【IT168 专稿】企业希望更加贴近客户，因而正逐渐将工作人员从中心位置分散到各分支机构。随着分支机构数量不断增加，对这些远程位置的 IT 管理需要和安全关注也相应增长。Microsoft 意识到了这种快速增长的生产力因素，以及对应对特定于分支机构挑战所需的新解决方案的需要。

    由于分支机构现场的 IT 工作人员数量很少或根本就没有，因此，对这些分支机构中的服务器，IT 管理员需要考虑若干方面的问题。服务器上运行的软件必须有效地使用较低速的 WAN 连接，而不能占用所有带宽、延缓关键任务数据传输或对分支用户的应用程序体验产生负面影响。由于不能总是保证服务器的物理安全，所以，在分支机构中，安全性是一个要考虑的大问题。由于现场没有较多的 IT 工作人员，能提供集中管理及远程管理和部署的服务器解决方案比较适合分支机构。

    在 Windows Server 2003 R2 中，Microsoft 开始解决分支机构方案的需求和挑战。Windows Server 2008 版本包括许多附加的改进，这些改进使管理员对分支机构的控制能力更强，并提高了对分支机构和组织的中心网络和数据的保护级别。它还为需要满足其组织独特需求的 IT 专业人士提供了更大程度的灵活性。

    对于分支机构，Windows Server 2008 提供的主要好处可分为以下三个类别：

     • 提高分支机构服务器部署和管理的效率
     • 降低分支机构中的安全风险
     • 提高 WAN 通信的效率和带宽使用率

     通过提供对关键服务器角色的简化部署和有效管理、改进的安全性以及一个可优化性能并可用于服务连续性的体系结构，Microsoft 的分支机构解决方案和 Windows Server 2008 使用多种新功能和增强功能解决了基本的分支机构需求。

部署和管理

    从远程位置管理服务器、服务和安全性是 IT 专业人士一直面临的挑战。Windows Server 2008 简化了对位于分支机构中的服务器的远程部署和持续管理。

    Active Directory 目录服务的更改和增强功能、只读域控制器简介、BitLocker、角色分离和服务器核心安装选项是 Windows Server 2008 的特定功能，解决了分支机构的独特需求，并增加了 IT 部门远程管理的有效性。
只读域控制器

    只读域控制器 (RODC) 是 Windows Server 2008 操作系统提供的一种新类型的域控制器。RODC 主要是为在分支机构环境中部署而设计的。通过 RODC，组织可以限制在某些位置（例如，无法保证物理安全的分支机构）部署域控制器的风险。

    除帐户密码外，RODC 包含可写域控制器包含的所有 Microsoft Active Directory 域服务 (AD DS) 对象和属性。不过，客户端无法将更改直接写入 RODC。由于更改不能直接写入 RODC，因此不会发生本地更改，作为复制伙伴的可写域控制器不必从 RODC 导入更改。这样便减少了集线器网站中桥头服务器的工作负载以及监视复制所需的工作量。

    管理员角色分离指定可委派任何域用户为本地 RODC 的管理员，而无需授予该用户任何对域本身或其他域控制器的用户权限。这样，便创建了以下方案：本地分支用户可在服务器上登录到 RODC 执行维护工作（如升级驱动程序），而不必具有访问分支之外的域资源的权限。

BitLocker 驱动器加密

    BitLocker 驱动器加密是 Windows Server 2008 中一项重要的新安全功能，可帮助保护分支机构中的服务器。Windows Vista Enterprise 和 Windows Vista Ultimate 版本中也提供了该功能，用于保护客户端计算机和漫游用户的移动计算机。BitLocker 可对磁盘驱动器的内容加密。这样可以防止未经授权的使用者通过运行并行操作系统或运行其他软件工具绕过文件和系统保护，或者对存储在受保护的驱动器上的文件进行脱机查看。

    BitLocker 通过将两个主要子功能相结合增强了数据保护：系统卷加密和对早期引导组件的完整性检查。它对整个系统卷加密，包括交换和休眠文件，这样增强了分支机构中远程服务器的安全性。BitLocker 解决了从丢失、被盗或不适当地淘汰的 PC 中窃取或泄露数据的威胁。在分支机构方案中，这一点非常重要，因为不能总是保证服务器的物理安全。
服务器核心

    从 Windows Server 2008 开始，管理员可以选择安装具有特定功能但不包含任何不必要功能的 Windows Server 的最小安装。服务器核心提供了运行以下一个或多个服务器角色（已全部在分支机构中部署）的环境：

    • 动态主机配置协议 (DHCP) 服务器
    • 域名系统 (DNS) 服务器
    • 文件服务器
    • Active Directory 域服务 (ADDS)
    • Active Directory 轻型目录服务 (AD LDS)
    • Windows 媒体服务
    • 打印管理
    • Windows Server 虚拟化

    在分支机构方案中，使用服务器核心有以下主要好处：

    • 减少了软件维护：执行较小的服务器核心安装减少了更新和修补程序的数量，从而节省了分支服务器占用的 WAN 带宽和 IT 工作人员耗费的管理时间。
    • 减小了攻击面：管理员可以只安装其分支机构设置所需的特定服务，使暴露风险降至绝对最小。
    • 减少了要求重新启动的次数，减小了所需的磁盘空间：使用最小的服务器核心安装时，需要更新或修补的已安装组件有所减少，需要重新启动的次数也相应减少。服务器核心安装只安装提供所需功能需要的最少文件，所以将使用分支机构服务器上较少的磁盘空间。

增强 Active Directory 的可管理性

    Windows Server 2008 包括 Active Directory 域服务中的改进，这些改进简化了域服务的管理，并为管理员解决分支机构的需求提供了更大程度的灵活性。一些关键的管理增强功能如下：

    • 更新的 Active Directory 域服务 (AD DS) 安装向导
    • 对用于管理 AD DS 的 Microsoft 管理控制台的更改：
    • 适用于域控制器的新安装选项
    • 可简化 AD DS 安装的更新的安装向导
    • 改进的适用于 AD DS 的界面和管理选项
    • 改进的用于在企业内查找域控制器的工具

    现在，通过新的安装向导，所有相关的功能组合到了一起，从而简化了部署过程并节省了部署时间。Windows Server 2008 中的无人参与安装从不要求响应任何用户界面提示，进一步简化了远程安装。这也使得可以在服务器核心安装上安装 AD DS。为确保新安装的 DNS 服务器正常运行，将基于所选的安装选项根据需要为 DNS 客户端设置、转发器和根提示自动配置 DNS。
通过对分支机构中的服务器精简初始部署并简化管理，Windows Server 2008 中提供的 AD DS 界面将节省 IT 管理时间。