如何在Windows Server 2003上创建虚拟机

永远的伯利恒

缺少了虚拟机，虚拟化还有什么好处呢？
　　到目前为止，关于VMware Server、服务器上Windows的安装与配置、VMwareServer本身的安装与配置、IIS（Internet InformationServer）和SMTP（简单邮件传输协议）的配置等部分已经在前面几部分文章中讨论过了。在本文中，TechTarget中国的特约专家AndrewKutz将讨论关于如何创建虚拟机的问题。
　　用VMware Server创建虚拟机非常容易。首先，点击开始按钮启动VMware Server控制台，接下来点击\"所有程序\"，再点击\"VMware\"，选择\"VMware Server\"，然后点击\"VMware Server 控制台\"。
　　顺便说一下，安装程序本应该在桌面上创建一个VMware Server应用程序的快捷方式，但是如果你发现没有创建的话，请继续往下，并手动创建一个这样的快捷方式。这主要是考虑到该应用程序使用得非常频繁。
　　一旦VMware Server控制台加载成功，单击标有\"文件”的菜单选项，然后点击\"New\"并选择\"虚拟机\"。有一个组合键也可以实现此任务——CTRL-N。此外，位于VMware Server控制台主屏幕中央的大按钮也可以用来创建新的虚拟机。
　　接下来就会出现一个标题为\"新虚拟机创建向导\"的窗口。点击\"下一步\"按钮。

　　选择\"自定义\"选项，然后点击下一步\"。

  
　　选择所创建虚拟机将要运行的子机操作系统并选择它的版本。在这种情况下，需要选择的是Microsoft Windows Server 2003标准版。点击“下一步”

　　为此虚拟机选一个名称。这将被自动填到虚拟机的地址栏中。点击“下一步”

　　取消勾选\"Make this virtual machine private\"。这样的话，获得该虚拟机的文件许可才可以访问该虚拟机。点击“下一步”

　　这一步非常的重要，因为它将会影响到在这台服务器上运行的每台虚拟机的安全性，乃至可能是整个计算机构架的安全性。

　　就像是在第二节中提及到的一样，VMware Server以其特有的过程启动每台虚拟机。这种屏幕给我们提供了一个机会，可以配置运行该过程的用户帐户。默认情况下，一台虚拟机将会由启动它的那个用户来使用。这实际上非常的不安全。
　　假设此服务器是某AD（活动目录）的成员之一。由于此服务器上的文件系统都已经被设置成允许该服务器的管理员访问虚拟机，除非此默认设置在其他地方被修改过。这意味着该活动目录“域管理员”群组内的任何成员都可以通过VMware Server控制台访问此服务器上的虚拟机。
　　如果一个域管理员启用某台虚拟机，这台虚拟机就将在该域管理员的安全监控下运行。目前，还没有已知的办法可以侵入一台正在VMwareServer上运行的虚拟机。然而，我们猜想有这样的方法。（黑客不是愚蠢的，当他们显身的时候就是他们已经找到新的攻击载体的时候）。
　　以下情况可以很容易发生，如果某台虚拟机是被一个特权用户使用，黑客就可以摧毁整个活动目录。举个例子，域管理员\"l.carroll\"进入VMwareServer，启动名为\"jabberwocky\"的虚拟机。虚拟机此时由\"vmware-vmx.exe\"进程支持运行，而且这个进程在域管理员\"l.carroll\"的安全监控下运行。在启动虚拟机之后，域管理员\"l.carroll\"就断开了与VMwareServer的连接。而几个小时后虚拟机\"jabberwocky\"被黑客袭击了，因为作为一台服务器来说，这样的IIS设置明显不够（系统管理员本应该遵循这个指南）。
　　这不仅仅是危害虚拟机的任何黑客，也同样是发明了在虚拟机外面和主机服务器操作系统里面一直跟踪白兔的方法的黑客，。从这点来讲，改变活动目录里所有的密码并重建服务器的所有密码是完全有必要的。
　　当黑客突破防御通向另一方时，却发现另一方正在域管理员\"l.carroll\"的安全性监控之下。这就意味着黑客像域管理员一样运行代码，尝试访问系统。
　　通过这些情景，我们可以看到为什么说谨慎地选择启动虚拟机的帐户是那么的重要。
　　如果该服务器不属于某个活动目录，也可以选择使用本地系统帐户作为虚拟机帐户来使用。虽然说如果虚拟机被黑客袭击，活动目录并不会受到损害，但主机服务器乃至在主机服务器上运行的其它虚拟机都会有所损害。
　　安全性最高的方法就是创建一个低特权服务帐户，并将其作为虚拟机帐户来使用。此帐户唯一应该拥有的额外特权就是对文件夹\"e:\\var\\vms\"的完全控制。除此之外，普通用户特权就足够了。
　　另外，如果服务器是某活动目录内的一员，一个单一的低特权域用户帐户也可以让用来在所有VMware Server主机上运行虚拟机。
　　而对于一些十足的偏执人士来说，他们应该使用一个单独的低特权用户帐户来运行每一个单独的虚拟机。当然，所有的帐户也都应该有单独的、长一些的密码。这样，如果只是一个帐户被危及安全，其它所有的帐户应该不会有太大危险。
　　在点击“下一步”之前，请决定当服务器启动时这台虚拟机是否要随之启动。请适当地调整设置后然后点击“下一步”。
　　即使选择两个虚拟处理器同时运行很诱人，想想看：Windows Server 2003无法支持处理器的删除。尽管说Windows Server2000可以进行这样的操作，可不论什么原因，Windows Server2003就是不能支持。所以，虽然说稍后给虚拟机添加资源(现在这种情况是指CPU)是小事一桩，可如果这个添加的CPU没有被使用的话，我们是不可能将其移去的。
　　因此，请选择\"One\"然后点击“下一步”。
　　尽管如今的大多数服务器最小也载有1G的内存，对于Windows Server 2003来说384M内存就足够了。为了安全起见，选择512M。如果之后服务器需要更大的随机存储空间，我们可以通过给它多分配随机存储空间来满足其不稳定的欲望。点击“下一步”。
　　除非该虚拟机需要在专用网络或NATD（网络地址转换实现形式之一）网络，否则的话请选择\"使用桥接网络\"。本指南将不会论述所有VMware Server上各种不同类型的网络设置，但是在不久的将来会提供一个关于高级网络和VMware Server的指南。
　　点击“下一步”
　　BusLogic适配器是支持遗留系统处理的。选择\"LSI Logic\"，然后点击“下一步”。
　　选择\"创建新的虚拟磁盘\"，然后点击“下一步”。之后选择\"SCSI\"（小型计算机系统接口）并点击“下一步”。
     
　　Windows Server 2003最好在6G空间内安装，所以对于磁盘大小，请选择“6”。

　　现在有问题产生了，我们是否为虚拟硬盘图像预先分配了空间呢？如果服务器上有6G的自由存储空间，那么一定要预先分配空间。这将有利于提升虚拟机的性能。预先分配存储空间也就意味着硬盘在今后将不能被压缩或者进行碎片整理。这些一定要记住。
　　选中相应选项旁边的复选框将磁盘分成2G的文件也是一个好主意。将来如果有必要将虚拟机的磁盘文件刻录成DVD或是在网络中转移文件的话，这个设置将使其变得容易些。在移动或者复制小量数据时，错误将很少有机会发生。
　　点击“下一步”。
　　给这个磁盘文件起一个容易记住的名字，比如说\"%HOSTNAME%-system.vmdk\"，然后点击“下一步”。