長久以來Windows Server管理員習慣使用傳統的Windows視窗工具來連線管理,但面對現今以雲端架構為基礎運作的IT環境,卻已經無法因應擁有大量虛擬伺服器的部署環境,若想要更有效率地做好Windows Server集中維護管理任務,由Microsoft官方所推出的Honolulu,頗值得一試。
其中最值得注意的就是超融合架構,因為它的運作方式是直接取用每一部叢集成員伺服器本機的硬碟來做為虛擬磁碟儲存空間,以供同時擔任Hyper-V伺服器與叢集主機的直接存取。過去只能經由叢集管理介面、PowerShell或是SCVMM(System Center Virtual Machine Manager)來管理它,如今又增加了Honolulu對於它在連線管理上的支援。
針對Hyper-V虛擬化平台整合架構中另一種分散式整合架構(Disaggregated)的管理,在Honolulu網站介面中則可以分別經由伺服器管理員以及容錯移轉叢集管理員頁面的切換來進行管理。
首先,針對伺服器的管理(Server Manager)功能,如圖6所示可以發現目前由上而下依序已提供了憑證、裝置、事件、檔案、防火牆、本機使用者與群組、網路、PowerShell、工作管理員(Processes)、登錄檔(Registry)、遠端桌面、角色與功能、服務、儲存、儲存複寫、虛擬機器、虛擬交換器、Windows更新等功能。
|
▲圖6 檢視Windows概觀資訊。 |
在「Overview」頁面中,可以清楚檢視到針對此伺服器的幾項重要資訊,包括電腦名稱、所屬網域、作業系統版本、CPU類型與核心數量、RAM大小、網卡數量、總磁碟空間以及剩餘可用空間。
在資源效能狀態的監視部分,如同桌面的「工作管理員」一樣,可以查看CPU、RAM、每一個磁碟以及網路的負載情形,如果不想顯示磁碟I/O的即時負載資訊,則點選「Disable Disk Metrics」來關閉磁碟效能計量功能。
在監視的過程中如果因為效能或維護之因素,而需要對於此伺服器關機或是重新啟動,只要點選「Shutdown」或「Restart」。如果需要將此伺服器更名,或是加入至特定的工作群組或網域,則點選「Edit Computer ID」來修改。此外,對於某一些新安裝的應用程式之執行,可能需要使用到環境變數的變更(例如PATH系統變數),這時候就點選「Settings」來設定即可。
目前在Honolulu網站中尚無法取代遠端伺服器管理工具(RSAT tools)執行的功能,計有:AD Directory Administrative Center、AD Domains and Trusts、AD Module for Windows PowerShell、AD Site and Services、AD Users and Computers、ADSI Edit、Cluster Aware Updating、Component Services、DFS Management、DHCP、DNS、File Server Resource Manager、Group Policy Management、iSCSI Initiator、Network Load Balancing Manager、Performance Monitor、Print Management、Remote Access Management、Routing and Remote Access、Shielding Data File Wizard、Task Scheduler、Volume Activation Tools以及Windows Server Update Services。
無論現階段(預覽版)是將Honolulu網站部署在桌面模式還是閘道模式,連線使用的網頁瀏覽器建議採用Microsoft Edge或Google Chrome,因為其他網頁瀏覽器目前並沒有經過官方測試,而IE瀏覽器則已確定完全不相容於Honolulu網站,如圖7所示便是使用IE瀏覽器連線Honolulu網站時所出現的提示訊息。
|
▲圖7 Honolulu不支援IE瀏覽器。 |
防火牆與網路管理
企業IT環境中對於伺服器資訊安全的基礎管理措施,除了是對於重要檔案資料的權限以及加密保護外,最重要的就是本機防火牆功能的開啟,這是因為在現行的許多駭客攻擊手法中,經由未嚴謹看守的連接埠口進行伺服器入侵的案例可說是層出不窮。因此,即便是Linux系列的作業系統,如今也是同樣直接內建防火牆功能,畢竟網路邊際(Edge)的防火牆設備,已經不足以確保內部伺服器的安全。
|
▲圖8 管理防火牆規則。 |
現在有了Honolulu網站,對於內部網路內所有Windows Server 2012以上版本的防火牆之控管,將變得更加容易更有效率,因為不再需要直接到主機端面前,或是透過MMC、遠端桌面等方式來建立連線管理,而是經由「Firewall」節點頁面來管理即可,如圖8所示。在此除了可以對於現行的防火牆規則進行啟用、關閉、修改或是刪除之外,也能夠新增自訂的防火牆規則。
想要新增自訂的防火牆規則,必須先選擇輸入規則(Incoming rules)還是輸出規則(Outgoing rules),然後再點選「New」超連結,即可開啟如圖9所示的「New Rule」頁面。在此,名稱的輸入必須是唯一不重複,接著再決定處理的動作(Action)是允許(Allowed)還是封鎖(Blocked)。如果暫時還不要啟用此規則,可以將「Enable Firewall Rule」設定成「No」。接著,再設定所要針對的通訊協定、本機連接埠、遠端連接埠、ICMP類型。最後勾選要套用的設定檔(Profiles),分別有網域(Domain)、私人(Private)以及公用(Public)設定檔。
|
▲圖9 新增連入規則。 |