Windows 的未來Windows Server "Longhorn" 中的目錄服務

Byron Hynes

本專欄是根據 Windows Server 的搶鮮版 (Prerelease Version，代號 "Longhorn") 而寫成。本文包含的所有資訊均有可能變更。

新版的 Windows Server (代號 "Longhorn") 將為您帶來數項 Active Directory 改良。有些變更非常顯著，向更佳的管理性和效率開啟了令人興奮的全新大道。Active Directory 中最顯著的一項變更就是功能和功用的命名。與識別管理相關的所有項目，現在都群聚於 Active Directory® 標誌下方。我們過去所熟悉的 Microsoft® Windows Server® 2003 中的 Active Directory，現在已成為 Active Directory 網域服務 (ADDS)，而且還有一些其他的服務，包括 Active Directory Federation Services (ADFS)、Active Directory 輕量型目錄服務 (ADLDS，前身為 Active Directory/Application Mode，或稱 ADAM)、Active Directory 憑證服務 (ADCS) 以及 Active Directory Rights Management Services (ADRMS)。

上述每種服務都代表一種伺服器角色，這是 Windows Server "Longhorn" 中的新概念。您可以選擇讓電腦專屬於一種或多種伺服器角色，並且使用伺服器管理員來管理伺服器角色，如 [圖 1] 所示。您可以使用這個工具來新增角色、尋找說明，並執行其他必要的管理工作。

圖 1** 伺服器管理員 **(按影像可放大)

如您所見，這個新方法會將日常的功用及功能組織為邏輯群組，並可以從伺服器管理員存取。

功能等級

Windows Server "Longhorn" 為樹系和網域引進了新的功能等級。Windows Server "Longhorn" 樹系功能等級 (將於發行時重新命名) 並未新增任何自身的功能，而是確保樹系中的所有網域都達到 Windows Server "Longhorn" 網域功能等級。該等級提供兩項新的增強功能：第一個功能是針對 SYSVOL 共用而使用最新的分散式檔案系統 (DFS) 複寫引擎，該引擎不但較為強大、可針對細部調整，還十分有效率。第二個功能是針對 Kerberos 驗證通訊協定而新增的 256 位元先進加密服務 (AES) 加密支援。使用最新的功能等級可以提供最佳效能，但您也可以在遷移至 Windows Server "Longhorn" 時，繼續以較低的功能等級操作。

數種支援不同功能的結構描述延伸也被引進，其中每一種都完全可與目前所使用的現有結構描述相容。執行 Windows Server "Longhorn" 的網域控制站可以和那些執行 Windows Server 2003 的控制站同時存在並互相操作，完全沒有問題。

伺服器核心的支援

Active Directory 網域服務是可在 Windows Server "Longhorn" 的「伺服器核心」安裝中運作的伺服器角色之一。伺服器核心是一個最小安裝選項，只會保留核心的伺服器功能，此主題的詳細討論並不屬於本文範圍。伺服器核心不會安裝 Windows 殼層，也不會使用圖形使用者介面，因此可以減少相當多的系統負荷。

唯讀網域控制站

對於某些環境而言，Windows Server "Longhorn" 中最顯著的 ADDS 功能就是唯讀網域控制站 (RODC)，這項功能可以用來輕鬆部署網域控制站，以主控網域資料庫的唯讀複本。這非常適合無法確保網域控制站實體安全性的位置，或是必須在網域控制站上執行其他應用程式並由伺服器管理員 (理想上並非 Domain Admins 群組的成員) 進行維護的位置。這兩種案例在分公司部署中都很常見。

只需在安裝精靈中啟用一個核取方塊，即可安裝唯讀網域控制站，如 [圖 2] 所示。

圖 2** 安裝唯讀網域控制站 **(按影像可放大)

在 Windows Server "Longhorn" 發行以前，如果使用者必須使用不同位置的網域控制站進行驗證，則必須透過廣域網路 (WAN) 連結來傳輸流量。WAN 連結通常比較慢，成本也比區域網路 (LAN) 連線為高，有時也較易發生服務中斷的情況。一個可行的解決方案是在遠端站台或分公司部署 DC。不過，這樣會引進其他問題，包括複寫流量，以及需要透過分公司中的 DC 來維護實體安全性等 – 小型的遠端分公司站台經常缺乏這種設備。在其他情況下，分公司與集線器站台的網路連接頻寬通常都很低，使登入所需的時間增長。

除了帳戶密碼 (除非特別設定) 外，RODC 會保存可寫入網域控制站保存的所有 Active Directory 網域服務物件和屬性。不過，源自本機的變更並不能套用至儲存在 RODC 上的複本，反而會套用到可寫入網域控制站，然後再複寫回 RODC。這樣可防止在分公司位置所做的變更透過複寫而污染或損毀樹系，並藉此排除一個主要攻擊途徑。

要求對網域目錄資訊進行讀取存取的本機應用程式可以直接從 RODC 取得存取權，而要求寫入存取權的輕量型目錄存取協定 (LDAP) 應用程式則會接到 LDAP 的轉介回應。這個轉介回應會將其連接到可寫入網域控制站 (一般是位於集線器站台)。

由於無法直接對 RODC 寫入變更，所以無法自 RODC 產生變更。同樣地，身為複寫協力電腦的可寫入網域控制站也不必從 RODC 提取變更。如此可降低集線器中 bridgehead 伺服器的工作量以及監控複寫所需的時間與精力。RODC 單向複寫可套用至 ADDS 和分散式檔案系統 (DFS) 複寫。RODC 可針對 ADDS 和 DFS 複寫變更執行一般的輸入複寫。

在網域資料庫中，每個安全性主體都具有大約 10 個密碼或秘密，也稱為認證。RODC 並不會儲存使用者或電腦的認證，但本身的電腦帳戶和每個 RODC 的特殊 "krbtgt" 帳戶 (用於 Kerberos 驗證的帳戶) 不在此限。RODC 會以其站台 (通常為分公司) 的金鑰發行中心 (KDC) 形式顯示。當 RODC 簽署或加密票證授與票證 (TGT) 要求時，會使用與可寫入網域控制站上的 KDC 不同的 krbtgt 帳戶及密碼。

帳戶第一次嘗試向 RODC 進行驗證時，RODC 會將要求傳送至集線器站台的可寫入網域控制站。如果驗證成功，則 RODC 也會要求正確認證的複本。可寫入網域控制站會辨識出要求是來自 RODC，並且查詢有效的 RODC 密碼複寫原則。

密碼複寫原則會判斷認證是否可以複寫並儲存在 RODC 上。如果可以，則可寫入網域控制站會將認證傳送至 RODC，然後 RODC 會加以快取，如 [唯讀網域控制站的作業方式] 資訊看板所示。

在認證快取於 RODC 之後，下一次使用者嘗試登入時，就可以直接由 RODC 提供要求服務，直到認證變更為止。當 TGT 是使用 RODC 本身的 krbtgt 帳戶簽署時，RODC 會辨識出該帳戶具有快取的認證複本。如果已經有另一個 DC 簽署了 TGT，則 RODC 會將要求轉寄給可寫入網域控制站。

藉由限制只有經過 RODC 驗證的使用者才能使用認證快取功能，就比較不會因為 RODC 被侵入而暴露認證。

依預設，RODC 上不會快取任何使用者密碼，但這並不一定是最有效率的情況。一般而言，相較於網域中全部的使用者，只有幾個網域使用者需要將認證快取於指定的 RODC。您可以使用密碼複寫原則來指定可針對哪些群組的使用者進行快取。例如，藉由限制只有經常位於分公司的使用者才能使用 RODC 快取功能，或者避免快取重要的認證 (例如管理員)，將可降低暴露認證的可能性。

因此，在發生 RODC 遭竊或以其他方式遭到侵入的事件時，只有已經快取的認證需要重設，而且如前所述，您會確實知道這包括哪些帳戶 (如 [圖 3] 所示)。

圖 3** 快取的帳戶資訊 **(按影像可放大)

管理員角色分隔

在許多分公司中，網域控制站都會有其他的伺服器角色或工作需要執行，例如充當檔案或列印伺服器等。在其他的狀況下，還會根據需要，在網域控制站上安裝公司所從事行業的應用程式。這就會造成問題：為了管理這些應用程式和伺服器，分公司的員工需要具有管理認證。而任何可以管理 Windows Server 2003 網域控制站的人員，都可以管理整個網域。

在 Windows Server "Longhorn" 中，可以只授與管理員管理特定 RODC 的權限，而不讓他具有管理其他網域控制站的存取權，也不必在非必要的情況下，將他設定為 Domain Admins 安全性群組的成員。

使用者介面和工具改良功能

為了支援 RODC 的功能並輕鬆地監控密碼複寫作業，現在 Active Directory 使用者和電腦中的網域控制站屬性頁面上新增了 [密碼複寫原則] 索引標籤，如 [圖 4] 所示。

圖 4** 密碼複寫原則索引標籤 **(按影像可放大)

在此索引標籤上按一下 [進階] 按鈕，就可以看到已傳送至 RODC 的密碼、儲存於該處的密碼，以及已根據該 RODC 進行驗證的帳戶，如 [圖 5]。由於此清單包含已經過驗證的帳戶 (即使它們不屬於可以複寫其密碼的群組)，所以您可以使用該項資訊來決定要包含在密碼複寫原則中的群組。

圖 5** 進階密碼複寫原則 **(按影像可放大)

廣受推崇的 dcpromo 公用程式已進行了幾項變更，此程式之前稱為 Active Directory 網域服務安裝精靈。此精靈可以啟動為完整的圖形應用程式，方法是在安裝作業系統之後立即執行的「初始設定工作」(Initial Configuration Task，ICT) 頁面中，選擇 [新增角色] 命令。在伺服器管理員中選擇 [新增角色]，然後再選擇 ADDS，或從命令列或 [執行] 方塊呼叫 dcpromo。

只要您以圖形模式使用此精靈，就會注意到項目和選項的排列比較整齊，相關的項目會群聚在一起，選項也會比較多。您可以從 UI 存取進階模式，而不必使用 /adv 參數來執行工作，例如建立新的網域樹系、從媒體進行安裝 (以減少透過 WAN 進行的初始複寫作業)，或選取來源網域控制站以進行初始複寫等。

某些改進功能是為了讓您的工作更順利，並減少令人挫折的錯誤。例如，如果要使用精靈在現有的網域或樹系中建立新的網域控制站，可以瀏覽現有的網域，而不需輸入 NetBIOS 名稱。

已新增頁面來指定其他選項，並讓您將 DC 設定為全域類別目錄伺服器、DNS 伺服器和 RODC。您也可以在精靈中設定網站選取項目、設定功能等級、建立 RODC 的密碼複寫原則，並設定 DNS 委派。

dcpromo 是命令列工具，可以用完全自動的方式執行。與 Windows Server 2003 中同樣的工具不同的是，自動安裝並不需要回應任何使用者介面提示，例如需要重新啟動電腦等。這使得 ADD 更易於在 Windows Server "Longhorn" 的伺服器核心安裝上使用。

ADDS 稽核

Microsoft 在 Windows Server "Longhorn" 中，新增了許多目錄服務的稽核功能。您可以在 Windows Server 2003 中開啟或關閉目錄存取的稽核功能，但即使啟用了完整的成功稽核，稽核軌跡仍不會包含已變更的資訊。現在就可以了。

在 Windows Server "Longhorn" 中，ADDS 的稽核原則具有下列四個子類別：

• 目錄服務存取
• 目錄服務變更
• 目錄服務複寫
• 詳細的目錄服務複寫

對於大多數的 IP 專業人員來說，只需記住這些變更的兩個要點：首先，目錄服務存取稽核所提供的資訊，基本上與在 Windows Server 2003 中相同，但事件識別碼已從 566 變更為 4662。如果要使用工具來剖析安全性事件日誌，請注意這項變更。再來，新的 Directory Services Changes 類別會同時記錄變更屬性之前和目前的值。

若要在 ADDS 中實作稽核，請使用全域稽核原則、系統存取控制清單 (SACL) 和 ADDS 架構。這些元件組合在一起，就可以建立出既富彈性、又功能完備的稽核架構。

全域稽核原則可控制是否在 ADDS 上執行任何稽核。如果已啟用稽核，則全域原則可控制要針對四個存取子類別 (如前所述) 中的哪個類別進行稽核。全域稽核原則通常會套用在預設網域控制站群組原則物件中，所以會套用至網域控制站上的整個目錄。

雖然群組原則工具可以開啟或關閉全域稽核原則，但您必須使用 Auditpol.exe 命令列工具來檢視或設定子類別。這些類別不會顯示在圖形使用者介面中。

SACL 是物件安全性描述元的一部分。藉由指定 SACL 中的項目，可以告訴系統兩件事：您所在意的動作和使用者 (或安全性主體)。換句話說，事件日誌中應該記錄您指定哪些使用者來嘗試執行哪些動作。所以如果想要記錄 Domain Admins 對 User 物件所做的變更 (而不是使用者自己所做的變更)，可以使用 SACL 來加以控制。SACL 適用於物件 (可以針對新物件定義 SACL，也可以從容器物件繼承)。

您也可以將 ADDS 架構設定為只針對特定的屬性稽核變更。由於 SACL 依預設會套用至物件，所以如果存取或變更任何屬性，都會列入記錄。這可能會產生許多記錄活動，而且可能並不是所有的屬性都與您相關。所以，就屬性等級而言，您可以設定旗標以避免對該屬性的變更列入記錄。

SearchFlags 是在定義屬性的類別中所定義的屬性，所以是屬性 (Attribute) 的屬性 (Attribute)。它同時也是位元遮罩，其中每個單一位元組的位元值都代表不同的開啟/關閉設定。您可能會覺得把它想成屬性 (Attribute) 的屬性 (Property) 比較不會混淆。在 Windows Server 2003 中使用其中七個值來控制不同的設定，包括屬性的索引和 GC 複寫。在 Windows Server "Longhorn" 中，第八個位元 (值為 128) 是用來控制是否要記錄變更。如果設定此位元，則 ADDS 不會在對該屬性進行修改時記錄變更事件。這適用於所有包含該屬性的物件。在 Beta 2 中，無法使用圖形使用者介面來設定第八個位元。

依預設，在 Windows Server "Longhorn" 中，全域稽核原則會開啟，而目錄服務變更會設定為記錄成功的變更。

可重新啟動的 ADDS

在 Windows Server "Longhorn" 中，ADDS 是可重新啟動的服務。這只是代表 ADDS 服務可以停止後再啟動，而不需重新啟動網域控制站。這樣可以讓管理員更輕鬆地執行在服務執行時所不能進行的功能 (例如離線進行的資料庫磁碟重組)，而不必進入目錄服務還原模式。

執行 Windows Server "Longhorn" 的網域控制站有三種可能的狀態：ADDS 啟動、ADDS 停止和目錄服務還原模式。現在讓我們一一檢視這些狀態。

ADDS 啟動 網域控制站正常運作。

ADDS 停止 伺服器同時具有目錄服務還原模式的網域控制站以及網域連結成員伺服器的特性。

與目錄服務還原模式相同，ADD 資料庫 (Ntds.dit) 也是離線的。如果無法連絡另一個網域控制站進行登入，則可以使用目錄服務還原模式密碼從本機登入。

與成員伺服器相同，此伺服器會連結到網域。使用者可以藉由互動方式登入，或使用另一台提供網域登入功能的網域控制站，透過網路而登入。不過，網域控制站不應長期間維持此狀態，因為它將無法服務登入要求，或與其他的網域控制站進行複寫。

目錄服務還原模式 此模式 (或稱狀態) 與 Windows Server 2003 中相同。

[圖 6] 中的流程圖說明執行 Windows Server "Longhorn" 的網域控制站如何能在這三種可能狀態之間轉移。

圖 6** Windows Server 'Longhorn' 上的網域控制站可以在三種狀態之間轉移 **

需要更多資訊？

想要在一篇短短的文章內說明 Windows Server "Longhorn" 中新增 ADDS 功能的深度，是不可能的任務。但正如以上所見，一些之前您必須試著尋找替代方案或只能忍受的問題，都可藉由新增的 Active Directory 功能解決。隨著本產品最終版本的發行日期越來越近，而您也想要更深入瞭解，請不必擔心，我們會公開提供其他的文件。就目前而言，如果要在測試版階段尋找更新，最佳位置是在 Windows Server "Longhorn" 網站 (英文)。

Byron Hynes 服務於 Microsoft 的 Windows Server 使用者協助事業群。他曾擔任過顧問和訓練師，並具有多樣化的經驗，包括區域網際網路骨幹的運作、主從式和啟用 Web 之應用程式的疑難排解，以及資料庫結構描述、網路基礎結構和安全性模型的設計等。您可以透過下列方式與他聯絡：bhynes@microsoft.com。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利；未經允許，嚴禁部分或全部複製.