e. 您应可以顺利访问Istanbul的桌面。4 在 Istanbul 计算机上执行以下步骤。5. 安装DNS服务器角色。a. 在“命令提示符”中输入oclist，然后按enter键。v 此命令用于查看角色和功能的安装信息。v 可以发现在默认情况下未安装任何角色和功能，所以称Server Core为最小化安装。v 注意记下您后面打算安装的角色或者功能的名字，安装角色或功能时对大小写是敏感的，切记切记！b. 输入Start /w ocsetup DNS-Server-Core-Role，然后按enter键。v 此命令用于安装DNS服务器角色。c. 输入oclist | find “已安装”，然后按enter键。v 此命令用于显示DNS服务器是否安装成功。练习3使用WimRM管理远程计算机微软动手实验室已经决定把WinRM作为核心管理技术的一部分。通过使用WinRM进行远程服务器管理，可以减少DCOM或者RPC的连接，只需要使用HTTP或者HTTPS就可以了，这对于跨越防火墙管理的场景非常有用（否则需要打开类似TCP 135这样的端口）。他们决定Windows Server 2008基于WinRM的事件订阅和WinRS(Windows Remote Shell)来保证远程服务器运行正常以及在出现问题时能第一时间进行修复。Windows远程管理 (WinRM)是一个远程管理技术，它使得可以通过HTTP网络连接发送WMI命令。在这个练习中，您将在Server Core计算机上配置一个WinRM侦听器，然后将创建一个事件订阅来管理 Server Core计算机。您将使用WinRS在Server Core计算机上安装Web服务器角色。任务详细步骤4 注意：此实验练习使用以下计算机：London-Istanbul请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在Istanbul计算机上执行以下步骤。1. 在Istanbul计算机上启用WinRM。a. 在“命令提示符”下输入“WinRM QuickConfig”，然后按enter键。b. 在 “进行这些更改吗”提示符下，输入”Y”。c. 在“命令提示符”下输入“WINRM Enum Winrm/Config/Listener” ，然后按enter键。v 这个命令用于显示侦听器的配置。您所看到的配置是指定在所有的IP地址侦听HTTP，然后将会协商采用最安全的身份验证方法。您可以在WinRM命令中使用一些开关来使得计算机在特定的IP地址或端口侦听HTTPS。4 在London计算机上执行以下步骤。2. 配置Istanbul允许事件订阅。a. 在“开始”菜单，点击“运行”，输入“MMC”。v 控制台窗体将会打开。b. 点击“文件”菜单，选择“添加/删除管理单元”。c. 在“可用的管理单元”中选择“本地用户和组”，点击“添加”。d. 在“选择目标机器”，选择“另一台计算机“，输入”Istanbul”，点击”完成“。e. 点击“确定“。f. 展开“本地用户和组（Istanbul）“，选择“组”。g. 在内容面板，双击“Event Log Readers”组，在打开的属性窗口点击“添加”。h. 在“选择用户、计算机或组”对话框中，点击“对象类型”，选择“计算机”，然后点“确定”。i. 在“输入对象的名称来选择”，输入“London”，点击“确定”。j. 点击“确定”来关闭“Event Log Readers”的属性。k. 不保存，关闭控制台。4 注意：以下步骤依然在London计算机上执行。3. 从Istanbul计算机订阅系统错误与警告事件。a. 在London计算机的“开始”菜单上，依次单击“管理工具”和“事件查看器”。v “事件查看器”控制台打开。b. 在“事件查看器“，在”Windows日志“下，点击“应用程序”。v 在实验环境下，客户端计算机（Cairo和Venice）均被置于名为“客户端计算机”的新建组织单位（OU）。c. 在“操作”菜单，选择“清除日志”。d. 在“事件查看器”对话框中点击“清除”。v 默认情况下所有转发过来的日志都会存放在“转发的事件”日志下。但是后面的实验中将会使用Windows PowerShell通过查询“应用程序”日志来查询转发过来的日志，Windows PowerShell不能查询“转发的事件”日志。e. 在“事件查看器”，点击“订阅”。f. 在“事件查看器”对话框，点击“是”。g. 在“操作”菜单，选择“创建订阅”。h. 在“订阅属性”的“订阅名称”输入“查询Istanbul上的系统错误事件”。i. 在“目标日志”选择“应用程序”。j. 在“订阅类型和源计算机”，点击“选择计算机”。k. 在“计算机”对话框，选择“添加域计算机”。l. 在“选择计算机”对话框中，输入“Istanbul”，点击“确定”。m. 点击“确定”关闭“计算机“对话框。n. 在“要收集的事件”，点击“选择事件”。o. 在“查询筛选器”对话框中，“记录时间”选择“最后七天“，”事件级别“选择”错误“和“警告”，”事件日志“选择”系统“，然后点击”确定“。p. 点击“确定“关闭”订阅属性“对话框。4. 在London计算机上查看转发过来的系统错误日志和警告日志。a. 在“事件查看器“，”Windows日志“下，选择“应用程序”。b. 查看事件列表。.v 如果没有事件列出，请检查时间订阅的属性。另外时间从Istanbul转过来可能需要一些时间。c. 在桌面双击“Windows PowerShell”。d. 输入Get-eventlog Application | where $_.MachineName eq “I”，然后按enter键。e. 关闭所有窗口。5. 使用WinRM管理Istanbul服务器上的角色与功能。a. 在桌面双击“命令提示符”。b. 在“命令提示符”对话框内，输入winrs R:istanbul oclist | find “已安装”，然后按enter键。v 可以看到通过WinRS可以使用HTTP连接来执行命令并在本地返回结果。c. 输入winrs R:istanbul ocsetup IIS-WebServerRole;WAS-WindowsActivationService;WAS-ProcessModel，然后按enter键。v 此命令用于远程在Istanbul上安装Web服务器角色。v 备注：由于Server Core出于安全考虑，目前还不支持.net Framework，所以现在不能支持ASP.net，但是可以很好的支持ASP和PHP。d. 输入oclist | find “已安装”| find “IIS”，然后按enter键。v 此命令用于显示Web服务器是否安装成功。e. 打开IE浏览器，输入“”。f. 关闭所有窗口。练习4使用Windows PowerShell 管理服务器微软动手实验室一直致力于降低他们基础架构的运维成本，所以他们以前使用了很多脚本，命令行工具，批处理文件，以及自定义的管理程序来进行任务的自动化处理。但是复杂的工具也带来了不一致的结构，他们发现他们耗费了很多的时间来维护和支持这些工具。为了解决这个问题，微软动手实验室决定使用Windows Powershell了来标准化所有脚本和自动化处理。 在这个练习中，您将考察Windows PowerShell。微软的Windows PowerShell 命令行解释器和脚本语言可以帮助IT极大的提高工作效率。使用新的管理脚本语言，超过130标准的命令行工具，以及一致的语法和实用程序，Windows PowerShell使得IT管理员更容易的控制系统管理和加速自动化。Windows Powershell 支持TAB键自动完成。您可以通过输入命令的前几个字符然后按TAB键的方式完成很多命令。任务详细步骤4 注意：此实验练习使用以下计算机：London-Istanbul请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 London计算机上执行以下步骤。1. 使用Windows PowerShell帮助。g. 在London计算机上，双击桌面的”Windows PowerShell”。v 在Windows Server 2008中，Windows PowerShell是作为一个功能内置的，您可以在服务器管理器中进行安装，而不需要从网络上单独进行下载。h. 输入get-help get-command，然后按enter键。v Get-help程序集可以返回任何程序集的帮助。i. 输入get-command | more，然后按enter键。v 将逐屏显示Windows PowerShell所有的程序集。j. 输入get-help get-service -full，然后按enter键。v 将会显示get-service这一程序集的详细帮助（包括示例）。k. 输入get-help get-service parameter *，然后按enter键。v Get-Service程序集的所有参数及参数说明将会列出。l. 输入help get-service parameter *，然后按enter键。v 作用和前面一个命令一样，但是将会逐屏显示。m. 输入get-help about_wildcard，然后按enter键。v 将会显示通配符的帮助。2. 创建和管理别名。n. 0On the Start menu, click AllPrograms, click MicrosoftForefront, click ClientSecurity, and then click MicrosoftForefrontClientSecurityConsole.输入set-alias gs get-service，然后按enter键。o. 输入gs，然后按enter键。v gs输出的结果和get-service输出的结果是一致的。p. 输入set-alias ad c:windowssystem32dsmgmt.exe，然后输入ad，按enter键。v 活动目录工具dsmgmt.exe被执行，可以看到在powerShell中您可以创建任何单一的命令或者程序集的别名。q. 输入remove-item alias:ad，然后输入ad，按enter键。v 会发生错误，因为别名ad已经不存在了。3. 创建和使用函数。a. 输入function display-RunningService get-service | where-object $_.Status -eq Running，按enter键。b. 输入display-RunningService，按enter键。v 函数比别名要复杂，它可以使用参数，您可以通过函数来创建复杂PowerShell命令的快捷方式。v 此命令将返回在London上正在运行的所有服务。c. 输入 Remove-Item Function: display-RunningService，按enter键。v 此命令将删除display-RunningService这一自定义函数。4. 访问注册表。a. 输入以下命令，按enter键。v cd hklm:v dirv cd SoftwareMicrosoftWindowsCurrentVersionRunv gp . *v 输出结果将显示RUN项的属性以及下面的键值，输出结果中前面四个位RUN项的属性。v Gp. *是get-itemproperty path . name *的快捷方式。5. 使用WMI显示系统信息。a. 输入Get-WMIObject win32_service -filter name=DNS | format-table，按enter键。v 将会显示本地DNS服务的运行状态。b. 输入Get-WMIObject win32_service -filter name=DNS -computer | format-table，按enter键。v 将会显示Istanbul上DNS服务的运行状态。模块 B：使用Windows Server 2008管理远程基础架构实验目标 安装和管理分支机构只读域控制器 实现分支机构只读域控制器（密码复制策略）实验概述在这个实验中，您将实现Windows Server 2008用于支持远程基础架构（特别是分支机构）的技术。您将在分支机构部署一台只读域控制器（RODC），通过实现管理角色分离来管理RODC，以及在RODC运行时进行活动目录数据库的脱机管理（如碎片整理）。然后将配置密码复制策略来保证当网络失败时，分支机构用户依然可以登录到域。实验场景微软动手实验室重新评估了它的网络，决定实施Windows Server 2008中用于支持远程基础架构的技术。尤其是位于分支机构的用户需要即使到总部的网络连接断开，他们依然可以进行身份验证和工作，由于分支机构的物理安全性难以保障，所以之前微软动手实验室一直在犹豫是不是在分支机构放一台域控制器。现在他们决定在分支机构实现一台使用凭证缓存功能的只读域控制器。实验中使用的虚拟机虚拟机角色London总部域控制器，证书颁发机构，DNS服务器Istanbul分支机构只读域控制器，只读DNS服务器。FlorenceVPN服务器Denver漫游桌面您将通过以下两个练习来学习如何安装、配置和实现只读域控制器。例如如何实现管理角色分离，执行在线活动目录维护，设置密码复制策略来实现凭据缓存，以及验证当到总部的网络连接断开时，用户依然可以登录到域。练习1安装和管理分支机构只读域控制器任务详细步骤4 注意：此实验练习使用以下计算机：London-Istanul请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 Istanbul 计算机上执行以下步骤。1. 将Istanbul提升为只读域控制器。a. 在Istanbul计算机上，输入“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname: /sitename=default-first-site-name /safemodeadminpassword:password01!”,然后按enter键。v 此命令将配置Istanbul为只读域控制器，在安装活动目录的过程中还将同时安装和配置DNS，为活动目录恢复模式设置管理员密码为password01!，其他则采取缺省设置。v 安装过程中，注意查看屏幕中密码复制策略的输出。v 安装完毕后，计算机将自动重启。v 整个安装过程加重启动过程需要5-7分钟。2. 为Istanbul实现管理角色分离。a. 使用“msholadministrator”进行登录。v 管理角色分离是RODC一个重大的特征，它允许您指定一个域用户到RODC上的角色。这些角色非常类似于本地组。通过这一功能，使得您可以为分支机构RODC指派管理员进行日常维护（如碎片整理等），而不需要给他域管理员用户名和密码。b. 在“命令提示符”中，输入以下命令。v NTDSUTILv Local Rolesv Add msholkenneth.wang Administratorsv Show Role Administratorsv Quitv Quitc. 注销Istanbul。3. 在Istanbul上执行管理操作。a. 用msholKenneth.wang（王辉）登录，输入命令whoami /user /groups | find “Administrators”，然后按enter键。v 可以发现该域用户（王辉）成功登录Istanbul这一只读域控制器，并且为Istanbul的本地管理员。b. 执行Format f: /q，连续按三次enter键。v 可以看到对只读域控制器（RODC）快速格式化F分区的操作可以成功完成。v 但是此用户在域中却只是普通域用户。您若有意测试这一点，可以尝试用msholKenneth.wang（王辉）这一用户账户登录London，会发现登录失败，因为一般域用户是无法登录域控制器的。4. 在Istanbul上执行活动目录的脱机维护。a. 在“命令提示符”中，输入“net stop NTDS ”，在“您想继续次操作吗？”提示符下，输入y，按enter键。v 此命令将停止活动目录域服务。v 在以前版本的Windows,如果您需要脱机维护活动目录，您需要重新启动域控制器按F8，进入活动目录还原模式，这将影响运行在域控制器上的其它服务，例如文件服务，打印服务等等。但在Windows Server 2008中，它允许你不需要重新启动就可以停止活动目录域服务，执行需要需要活动目录脱机才能执行的操作，例如对活动目录数据库进行碎片整理，移动等等。b. 在“命令提示符”中，输入以下命令。v MD F:compactv ntdsutilv Activate Instance NTDSv Filesv Compact to f:compactv quitv quitv Del C:WindowsNTDS*.logv Copy /y f:compactntds.dit C:WindowsNTDSntds.ditv ntdsutilv Activate Instance ntdsv filesv integrityv quitv semantic database analysisv go fixupv quitv quitv exitc. 在“命令提示符”中，输入“net start NTDS ”，按enter键。v 此命令将启动活动目录域服务。v 其他被停止的相关服务也将在后台自动启动，所以不要担心Jd. 注销Istanbul计算机。练习2实现分支机构只读域控制器任务详细步骤4 注意：此实验练习使用以下计算机：London-Istanul-Denver请参考手册的开始部分以了解有关如何启动计算机的说明。登录到计算机。4 在 London计算机上执行以下步骤。5. 为分支机构（Istanbul）查看密码复制策略。a. 从“开始“菜单，”所有程序“，”管理工具“，打开“Active Directory用户和计算机”。v Active Directory用户和计算机”被打开。b. 在““下，点击”domain controllers”。v 您将看到在内容窗格显示Istanbul计算机为“只读，DC”。c. 在内容窗格双击Istanbul，将打开属性对话框。d. 在”Istanbul属性”对话框，点击“密码复制策略”，点击“高级”。v 出现的列表将列出所有被RODC缓存下密码的账户。默认情况了除了属于RODC自己的帐户，没有任何账户被缓存。e. 在“策略使用率”对话框中，查看“用户和计算机”下的内容。f. 在“显示满足下列条件的用户和计算机”下，选择“已通过此只读域控制器身份验证的账户”。v 出现的列表将会显示所有使用RODC进行身份验证的账户，您可以看到之前登录过的用户账户“王辉”。v 这