Nano Server登录界面。
Nano Server 恢复控制台(Recovery Console)十分简洁,功能就是故障出现时重新连接服务器。
Nano Server 恢复控制台网络配置。
通过滚动设置或者全局重设防火墙。
在Powershell 中运行Nano Server。
Nano Serve“瘦身”有两大好处:其一,使其可攻击界面比正常服务器减小了数倍;其二,对于特定的服务和应用,减少占用意味着可以采取最低限度的部署,利用相对较小的虚拟化或者物理空间——为实际存储和计算应用节省磁盘和内存空间。并且,由于Nano Server映像完全是由PowerShell命令行创建的,十分易于自动创建和部署新的服务器。
然而,极简UI也带来了一些不便。Nano Server的控制台窗口只能用来修复网络和设置防火墙,其他任何操作都需要通过PowerShell或者安装软件包和执行XML共享文件指令,所以不要忘记安装文件服务模块。
该过程大都可以通过脚本和System Center 2016或者其他工具实现自动化,然而不要期待Nano Sever会有什么友好的“向导”手把手教你怎么做。并且,如果你计划将Nano Serve载入vSphere或者其他虚拟化技术,这就需要更多的虚拟机和虚拟磁盘转换的训练,因为脚本只能产生.VHD和.VHDX虚拟磁盘输出。评测者称其试图将Nano Server磁盘映像转换为一个vSphere实例的过程并不顺利。
Server 2016安全升级
Nano Server增强的安全性只是Server 2016安全性增强的一个开端,还有很多新的方法保护用户免遭攻击者窃取证书获得广泛访问服务器基础架构的权利——现实世界中常常发生这种攻击。还有一些新的功能称为Guarded Hosts和Shielded Virtual Machines,阻止拥有服务器访问权的用户访问其上运行的虚拟机。
今年早些时候,微软发布了一项功能称为“JustEnough Administration”(JEA),作为Windows Management Framework 5.0的一部分。JEA使用更加精细的访问控制授予个人权限来运行特定的管理任务。JEA通过PowerShell配置文件授予特定任务权限,而不是必须要授予使用者在Active Directory中更广泛的管理权。
例如,这能允许DevOps团队的成员通过特定的Power Shell命令集 "cmdlets"来诊断服务器实例的问题,而不需要授予其服务器完全管理权限。这样,可以大大减少完全管理权限账户的数量,减少许可证书被窃取和恶意利用的概率。
除此之外,JEA还意味着Server 2012 R2 中引入的“Just in Time Admin”功能,该功能允许通过特定任务的工作流程授予用户基于时间的管理权限。Server 2016也采用了最初由Windows 10 Enterprise 部署的Credential Guard技术。该技术是一项基于虚拟化的安全功能,利用Hyper-V分割其他操作系统的证书管理来帮助保护证书免受窃取。
Server 2016在物理和虚拟机上都得到了强化。Device Guard利用Hyper-V层作为操作系统(OS)和硬件的缓冲层,通过Windows组策略编辑器配置的组策略可以添加内核级别(kernel-level)和用户级别(user-level)软件的代码完整性检查。管理程序层增强了这种检查,只允许信任代码在系统上执行,正确的引导加载程序。Device Guard的代码完整性策略也能设置为允许通常被“阻塞”的应用程序以“审核模式”(audit mode)运行,并创建一个记录其详细活动的事件日志。
