本书是一本培训教材，共11章24课，总课时约1260分钟，共21天。书中全面涉及企业环境中的各大管理主题：规划名称解析和Internet协议寻址；设计Active Directory域服务；规划迁移、信任和互操作；规划Active Directory管理和组策略；设计网络访问策略；设计分支办公室的部署；规划终端服务和应用程序部署；规划和设计公钥基础架构；为数据共享、数据安全和业务连续性设计解决方案；设计软件更新基础架构和管理遵从。作为培训教材，本书体例完整，各章涵括考点、课程设置、准备工作、小结、复习、术语、实战测试、案例场景等模块，与此同时，各类提示、说明和补充知识穿插于全书，这些都有利于读者掌握重要知识点，并通过相应的测试获得成就感。

本书既是MCITP认证考试的官方指定教材，同时也是IT管理和支持人员的理想参考，是帮助他们设计和优化企业IT环境，制定中长期策略的重要指导。

前    言

本培训教材主要面向在管理大中型企业的整体IT环境和架构方面有多年工作经验的企业管理员。作为企业管理员，需要负责将业务目标转换为技术决策和设计，制定中长期策略。需要负责对网络基础架构、目录服务、身份管理、安全策略、业务连续性、IT管理架构、最佳实践、标准以及服务级别协议(SLA)制定关键决策，您的工作角色中20%是操作，60%是工程，而20%是支持任务。

通过使用该培训教材，您将学到下列技能：

? 规划网络和应用服务

? 设计核心身份和访问管理组件

? 设计支持身份和访问管理组件

? 设计业务连续性和数据可用性等功能

更多信息：在线寻找额外内容

随着本书中有关内容的更新或升级，也许会有更多新的可用内容，这些内容都将发布到Microsoft Press Online Windows Server and Client网站上。取决于Windows Server 2008的最终版本，发布的新内容可能包括对本书内容或文章的更新、到相关组件的链接、勘误以及样章等。该网站很快可通过http://www.microsoft.com/learning/books/online/serverclient进行访问，并会定期更新。

实验环境安装指导

本培训教材的所有练习要求至少提供两台计算机或虚拟机。

? 一台服务器，运行Windows Server 2008 Enterprise，充当域控制器。

? 一台计算机，运行Windows Vista(Enterprise、Business或Ultimate)。

要获取评估版Windows Server 2008 Enterprise，请访问Microsoft下载中心，网址为

http://www.microsoft.com/downloads/search.aspx。

所有计算机必须在物理上连接到同一个网络，同时建议使用隔离的、不属于生产环境的网络来完成本书涉及的所有实验。要将配置物理计算机所需的时间和工作量降到最低，建议使用虚拟机软件进行实验。要使用虚拟机软件在Windows内模拟计算机，可使用Virtual PC 2007、Virtual Server 2005 R2或其他来自第三方厂商的虚拟机软件。要下载Virtual PC 2007，请访问http://www.microsoft.com/windows/downloads/virtualpc/default.mspx；要下载评估版的Virtual Server 2005 R2，请访问http://www.microsoft.com/technet/virtualserver/evaluation/ default.mspx。

硬件需求

只需要使用虚拟机，不需要真正的服务器硬件，即可完成本书中涉及的几乎所有练习。对于Windows Server 2008，最低硬件配置和推荐的硬件配置如下表所示。

Windows Server 2008最低硬件需求

硬件组件 最低要求 推  荐

处理器 1 GHz(x86)、1.4 GHz(x64) 2 GHz或更快

内存 512 MB 2 GB

磁盘空间 15 GB 40 GB

如果希望在同一台计算机上运行多个虚拟机(推荐做法)，则高性能配置将提供更好的操作体验。尤其是如果计算机安装有4 GB内存和60 GB以上可用硬盘空间后，基本上可以承载本书涉及的每个实验环境。

为计算机运行Windows Server 2008 Enterprise做准备

本书介绍了如何为Windows Server 2008的安装做准备，如何安装和配置Windows Server 2008 Enterprise域控制器。其他必要的服务器角色会在后续各章的练习中依次安装。

为计算机运行Windows Vista做准备

要为计算机运行Windows Vista，并执行本书涉及的练习，请执行下列步骤以做好准备。

检查操作系统版本需求

在控制面板的系统工具(位于“系统和维护”类别下)中，确认操作系统版本是Windows Vista Enterprise、Windows Vista Business或Windows Vista Ultimate。如果有必要，请选择通过升级获得上述三个版本。

计算机名称

在控制面板的系统工具中，验证计算机的名称是否是Melbourne。

配置网络

要配置网络，请执行下列步骤。

(1) 在“控制面板”中，单击“设置文件共享”。

(2) 在“网络和共享中心”，确认网络被配置为“专用网络”，并启用了“文件共享”。

(3) 在“网络和共享中心”，单击“管理网络连接”。

(4) 在“网络连接”窗口中，打开“本地连接”的属性对话框，指定与域控制器处于同一子网的静态IPv4地址。

例如，域控制器的安装规范要求使用IPv4地址10.0.0.11。如果使用该地址，则需要将客户端计算机配置为使用10.0.0.21这个IP地址，且子网掩码是225.225.225.0，同时域名系统(DNS)服务器的IPv4地址是域控制器的地址。这里不需要默认网关，同时如果需要，还可以选择其他网络地址，但前提是客户端和服务器必须位于同一子网。

使用随书资源

本书随书资源可以从www.wenyuan.com.cn或www.tup.com.cn获得，具体包含下列内容。

? Practice Tests(实战测试)：通过使用电子版的实战测试，对每章“实战测试”提出的问题进行测试，有助于进一步理解Windows Vista系统的配置方式。另外，还可以从200道模拟试题中抽取问题，对70-647认证考试进行模拟测验，为实际参加考试做好充分准备。

? 英文Ebook(电子书)：如果不希望随身携带本书的印刷版，则可使用英文Ebook。电子书使用便携文档格式(PDF)，可使用Adobe Acrobat或Adobe Reader查看(备注，须发送电子邮件到coo@netease.com提出申请)。

? Sample Chapters(样章)：来自Microsoft Press的其他有关Windows Server 2008图书的样章，这些样章也使用了PDF格式。

如何安装实战测试

要将随书资源中的实战测试安装到硬盘上，请进行下列操作。

(1) 首先从前述网站下载随书资源。解开压缩包，然后根据根目录下的Readme.txt文件选择具体方式进行安装。

(2) 单击“Practice Tests”，根据屏幕提示进行操作即可。

如何使用Practice Tests

要使用Practice Tests，请执行下列步骤。

(1) 单击“开始”按钮，指向“所有程序”，然后选择“Microsoft Press Training Kit Exam Prep”。

随后会出现一个窗口列出已经安装到计算机上的所有Microsoft Press training kit exam prep内容。

(2) 双击课后测试或实战测试即可。

注意：课后测试或实战测试

选择“(70-647)Windows Server 2008 Enterprise Administration lesson review”即可使用本书每章中“课后测试”一节列出的问题。选择“(70-647)Windows Server 2008 Enterprise Administration practice tests”即可从200道题中抽取试题进行模拟70-647认证考试。

Lesson Review选项

一开始，可以看到一个自定义模式对话框，通过该对话框可对测试进行配置。此时可单击OK按钮接受默认配置，或自定义要使用的问题数量与实战测试软件的工作方式，希望回答的问题对应的考点，是否希望对课程复习进行计时。如果要重新进行测试，则可以选择是否希望重新看到所有问题，或者只查看漏掉或没有回答的问题。

单击OK按钮，开始课后测试。

? 要进行测试，请回答问题，并使用Next和Previous按钮翻看前后问题。

? 回答某个问题后，如果希望知道回答是否正确，以及每个问题的解释，单击Explanation按钮即可。

? 若想直到测试结束后才看到结果，请回答所有问题，然后单击Score Test按钮。随后将看到一则总结信息，其中列出了测试过的考点，以及在所有考点中回答过问题的正确率。对于测试，还可以进行打印，复查答案或重新进行测试。

Practice Tests选项

在开始一个实战测试后，还可以决定考试模式（认证模式、学习模式或自定义模式）。

? 认证模式：完全贴合认证考试的体验，需要回答一定数量的问题，有时间限制，而且无法暂停或重新启动计时器。

? 学习模式：创建不限时的测试，测试过程中，在回答了每个问题后，都可查看正确答案和解释。

? 自定义模式：可对所有测试选项进行完全控制，这样可按照喜好进行自定义。

在所有模式中，进行测试时看到的用户界面基本上是一致的，但也有一些不同的选项，这主要取决于具体模式。大部分选项已经在上文的“课后测试选项”中有介绍。

在查看测试问题的答案时，References一栏会列出在培训教材中的哪个位置可以找到有关该问题的详细信息，并可提供到其他信息的链接。在单击Test Results按钮对整个测试进行计分时，还可以打开Learning Plan选项卡查看每个考点的参考信息。

 

如何卸载实战测试

要卸载实战测试，请使用Windows控制面板中的添加删除程序功能。

Microsoft认证项目

Microsoft认证是证明您对Microsoft最新产品和技术具有丰富经验的最佳方式。这些考试和对应的认证主要在于检验您对一些重要内容的掌握情况，例如需求设计和开发，实施或支持有关Microsoft产品和技术的解决方案。通过Microsoft认证的计算机专业人员会被整个业界视作是相关领域的专家。认证对个人、雇员以及企业具有很多好处。

更多信息：所有Microsoft认证

要想进一步了解Microsoft认证，请访问http://www.microsoft.com/learning/mcp/default.asp。

技术支持

我们已经尽最大努力确保本书内容和随书资源的准确性。如果您对本书或随书资源有任何建议、问题或想法，请通过下列任何一种方式告诉Microsoft Press。

? 电子邮件：tkinput@microsoft.com

? 传统邮件：

Microsoft Press

Attn: MCITP Self-Paced Training Kit (Exam 70-647): Windows Server Enterprise Administration, Editor

One Microsoft Way

Redmond, WA 98052-6399

若对图书和随书资源(包括有关安装和使用方面的常见问题回答)还有其他问题，请访问Microsoft Press基础支持网站：http://www.microsoft.com/learning/support/books/。若要直接访问Microsoft知识库并查询，请访问http://support.microsoft.com/search/。有关Microsoft产品的支持信息，请访问http://support.microsoft.com。

致    谢

本书作者希望对为本书出版提供过帮助的下列人员表达最诚挚的感谢：Ken Jones、Rozanne Murphy Whalen、Chris Norton、Kerin Forsyth、Joe Gustaitis、Laura Sackerman、Chris Howd、Ron Thomas、Lisa Kreissler、Richard Kobylka、Chris McCain和Victoria Thulman。本书的顺利出版归功于团队长期合作的结果，而本书的作者希望对相关人员长久以来的努力工作表示最深的谢意，多亏你们，本书才能如此出色！

作 者 简 介

Orin Thomas

Orin Thomas(MCSE，MVP)身兼作家和系统管理员，使用Windows 服务器操作系统的时间长达十年以上。他是Microsoft Press出版的一系列自学培训教材的作者，包括MCSA/MCSE自学教程(70-290考试)《管理和维护Microsoft Windows Server 2003环境(第2版)》。同时他也是Windows IT Pro的编辑。

John Policelli

John Policelli(MVP，MCTS，MCSA，ITSM，iNet+，Network+，A+)

是一名专注解决方案的IT顾问，在架构、安全、策略规划和灾难恢复方面有十多年的工作经验。他曾设计和实施了数十个复杂的目录服务、电子信息、Web、网络和安全方面的企业解决方案。John在过去九年里都专注于身份和访问管理，并在加拿大的很多大规模Active Directory目录服务安装活动中承担领导职责。他曾以作者、技术审校和项目专家的身份参与过50多场与Windows Server 2008身份和访问管理、网络以及协作有关的培训、出题、出版和白皮书编写，同时还负责过其他很多试题、出版物以及白皮书。

Ian McLean

Ian McLean(MCSE，MCITP，MCT)在工商界和教育界已经有40多年的工作经验。在从事远程教育和担任大学教授之前，他的第一份职业是电气工程师。目前，他主要为政府机构提供技术支持，并经营着自己的顾问公司。Ian写过22本书，另外还撰写了很多论文和技术文章。代表作有MCITP自学培训教材(70-444考试)《Microsoft SQL Server 2005数据库管理优化和维护》和MCITP自学培训教材(70-646考试)《Windows Server 2008管理》。除了写作工作，Ian总是用糟糕的吉他声影响别人，幸运的是他主要负责伴奏，因为他的唱功更糟糕。

 

J. C. Mackin

J. C. Mackin(MCITP，MCTS，MCSE，MCDST，MCT)身兼作家、编辑、顾问和讲师，有十多年的专业经验。代表作有MCSA/MCSE自学培训教材(70-291考试)《实施、管理和维护Microsoft Windows Server 2003网络基础架构》、MCITP自学培训教材(70-443考试)《使用Microsoft SQL Server 2005设计数据库服务器基础架构》和MCITP自学培训教材(70-622考试)《在Windows Vista客户端上通过企业技术支持人员为应用程序提供支持和排错》。他持有通信和网络管理领域的硕士学位。在不使用计算机工作时，J. C. Mackin通常流连于在意大利或法国，用全景照相机拍摄中世纪村庄。

Paul Mancuso

Paul Mancuso(MCITP，MCSE，MCT，CCSI，CCNP，VCP，CCISP)从事IT领域的教学、写作、培训和顾问工作有20多年时间。作为国家IT培训和认证学院(National IT Training and Certification Institute，NITTCI)的共同所有人，Paul在撰写培训教材方面有非常丰富的经验，目前已经出版了四本书。代表作有MCITP 70-622考试《在Windows Vista客户端上通过企业技术支持人员为应用程序提供支持和排错》和《使用Exchange Server 2007设计消息基础架构》。他最近开始学习打高尔夫，并开始在空闲时间撰写高尔夫相关教材。

目    录

 

第1章  规划名称解析和IP寻址 1

准备工作 1

第1课  规划名称解析 3

规划Windows Server 2008 DNS 4

使用新的DNS功能和增强功能 13

规划DNS基础架构 18

实战：配置DNS 25

本课小结 28

课后测试 29

第2课  规划Internet协议寻址 30

分析IPv6地址结构 31

了解IPv6的优势 38

确保IPv4到IPv6的兼容性 40

规划IPv4到IPv6的转换策略 43

使用IPv6工具 45

通过DHCPv6配置客户端 50

规划IPv6网络 52

实战：配置IPv6连通性 56

本课小结 61

课后测试 61

本章回顾 63

本章小结 63

案例场景 63

建议的练习 64

实战测试 65

第2章  设计Active Directory域服务 66

准备工作 66

第1课  设计AD DS林和域 68

设计林结构 68

设计域结构 74

设计功能级别 79

设计架构 82

设计信任以优化林内验证 83

实战：设计AD DS林和域 85

本课小结 88

课后测试 88

第2课  设计AD DS物理拓扑 90

设计站点结构 91

设计复制 94

设计域控制器的安置 98

设计打印机位置策略 101

实战：设计Active Directory域

服务物理拓扑 104

本课小结 108

课后测试 108

本章回顾 110

本章小结 110

案例场景 110

建议的练习 111

实战测试 112

第3章  规划迁移、信任和互操作 114

准备工作 114

第1课  规划迁移、升级和重构 116

迁移路径 116

升级现有域到Windows Server 

2008 117

跨林验证 119

实战：规划将林迁移到Windows 

Server 2008 120

本课小结 121

课后测试 121

第2课  规划互操作性 123

规划AD FS 123

Microsoft Identity Lifecycle Manager 

2007 Feature Pack 1 125

规划UNIX的互操作性 126

实战：规划互操作性 131

本课小结 132

课后测试 132

本章回顾 134

本章小结 134

案例场景 134

建议的练习 135

规划互操作性 135

实战测试 135

第4章  规划Active Directory管理

        和组策略 137

准备工作 137

第1课  设计Active Directory管理

        模型 139

委派Active Directory的管理 140

使用组策略委派管理任务 145

规划审核AD DS和组策略遵从性 156

规划企业结构 158

实战：创建林信任 159

本课小结 161

课后测试 161

第2课  设计企业级的组策略 163

规划组策略结构 164

控制设备的安装 168

规划验证和授权 173

配置更细致的密码策略 175

使用智能卡验证 176

实战：实施细化密码策略 178

本课小结 180

课后测试 181

本章回顾 182

本章小结 182

案例场景 182

建议的练习 183

实战测试 184

第5章  设计网络访问策略 185

准备工作 186

第1课  外围网络和远程访问策略 187

设计外围网络 187

在外围网络部署策略服务 192

设计远程访问策略 193

为远程访问设计RADIUS解决

方案 199

实战：为中等规模企业设计

RADIUS解决方案 203

本课小结 205

课后测试 205

第2课  网络访问策略和服务器与域的

        隔离 207

网络访问保护概述 207

实施NAP时的考虑 211

规划NAP IPsec环境 212

规划NAP VPN方案 217

规划NAP 802.1x方案 219

规划NAP DHCP方案 223

域隔离和服务器隔离 224

本课小结 226

课后测试 226

本章回顾 228

本章小结 228

案例场景 228

建议的练习 229

实战测试 231

第6章  分支办公室的部署设计 232

准备工作 232

第1课  分支办公室部署 234

分支办公室的服务 234

分支办公室的通信考虑 246

本课小结 247

课后测试 247

第2课  分支办公室服务器安全 249

分支办公室安全概述 249

保护分支办公室的Windows Server 

2008安全 251

分支办公室信息系统安全概述 251

增强分支办公室的Windows Server 

2008安全 252

本课小结 263

课后测试 263

本章回顾 265

本章小结 265

案例场景 265

建议的练习 266

实战测试 267

第7章  规划终端服务和应用程序部署 268

准备工作 268

第1课  规划终端服务的部署 269

规划终端服务的部署 269

终端服务授权 270

使用终端服务Web访问部署应用

程序 274

使用RemoteApp规划应用程序的

部署 274

规划终端服务器场的部署 275

规划终端服务网关服务器的部署 276

实战：规划终端服务 277

本课小结 278

课后测试 278

第2课  规划应用程序的部署 280

使用组策略规划应用程序的部署 280

使用System Center Essentials部署

软件的规划 282

使用SCCM 2007部署软件的规划 283

实战：规划应用程序部署 285

本课小结 286

课后测试 286

本章回顾 288

本章小结 288

案例场景 288

建议的练习 289

实战测试 289

第8章  服务器和应用程序虚拟化 290

准备工作 290

第1课  规划操作系统虚拟化 291

Virtual Server 2005 R2 SP1 292

Hyper-V 293

管理虚拟的服务器 295

规划服务器的整合 298

实战：设计Virtual Server的部署 302

本课小结 303

课后测试 304

第2课  应用程序虚拟化规划 306

Microsoft SoftGrid Application Virtualization 306

规划Application Virtualization的

部署 307

实战：规划Application 

Virtualization 309

本课小结 311

课后测试 311

本章回顾 313

本章小结 313

案例场景 313

建议的练习 314

实战测试 314

第9章  规划和设计公钥基础架构 316

准备工作 316

第1课  了解PKI需求 318

了解PKI的概念 318

识别需要PKI的应用程序 319

了解证书的需求 320

复查公司的安全策略 322

评估业务需求 323

评估外部需求 323

评估Active Directory需求 324

评估证书模板需求 324

本课小结 325

课后测试 325

第2课  设计CA等级 326

规划CA基础架构 326

实战：规划CA基础架构 332

本课小结 333

课后测试 333

第3课  创建证书管理规划 335

选择证书注册方法 335

创建CA续订策略 338

定义撤销策略 338

证书撤销清单 339

实战：规划PKI管理策略 342

本课小结 343

课后测试 344

本章回顾 345

本章小结 345

案例场景 345

建议的练习 346

实战测试 346

第10章  为数据共享、数据安全以及业务

          连续性设计解决方案 347

准备工作 347

第1课  规划数据共享和协作 349

规划DFS的部署 349

DFS命名空间的高级设置和功能 352

DFS复制的高级设置和功能 353

DFS设计流程概述 355

规划SharePoint基础架构 356

实战：设计数据共享解决方案 360

本课小结 361

课后测试 362

第2课  选择数据安全解决方案 363

使用BitLocker保护卷数据 363

选择BitLocker验证模式 364

BitLocker安全设计的考虑 365

规划EFS 365

使用AD RMS 367

实战：设计数据存储安全 370

本课小结 370

课后测试 371

第3课  规划系统恢复和可用性 372

规划AD DS的维护和恢复操作 372

获取操作主机角色 375

使用网络负载平衡支持高利用率

服务器 376

使用故障转移群集实现高可用性 378

本课小结 380

课后测试 381

本章回顾 382

本章小结 382

案例场景 382

建议的练习 383

实战测试 384

第11章  设计软件更新基础架构 

           和管理遵从 385

准备工作 385

第1课  设计软件更新基础架构 387

使用Microsoft Update作为软件

更新解决方案 387

将Windows Server Update Services

作为软件更新解决方案 388

System Center Essentials 2007 393

System Center Configuration Manager 

2007 395

实战：Windows Server 2008软件

更新基础架构 396

本课小结 400

课后测试 401

第2课  管理软件更新遵从 403

Microsoft Baseline Security 

Analyzer 403

SCCM 2007的遵从和报表 406

规划和部署安全基准 407

基于角色的安全策略最佳实践 409

实战：基于角色的安全和SCE

报表 410

本课小结 411

课后测试 412

本章回顾 413

本章小结 413

案例场景 413

建议的练习 414

设计软件更新和遵从性管理 414

实战测试 415

答案 416