前言:自 Microsoft® Windows Server® 2003 推出后,计算环境已发生天翻地覆的变化。Windows Server® 2008 引入了众多新功能并扩展了 Windows Server 2003 的功能。Windows Server 2008 旨在满足各种新的安全挑战,充分发挥新技术优势并提供便于轻松管理的稳健系统。为帮助企业应对挑战、简化技术人员的系统管理工作,Windows Server 2008 引入了众多 Windows Server 2003 R2 不具备的新功能与新技术。Windows Server 2008 在在安全性和高可用性方面为企业和 IT 工作人员带来各种丰富优势。
安全性:通过改进众多现有功能与增加新功能,Windows Server 2008 的安全性显著提高。网络访问保护 (NAP)、Windows® BitLocker™ 驱动器加密、服务器核心、下一代加密技术(CNG)、只读域控制器(RODC) 以及具备高级安全性的 Windows防火墙等功能提供了安全增强。
高可用性:Windows Server 2008 针对企业各种工作负载与应用要求提供可靠的功能强大的 Windows 平台,并为管理员提供强大的新脚本、管理、配置与部署功能,其中包括: Windows Server 2008 的Server Manager、Windows PowerShell 以及 Windows Deployment Service
提高安全性
由于改进了众多现有功能并增加了新功能,Windows Server 2008 的安全性得以显著增强。Windows Server 2008 仅安装服务器执行角色所需要的服务。增强的审计、Windows® BitLocker™驱动器加密以及事件转发正是有助于企业遵守当前严格 IT 合规标准的部分技术。企业能确保数据安全并控制对 Windows Server 2008 的网络访问。网络访问保护 (NAP) 和网络策略与访问服务 (NPAS) 角色有助于调控网络访问,而具备高级安全性的 Windows防火墙、只读域控制器 (RODC)、BitLocker驱动器加密及下一代加密技术(CNG) 功能则可有助于确保数据的安全性。Windows Server 2008 Active Directory® Rights Management Services (AD RMS) — 曾经的 Windows RMS — 是保护敏感信息的关键功能。
网络访问保护 (NAP)
当今,企业拥有众多需在不同地点间使用移动计算机(如:膝上型电脑)的移动用户或需要在家中接入网络的用户。现场携带或在不受控制环境中联网的计算机会产生传播病毒或造成违规的风险。由于可以保证联网的所有计算机都符合企业的健康系统策略,因此网络访问保护 (NAP) 可帮助企业保护其网络免受上述危险。
NAP 是 Windows Server 2008、Windows® XP SP3 和 Windows Vista® 包含的一系列新的操作系统组件,其提供一个策略执行平台,有助于确保专用网中的客户端计算机符合管理员定义的系统健康要求。在系统健康方面执行自动检查,如:核实是否安装了最新的防病毒软件以及操作系统是否按要求更新。
NAP 通过监控和评估试图联网或在网络中通信的客户端计算机的健康状况来实施健康要求。认定不符合健康要求的客户端计算机会被安置于受限网络,该网络包含用于修补和更新客户端系统、使其符合健康策略的资源。管理员和技术人员可利用 NAP 完成以下任务:
•确保专用网的客户端计算机符合管理员定义的系统健康要求;
•通过四种强制类型连接对漫游移动计算机实施健康要求,这四种类型包括 802.1X 验证设备、IPsec(如:服务器和域隔离)、VPN 网关以及 DHCP;
•通过拨号上网或 VPN 方式检验不受管理的家用电脑的健康状况;
•验证来访者和合作伙伴移动计算机的健康状况;
•针对不符合系统健康要求的计算机强制执行阻止访问策略,如:禁止访问、限制访问或延迟执行/无限制的访问;
•启用持续网络与客户端健康监控。
NAP 还包含一个应用程序接口 (API),供开发商和厂商开发用于网络策略验证、持续合规性和网络隔离的自有组件。许多厂商已参与对 NAP 的支持,包括思科和 ICG-TNC。
Windows Server 2003 支持网络访问隔离控制功能,其允许管理员隔离 VPN 和远程访问服务 (RAS)用户。Windows Server 2008 的全新网络访问保护(NAP)功能是建立在上述功能基础上的,同时还增加了丰富的集中式管理、基于策略的控制功能,且具有真正的网络隔离和系统补救功能。这些全新功能同时适用于远程用户和本地用户。企业可利用 NAP 来确保所有联网计算机符合企业的策略要求,从而保护其网络免受病毒与其他恶意软件侵害。NAP 功能限制不符合预定义策略的计算机访问网络,同时提供使违规计算机恢复健康状态的补救服务。另外,它还提供持续合规性检查和补救违规计算机。
网络策略与访问服务 (NPAS) 角色
Windows Server 2008 的网络策略与访问服务 (NPAS) 提供使企业能够部署 VPN、拨号上网和 802.11 保护无线接入的技术。管理员可利用网络策略服务器(NPS) 定义和执行有关网络访问验证、授权和客户端健康的策略。IT 工作人员可以把 NPS部署为远程用户拨号认证服务(RADIUS) 服务器和代理以及网络访问保护(NAP) 策略服务器。
路由与远程访问 (RRAS) 策略存在于 Windows Server 早期的版本中。RRAS 策略允许管理员设置让哪一级用户通过 RRAS 和 VPN 接入网络。管理员还可以控制安全套接字隧道协议(SSTP) 的设置以及配置隔离。Windows Server 2008 建立在上述功能基础上,可为连接到网络的任一计算机提供此类基于策略的控制。
网络策略与访问服务 (NPAS) 替代了路由与远程访问 (RRAS) 策略。NPAS 为用户提供本地及远程网络连接,连接网络分段,并为网络管理员提供集中管理网络访问与客户端健康策略的更好方式。企业还可以部署RADIUS 服务器和代理服务器,并利用 Connection Manager Administration Kit 创建允许客户端计算机接入网络的远程访问配置文件。
服务器核心(Server Core)
采用 Windows Server 2008,管理员可选择安装一个最小环境,以便降低管理工作量、控制安全风险并减少服务器角色的受攻击面。这种安装称为 Server Core 安装。利用 Server Core 还可以减少管理员在服务器维护与管理方面花费的时间。Server Core 安装为运行以下服务器角色提供一个优化环境:
Active Directory目录服务(AD DS)
Active Directory 轻量级目录服务(AD LDS)
DHCP 服务器
DNS 服务器
文件服务和打印服务器
Windows Media® Services
终端服务(轻松打印、TS RemoteApp 和 TS Gateway)
IIS 7.0(有某些限制)
Windows Server 2008 内置 Hyper-V 虚拟化
Server Core 是 Windows Server 2008 的新增功能。利用 Server Core 可以提高安全性,缩小操作系统的规模,减少维护并减小服务器受攻击面。由于 Server Core 安装只安装指定角色(如:DHCP 服务器、文件服务、打印服务器、DNS 服务器、AD LDS 或 AD DS)所需要的组件,因此所需要的服务少于 Windows Server 2008 完整安装。 Server Core 的安装无需完整的 Windows图形用户界面,并且可以利用 Microsoft管理控制台(MMC) 管理单元进行远程管理或者利用命令行工具进行本地管理。 Server Core 需要的磁盘和内存更小,这可以提高性能,尤其是在虚拟环境或者在老硬件中。 Server Core 安装选项适用于专用基础架构、远程基础架构以及为静态页面提供服务的 Web 服务器。
Hyper-V 与 Server Core 是一个功能强大的组合。在 Server Core 主机操作系统中运行的 Hyper-V 需要更少的修补,从而可以提高虚拟主机的正常运行时间。用作宾客操作系统的 Server Core 可以产生乘数效应好处。 Server Core 对于执行集中基础架构角色的虚拟机而言是一种更清洁、开销更低的系统,这样使 IT专业人员能够提高 Hyper-V 服务器的 VM 密度。
具备高级安全性的 Windows Firewall
具备高级安全性的 Windows Firewall 可在运行 Windows Vista 或 Windows Server 2008 的计算机上提供以下功能:
过滤所有进出计算机的 IPv4 和 IPv6 流量。在默认情况下,可以阻止所有进入流量,除非是对计算机先前传出的流出请求进行响应(请求流量),另外可以根据创建的规则特别允许特定流量。
可利用 Ipsec 协议检验网络流量的完整性,验证收发计算机或用户的身份以及随意地加密流量以提供保密保护,进而保护进出计算机的网络流量。
从 Windows Vista 和 Windows Server 2008 开始,Windows Firewall和 Ipsec 的配置集成到了单个工具,即具备高级安全性的 Windows Firewall 的 Microsoft管理控制台(MMC) 管理单元。Windows 仍然含有旧版的 IPsec 管理单元,可用于管理运行 Microsoft Windows Server® 2003、Windows® XP 或 Windows® 2000 的客户端计算机。Windows Server 2003 中的防火墙只过滤进入流量。
企业需要防止系统遭受安全威胁。具备高级安全性的 Windows Firewall更便于配置用于保护服务器和数据的有效防火墙和 Ipsec 策略。组合界面可以减少干扰 Ipsec 功能的防火墙规则配置次数。新 Windows Firewall所拥有的更全面的流量过滤功能可以更好地防范病毒、恶意软件和其他网络攻击,而且能够有助于预防威胁扩散。
只读域控制器 (RODC)
远程管理服务器、服务和安全性一直是 IT 人员面临的挑战。Windows Server 2008 利用针对 Active Directory 的增强功能(包括只读域控制器和管理角色分隔)来简化远程地点服务器的管理工作。
只读域控制器(RODC) 是一种新的域控制器,主要针对远程地点。在默认情况下,RODC不保存任何密码。这样的话,如果 RODC 受到安全危害,管理员无需担心入侵者利用此服务器保存的信息访问整个网络。这样可以弥补远程站点物理安全性的潜在不足。RODC提供以下优势:
提高安全性
与 Windows Server 2003 完整域控制器相比登录时间更快
网络资源访问效率高于 Windows Server 2003 域控制器
可以更安全地委派远程办公室的管理工作
在发布 Windows Server 2008 之前,远程地点的域控制器安装是个难题。只读域控制器(RODC) 是 Windows Server® 2008 操作系统中的一个新的域控制器,其允许在需要快速、可靠的验证服务、但是无法确保可写域控制器物理安全性的地点上更安全地部署域控制器。RODC 提供以下好处:
利用 RODC,企业可以轻松在之前利用远程站点配置部署 Active Directory 的地点部署域控制器,从而加快登录处理。
RODC 允许本地支持人员登录到 RODC 像更新驱动程序那样执行管理更新,无需拥有对相关域的管理权限。
远程地点往往无法充分提供可写域控制器需要的物理安全性。此外,远程站点在接入网络集线器站点时网络带宽较低,从而会增加登录时间和其他域功能。RODC 可以同时改善远程站点的安全性和管理。
如果系统受到侵害,允许管理员利用 Windows Server 2008 中的删除域控制器向导轻松删除域控制器从而提高安全性。
下一代加密技术(CNG)
下一代加密技术(CNG)是 Windows Server 2008 的最新加密工具。下一代加密技术(CNG) 包含一套新的技术、组件及 API,提供一个灵活的加密开发平台,使企业能够在加密相关应用中创建、更新和使用定制加密算法,如:Active Directory证书服务(AD CS)、安全套接层(SSL) 及 Internet 协议安全 (IPsec)。CNG 符合最新加密标准并且执行美国政府 Suite B 加密算法,其包括用于加密、数字签名、密钥交换和散列法的算法。
Windows Server 2003 中由 CryptoAPI 提供加密。Windows Server 2008 的 CNG 扩展了 CryptoAPI 的功能,同时简化了软件中的密码使用。
CNG 为 IT 人员提供安全执行符合政府通用标准密钥保存要求的密码运算的工具。IT 人员可以利用 CNG:
安装和使用附加加密提供商;
执行基本密码运算,如:散列法创建以及数据加密/解密;
创建、保存及恢复密钥。
Windows BitLocker 驱动器加密
信息的丢失会造成惨痛损失。由于越来越多的业务和服务采用在线模式,数据更易受到攻击。与此同时,用户对数据保护的需求也在日益提高。《萨班斯—奥克斯利法案》 (SOX) 以及《健康保险便利及责任性法案》 (HIPAA) 等新的州及全国性法规促进了对数据保护的需求。Windows BitLocker驱动器加密(BitLocker) 是Windows Server 2008 中的一个完整新安全功能,可以保护远程服务器。BitLocker 可为企业提供解决方案来保护敏感数据从而实现各种应用。BitLocker 是Windows Vista 和 Windows Server 2008 操作系统的安全功能,能够保护计算机的操作系统和操作系统卷保存的数据。BitLocker 执行以下两种功能:
加密 Windows 操作系统卷(和配置数据卷)保存的全部数据。其中包括 Windows 操作系统、休眠与分页文件、应用及其使用的数据。
默认情况下,使用可信任平台模块 (TPM)来帮助确保前期启动组件(启动过程前期使用的组件)的完整性,同时可以“锁定”任何 BitLocker 保护卷 – 即使在操作系统离线时也能防止计算机被篡改。
Windows BitLocker Drive Encryption 是 Windows Server 2008 中的新功能,可与Encrypting File System (EFS)一起加密服务器的所有操作系统及用户数据。
Windows BitLocker Drive Encryption 功能通过加密完整卷以及检查前期启动组件的完整性来保护丢失、被盗或不适当使用计算机中的数据。只有相关组件得到成功验证并且加密驱动器位于原始计算机情况下才能使数据解密。完整性检查需要兼容的 Trusted Platform Module (TPM)。
加密文件系统(EFS)
加密文件系统(EFS) 提供核心文件加密技术,用于在 NTFS 文件系统卷保存加密文件。在使用之前用户无需手动解密已加密的文件;可以像通常那样打开和修改文件。
EFS 的增强功能包括在智能卡保存加密证书的功能、按用户加密客户端缓存的文件、附加分组策略选项、以及新的密码更新向导。
通过避免对已经打开、但未修改的文件进行不必要的重新加密,EFS 的性能得到增强。
联合权限管理与Active Directory权限管理服务
Windows Server 2008 允许采用新的方式保护可以更全面、更简便管理的敏感信息。与Windows Server 2003 中的操作一样,Active Directory联合服务(AD FS) 允许企业设置对另一个机构的联合信任。通过身份与权限联合,用户只需一次本地域登录,然后即可获得对合作域的访问权限。
由于 Active Directory权限管理服务 (AD RMS)已经与Windows Server 2008 中的 AD FS 相集成,因此联合信任现在允许 AD RMS 对外部用户授予适当 RMS 权限,无需该用户在本地登录,也无需其拥有自己的 AD RMS 服务器。对于 Windows Server 2008,Active Directory权限管理服务(AD RMS)包含 Microsoft Windows权限管理服务(RMS) 未提供的多项新功能。这些新功能旨在降低 AD RMS 的管理开销以及把其使用扩展到企业外部。这些新功能包括:
在 Windows Server 2008 中作为一个服务器角色配置 AD RMS;
通过 Microsoft 管理控制台(MMC) 进行管理;
与 Active Directory联合服务(AD FS) 相集成;
AD RMS 服务器自动注册;
能够根据新的 AD RMS 管理角色分配职责。
利用 Windows Server 2008 和 RMS,企业可以获得所需的协作平台和工具,使同事和信任的合作伙伴跨企业边界高效地共享信息和开展合作。此外,企业还可以更好地利用在 Microsoft Office 中的投资,因为 RMS 功能是微软生产率产品的内置功能。
加强高可用性
高可用性为关键性的应用程序、服务和资料提供高可用性,是成功 IT 部门的主要目标。灾难发生时,保护并保持对其数据的访问和业务的连续性对企业来说至关重要。Windows Server 2008 的故障转移群集、Windows 服务器备份、自我修复 NTFS 和网络负载均衡等功能可用于保障业务的连续性。
•Windows Server 2008 的 Windows 服务器备份功能提供了用于解决日常备份和恢复需求的完整解决方案。IT 人员可以利用 Windows 服务器备份功能对服务器进行有效、可靠地保护,而无需考虑备份与恢复的技术细节。
•自我修复NTFS 可以有效、可靠地保护文件系统。自我修复 NTFS 可以尝试联机纠正 NTFS 文件系统的崩溃,而无需运行Chkdsk.exe。IT人员可以利用自我修复NTFS 保护文件系统,而不必考虑文件系统的技术细节。大部分自我修复进程通过默认实现。如果文件系统发生严重问题,自我修复NTFS 可以报告发现的问题并提供潜在的解决方案。
•网络负载均衡(NLB) 采用TCP/IP网络协议在多台服务器之间分配流量。此外,NLB 可以与 Hyper-V 结合在一起实现高可用性服务器解决方案。
•作为Windows Server 2008的内核事务技术,事务NTFS文件系统与事务注册表已经得到增强,可通过事务协调其操作。
故障转移群集
Windows Server 2008 的故障转移群集提供新的功能,企业可以利用这些新功能执行高可用性战略,使群集服务器成为企业的明智商业选择。主要价值建议包括:
•新管理界面降低了复杂性,为用户提供用于创建、管理和使用群集服务器的简便界面。
•新工具减少了前端配置问题,可降低支持成本并减少实现时间。
•新功能允许地理分散环境中的实现,从而使该技术能够适应客户环境。
Windows Server 2008 增强了故障转移群集(此前称为服务器群集)。在推出 Windows Server 2008 和增加自我修复 NTFS 之前,技术人员必须使用 Chkdsk.exe 工具修复磁盘中 NTFS 文件系统卷的崩溃。而对于Windows Server 2008,只有在极端情况下才需要使用 Chkdsk.exe。
用于文件系统或注册表的事务可以与任何其他事务资源协调,如 SQL Server® 或 MSMQ。利用Transact 命令扩展了命令行,以采用事务实现简单的命令行脚本。
可以采用新的群集验证向导执行测试,以确定系统、存储器和网络配置是否适用于群集。群集设置向导已进行了简化,以便更易于通过一步操作设置群集。群集设置也完全可脚本化,从而使管理员能够实现自动群集部署。利用群集移植工具可以从运行 Windows Server 2003 的群集采集资源分组设置,然后应用到运行Windows Server 2008 的群集。在 Windows Server 2008 中,管理员可以配置群集,使仲裁资源在使用混合仲裁资源模型时不构成单点故障。新功能允许地理分散环境中的实现,从而使该技术能够适应客户的环境。
Windows Server 2008 对多站点群集进行了修改。管理员现在可以把群集服务器布置到不同的 IP 子网中,从而减少对地理分散群集的需求并降低为核心群集应用提供站点弹性的复杂性。多数节点集 (MNS) 群集目前是默认群集;它是 Windows Server 2003 中的 SPI 热修复插件。
Windows Server 2008 使企业更易于实现和维护高可用性服务器解决方案。故障转移群集能够优化群集服务器的设置与管理。Windows 服务器备份与自我修复 NTFS 能够可靠地保护企业的数据与文件系统。Network Load Balancing 尤其适用于确保无状态应用(如运行 IIS 7.0 的 Web 服务器),随着负载的增加,通过添加附加服务器得到扩展。
Windows Server 2008 简化了初始群集部署及其日常管理,同时能够提高服务器的性能与可靠性。Windows Server 2008 另外还降低了管理器配置与部署群集时出错的机会,从而提高 IT 效率。配备客户机群集的Hyper-V 主机群集为 IT 人员提供了实现高可用性服务器解决方案所需的工具。由于降低了管理需求并提高了可靠性,Windows Server 2008 的故障转移群集成为确保业务连续性所需要的高可用性方案的关键组件。
网络负载平衡(NLB)
网络负载平衡(NLB)让您可将 TCP/IP 请求分散至多部系统,以便将资源运用最佳化、减少运算时间以及确保系统可用性。Windows Server 2008 的 NLB 已进行过改善的内容,包括:
•下一代 TCP/IP
TCP/IP 通讯协定套装已针对 Windows Server 2008 彻底重新设计,而且 Windows Server 2008 亦已提供原始支持给网际网络通讯协定第 4 版(IPv4)以及网际网络通讯协定第6版(IPv6),此外,NLB 也已将对 IPv6 的完整支持延伸至所有的通讯,并继续维持对 IPv4 的支持。
•多重 IP 位址支持
目前 NLB 群集中的每一个节点都可以拥有多重专属 IP 位址。
•Microsoft ISA Server 整合
由于 Microsoft ISA Server 允许每一个使用 IPv4 与 IPv6 用户端的 NLB 节点,可拥有多重 IP 位址,因而可支持混用 IPv4 与 IPv6 的基础架构,此外 ISA Server 还可提供入侵侦测服务,保护您的 NLB 群集。
Windows Server Backup
Windows Server 2008 中的 Windows Server Backup(无需另外付费)可为其所在的服务器,提供一个基本的备份与修复解决方案,因此您可以使用此项功能管理远端服务器上的备份作业。
新版的 Windows Server Backup 可协助您有效率且可靠地保护整部服务器,所以您再也无需为备份与修复技术的细节感到担心。简易的精灵会引导您设置自动备份计划、必要时建立手动备份,以及在硬盘故障等灾难发生时,快速修复资料项目或整个磁盘区。
【编辑推荐】
