在Windows Server 2003發(fā)布五年后，微軟公司今日宣布將制造最新和最大版本的Windows Server軟件。那么微軟公司最近幾年都在忙些什么呢?我仔細(xì)研究了微軟公司的新品狀況兩年多，并仔細(xì)研究了所有的產(chǎn)品更新。

　　仔細(xì)閱讀了Windows Server 2008的說明書，發(fā)掘其對(duì)企業(yè)的幫助。

　　最顯著的改變

　　與從Windows 2000 Server到Windows Server 2003系統(tǒng)的改進(jìn)——只進(jìn)行了相當(dāng)少的更新——不同，Windows Server 2008對(duì)構(gòu)成Windows Server產(chǎn)品的內(nèi)核代碼庫(kù)進(jìn)行了根本性的修訂。

　　Windows Server 2008和Windows Vista系統(tǒng)——直接源自安全發(fā)展模式(secure development model)共享的基礎(chǔ)代碼數(shù)量很少。這是微軟公司編程方法的重大改變，其將安全代碼放置在了所有指令前面。因此，你在Vista 和Windows Server 2008系統(tǒng)都可以看到很多新的功能和更新，這都是增加了安全代碼庫(kù)同時(shí)提高了系統(tǒng)整合和可靠性的結(jié)果。

　　對(duì)Windows Server 2008更新包括對(duì)Server Core和Internet Information Services 7.0的徹底更新。以下是更新的詳細(xì)情況。

 

  

    
    圖一，Server Core

　　Server Core

　　Server Core是Windows Server 2008最小的安裝選擇部分，其僅包括一個(gè)執(zhí)行文件的子文件和服務(wù)器任務(wù)。管理是通過命令行(見圖一)或者通過一個(gè)未加入的結(jié)構(gòu)文件。

　　據(jù)微軟公司說，"Server Core的設(shè)計(jì)目的是用于擁有很多服務(wù)器的企業(yè)(這些企業(yè)有的僅僅需要執(zhí)行專門的任務(wù)，但是卻有著超出其所需的穩(wěn)定性或者在高安全需求的IT環(huán)境。“因此，Core服務(wù)器所能擔(dān)當(dāng)?shù)慕巧苌佟Ｆ鋬H是：

　　＊?jiǎng)討B(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol)服務(wù)器

　　＊域名系統(tǒng)服務(wù)器

　　＊文件服務(wù)器，包括文件復(fù)制服務(wù)(file replication service)，分布式文件系統(tǒng)(distributed file system)，分布式文件復(fù)制系統(tǒng)(distributed file system replication)，網(wǎng)絡(luò)文件系統(tǒng)和單一執(zhí)行個(gè)體存儲(chǔ)器(network file system and single instance storage)。

　　＊打印服務(wù)

　　＊區(qū)域控制器，包括一個(gè)只讀區(qū)域控制器

　　＊Active Directory Lightweight Directory Services服務(wù)器

　　＊Windows服務(wù)器虛擬化

　　＊IIS，盡管只有正常功能的一小部分，確切地說，僅有靜態(tài)HTML主機(jī)，也沒有動(dòng)態(tài)Web應(yīng)用軟件支持

　　＊Windows多媒體服務(wù)(Windows Media Services)

　　其次，Server Core可作為微軟集成系統(tǒng)的一個(gè)部分，采用網(wǎng)絡(luò)下載平衡、主機(jī)Unix軟件，對(duì)這些組成部分的驅(qū)動(dòng)用Bitlocker進(jìn)行加密，遠(yuǎn)程控制采用位于一臺(tái)客戶機(jī)上的Windows PowerShell，同時(shí)通過Simple Network Management Protocol進(jìn)行監(jiān)控。

　　大多數(shù)管理員感到將Server Core放置在分公司以執(zhí)行區(qū)域控制器功能是對(duì)略陳舊的硬件(否則將被丟棄)的最佳利用。Server Core最小的footprint實(shí)現(xiàn)了操作系統(tǒng)用盡可能少的系統(tǒng)資源完成盡可能多的任務(wù)，而減少的attack surface和穩(wěn)定性使得其成為類似用具的機(jī)器極佳選擇。其次，有一個(gè)分公司，你可以將Server Core和此功能相結(jié)合以配置只讀區(qū)域控制器，同時(shí)采用BitLocker對(duì)各部分進(jìn)行加密，這就形成了一個(gè)輕量級(jí)的安全解決方案。

　　Server Core是一款令人驚嘆的新選擇，其適用于除了超小型企業(yè)外的所有企業(yè)。

   IIS的改進(jìn)

　　令人尊敬的Microsoft Web服務(wù)器軟件到Windows Server 2008已經(jīng)經(jīng)歷了數(shù)次修訂。IIS 7首次完全公開并完全部件化——你可以只安裝你所需要的組件，因此更輕，響應(yīng)更多且更不易被攻擊。IIS管理界面也完全重新設(shè)計(jì)。核心的改進(jìn)包括：

　　＊全新的組件結(jié)構(gòu)

　　在IIS歷史上，首次，管理員嘗試了可完全控制IIS的哪些部分被安裝并在特定時(shí)間運(yùn)行。你可以運(yùn)行你所需的特定服務(wù)。這樣系統(tǒng)也會(huì)更安全，并且易于管理，程序的執(zhí)行情況也會(huì)更好。FastCGI支持意味著PHP和其他運(yùn)行時(shí)間語言被快速執(zhí)行，安裝Windows的機(jī)子之前沒有這一功能。

　　＊靈活的擴(kuò)展模式

　　IIS 7使得開發(fā)者可以進(jìn)入一個(gè)全新的APIs套裝——可直接與IIS溝通，這使得模塊開發(fā)和定制更容易進(jìn)行。開發(fā)者甚至可以進(jìn)入內(nèi)部結(jié)構(gòu)、腳本，甚至可以登錄并管理IIS域——為勇于嘗試的管理員和第三方軟件供應(yīng)商開了很多通路以擴(kuò)展IIS的功能。

　　＊簡(jiǎn)化結(jié)構(gòu)以及應(yīng)用軟件的配置功能

　　結(jié)構(gòu)可以通過XML文件完全完成。中心IIS結(jié)構(gòu)可以通過多個(gè)文件進(jìn)行擴(kuò)展，使得很多網(wǎng)站和應(yīng)用軟件運(yùn)行在相通的服務(wù)器上但是相互獨(dú)立，但是其結(jié)構(gòu)仍易于管理。微軟公司最鐘愛IIS 7的組件是用相同配置的機(jī)器建立網(wǎng)絡(luò)田，因?yàn)樾碌姆?wù)器田已經(jīng)聯(lián)機(jī)了，管理員可以輕松采用XCOPY同時(shí)通過新的服務(wù)器轉(zhuǎn)移當(dāng)前結(jié)構(gòu)文件。其次，新服務(wù)器上安裝的IIS與現(xiàn)有服務(wù)器上的相同。這或許是最大的好處，也是IIS 7進(jìn)行的更新中最受歡迎之處。

　　＊委托管理功能

　　跟Active Directory——實(shí)現(xiàn)了使管理員分配許可以執(zhí)行確定的管理功能很像，IIS管理員可以將一些功能的管理任務(wù)委托給其他人，例如網(wǎng)站所有者。

　　＊更多有效的管理功能

　　你不會(huì)再在大量標(biāo)簽和對(duì)話框中尋找一個(gè)你需要更改的設(shè)置。創(chuàng)建一個(gè)新的網(wǎng)站只有一個(gè)對(duì)話框，增加一個(gè)應(yīng)用軟件池同樣只有一個(gè)對(duì)話框。所有的工具以及功能都在控制臺(tái)的敏感區(qū)域。IIS Manager完全進(jìn)行了重新設(shè)計(jì)，同時(shí)加入了一個(gè)新的管理有效性命令行：appcmd.exe。

 

  

 

    
    圖二，IIS Manager

　　這一更改使得IIS的功能可與Apache的產(chǎn)品媲美，易管理性和模塊性都很好。  

#p#副標(biāo)題#e#

  網(wǎng)絡(luò)的改進(jìn)

　　Windows Server 2008小組進(jìn)行了特別的努力以改進(jìn)網(wǎng)絡(luò)性能和有效性。第一次，本地IPv4和IPv6支持同時(shí)具有了雙IP層結(jié)構(gòu)。如果你已經(jīng)在Windows Server 2003服務(wù)器上配置了IPv4和IPv6，你就知道進(jìn)行交互操作有多麻煩。

　　通過將TCP/IP的個(gè)部分更好地整合，IPsec通信安全得到了提高。硬件得到了更有效的利用并且加快了網(wǎng)絡(luò)傳輸?shù)乃俣取Ｖ悄軈f(xié)調(diào)系統(tǒng)和優(yōu)化算法有規(guī)律地運(yùn)行以確保高效通信，同時(shí)APIs到網(wǎng)絡(luò)協(xié)議棧更直接地顯現(xiàn)，使得開發(fā)者更容易與網(wǎng)絡(luò)協(xié)議棧進(jìn)行溝通。讓我們看看進(jìn)行的改進(jìn)。

　　TCP/IP網(wǎng)絡(luò)協(xié)議棧的改進(jìn)

　　我之前間接提到過，Windows Server 2008的很多改進(jìn)是對(duì)TCP/IP網(wǎng)絡(luò)協(xié)議棧的改變。其中一項(xiàng)改進(jìn)是自動(dòng)協(xié)調(diào)TCP窗口的大小：Windows Server 2008可以通過每個(gè)連接來自動(dòng)調(diào)整接收窗口的大小，提高同一網(wǎng)絡(luò)上服務(wù)器間大型數(shù)據(jù)傳輸?shù)男省Ｎ④浌疽昧巳缦吕樱涸?0 Gigabit以太網(wǎng)絡(luò)上，信息包的規(guī)模可以達(dá)到6 Megabytes。

　　Windows Server 2003的失效網(wǎng)關(guān)檢測(cè)法則只稍稍進(jìn)行了改良：Windows Server 2008當(dāng)前經(jīng)常試圖通過其所認(rèn)為的失效網(wǎng)關(guān)來進(jìn)行TCP傳輸。如果傳輸沒有出現(xiàn)問題，Windows則將默認(rèn)網(wǎng)關(guān)自動(dòng)改變?yōu)橹皺z測(cè)的失效網(wǎng)關(guān)(現(xiàn)在是有有效網(wǎng)關(guān))。同時(shí)Windows Server 2008支持從CPU到網(wǎng)絡(luò)界面卡處理線路的脫機(jī)網(wǎng)絡(luò)處理功能，這就解放了CPU，使其可以管理其他處理程序。

　　網(wǎng)絡(luò)擴(kuò)展也得到了改進(jìn)。在之前的Windows Server版本上，一個(gè)網(wǎng)絡(luò)接口卡(NIC)僅與單一物理處理器相連接。然而，有了正確的網(wǎng)絡(luò)卡，Windows Server 2008支持?jǐn)U展網(wǎng)絡(luò)接口卡，同時(shí)伴隨著多個(gè)CPU之間的傳輸——這一功能被稱為接收端調(diào)節(jié)(receive-side scaling)。這實(shí)現(xiàn)了單一網(wǎng)絡(luò)接口卡(位于高速下載服務(wù)器)可接收更大規(guī)模的通信量。這一功能尤其對(duì)多處理器服務(wù)器有利，因?yàn)橥ㄟ^增加處理器或者網(wǎng)絡(luò)接口卡，而不用增加整臺(tái)的服務(wù)器，通信量即可增加。

　　終端服務(wù)的改進(jìn)

　　網(wǎng)絡(luò)軟件越來越流行。除了如下三個(gè)詳細(xì)介紹的新功能，工作組也改進(jìn)了核處理功能，這包括對(duì)Terminal Services功能的單一簽署，監(jiān)控范圍的和對(duì)此功能的絕對(duì)支持，與Windows System Resource Manager整合以更好的監(jiān)控執(zhí)行情況和資源利用情況，以及實(shí)現(xiàn)TS和客戶機(jī)的無縫連接。

　　Windows Server 2008有三個(gè)核心的新功能。第一個(gè)是Terminal Services RemoteApp。這一功能幾年前是由Citrix MetaFrame提供的，Windows Server 2008將支持開箱即用功能來解釋TS支持的服務(wù)器上直接運(yùn)行的程序，但是在本地Windows復(fù)本內(nèi)進(jìn)行整合，增加了重新設(shè)置大小的應(yīng)用軟件窗口區(qū)域，Alt-Tab交換功能，遠(yuǎn)程組裝系統(tǒng)tray icon組件等等。用戶并不知道他們的應(yīng)用軟件被寄存在其他地方，除非響應(yīng)經(jīng)常比較慢，比如因?yàn)榫W(wǎng)絡(luò)延時(shí)或者服務(wù)器超載。

　　Windows Server 2008的第二個(gè)核心功能是管理員創(chuàng)建.RDP文檔——這是Terminal Services連接(用戶讀和用來給特定程序配置一個(gè)RDP成分)基于文本文件。他們也可創(chuàng)建.MSI文件，其最大的優(yōu)點(diǎn)是.MSI文件傳統(tǒng)上可輕松通過自動(dòng)系統(tǒng)管理方式(例如Systems Management Server, Group Policy和IntelliMirror等等)進(jìn)行配置。

　　第三個(gè)核心功能是終端服務(wù)網(wǎng)關(guān)(Terminal Services Gateway)。這一功能使得用戶可以從英特網(wǎng)的任意一個(gè)網(wǎng)絡(luò)入口進(jìn)入存放于Terminal Services的應(yīng)用軟件，通過一個(gè)經(jīng)過加密的HTTPS通道來保障其安全性。這一網(wǎng)關(guān)可以穿過防火墻發(fā)送連接，也可正常通過NAT轉(zhuǎn)換環(huán)境——在過去這一技術(shù)是受阻的。

　　這樣公司就不需要給遠(yuǎn)程用戶配置VPN通路，目的僅為了訪問Terminal Services服務(wù)器。其次，自從數(shù)據(jù)經(jīng)HTTPS進(jìn)行發(fā)送，幾乎所有人(甚至在RDP協(xié)議受防火墻阻擋的地區(qū))都可以訪問這一部分。管理員可以建立連接授權(quán)政策——詳細(xì)說明被允許通過TS網(wǎng)關(guān)服務(wù)器來訪問TS的用戶組。

　　最后的一項(xiàng)核心功能是TS網(wǎng)絡(luò)訪問功能(TS Web Access)，這一功能使管理員可在網(wǎng)頁(yè)上公開顯示可實(shí)現(xiàn)的遠(yuǎn)程終端服務(wù)的程序(TS Remote Programs)。這一功能是和終端服務(wù)遠(yuǎn)程軟件(Terminal Services RemoteApp)功能同時(shí)工作的。用戶可以瀏覽他們想運(yùn)行的應(yīng)用軟件列表，點(diǎn)擊，然后就可以無縫嵌入這一應(yīng)用軟件——利用了終端服務(wù)遠(yuǎn)程程序(Terminal Services RemoteApp)的所有功能，然而保留了這一功能：在同一Web Access站點(diǎn)存有其他程序。這一服務(wù)可以分清由同一用戶放置的多個(gè)程序應(yīng)該被放置在相同的Terminal Services部分，這樣資源管理會(huì)輕松一些，同時(shí)你甚至可以利用內(nèi)置Web組件將SharePoint站內(nèi)的TS Web Access進(jìn)行整合。

　　Active Directory：只讀域控制器

　　Windows Server 2008引入了只讀域控制器理念，這一理念對(duì)于分公司和其他地區(qū)(服務(wù)器充當(dāng)域控制器，不能采用保護(hù)數(shù)據(jù)中心其他服務(wù)器的辦法進(jìn)行物理保護(hù))。只讀域控制器有一個(gè)Active Directory的只讀復(fù)本，這就實(shí)現(xiàn)了快速登錄和快速獲取驗(yàn)證，節(jié)省了網(wǎng)絡(luò)資源，同時(shí)也有長(zhǎng)期安全益處。沒有入侵者可以對(duì)一個(gè)分公司快速訪問域控制器(接著會(huì)被復(fù)制到公司主菜單)進(jìn)行更改，因?yàn)檫@一域控制器是只讀的。這一只讀域控制器也可以緩存分公司用戶提交的報(bào)告并通過用戶的登錄請(qǐng)求，但是只有一種提交方式可通過正軌的可寫入的域控制器，然而，由于安全原因，這一緩存在Password Replication Policy中被設(shè)置成默認(rèn)值。

  安全性能的提高

　　從Windows被研發(fā)出來，安全問題就一直困擾著微軟公司，但是在近幾年，隨著越來越多的人聯(lián)網(wǎng)，越來越多的漏洞被發(fā)現(xiàn)。事實(shí)上，每月的系統(tǒng)補(bǔ)丁發(fā)布是涉及不夠嚴(yán)密的結(jié)果。這些類型的缺陷是微軟希望在Windows Server 2008系統(tǒng)中避免的。

　　你將看到Windows Server 2008進(jìn)行了很多更新，包括提高了進(jìn)入內(nèi)核的層級(jí)數(shù)目，分開服務(wù)以降低緩沖器超載的可能，同時(shí)減少高風(fēng)險(xiǎn)特權(quán)層以減少受攻擊層面的規(guī)模。

　　而操作系統(tǒng)的基礎(chǔ)設(shè)計(jì)更改，Windows Server 2008組也設(shè)計(jì)了一些排除安全隱患和病毒入侵的功能，同時(shí)也設(shè)計(jì)了防止企業(yè)數(shù)據(jù)泄露和被奪取的功能。讓我們看看這些功能改進(jìn)：

　　操作系統(tǒng)文件保護(hù)

　　一個(gè)新的功能，確保了服務(wù)器導(dǎo)入處理的完整進(jìn)行。Windows Server 2008創(chuàng)建了一個(gè)基于正在采用的內(nèi)核文件的確認(rèn)鑰，這是你的系統(tǒng)和驅(qū)動(dòng)器一個(gè)特定的硬件提取層，始于導(dǎo)入階段。在這一密鑰創(chuàng)建后，如果任何后期導(dǎo)入文件更改，操作系統(tǒng)將被告知并中止這一導(dǎo)入處理，這樣你就可以進(jìn)行問題糾正。

　　操作系統(tǒng)文件保護(hù)也擴(kuò)展了每個(gè)磁盤驅(qū)動(dòng)器上的二進(jìn)制影像。這種模式的操作系統(tǒng)文件保護(hù)包括了一個(gè)文件系統(tǒng)過濾器驅(qū)動(dòng)——可讀下載在內(nèi)存上的每一頁(yè)，檢查無用信息同時(shí)確認(rèn)任何試圖下載到保護(hù)過程的圖像(一般來說對(duì)攻擊最敏感)。這些雜亂信息被存放在一個(gè)特定的系統(tǒng)目錄下，或者存放在一個(gè)嵌入驅(qū)動(dòng)器上的一個(gè)安全文件X.509證明。如果任何測(cè)試結(jié)果都失敗了，操作系統(tǒng)文件保護(hù)將中止這一處理過程以保證服務(wù)器安全。這一保護(hù)避免了疑似病毒的入侵。

　　BitLocker

　　驅(qū)動(dòng)器加密需求是最近安全性保護(hù)的流行方式，同時(shí)在Windows Vista和Windows Server 2008中微軟公司都增加了被稱為BitLocker的功能。

　　BitLocker是設(shè)計(jì)在特定的環(huán)節(jié)——竊賊可能獲取到硬盤物理通路。沒有加密術(shù)，黑客就可以輕松導(dǎo)入另一個(gè)操作系統(tǒng)或者運(yùn)行攻擊工具并訪問文件，這樣就完全繞開了NTFS文件系統(tǒng)許可。Windows 2000 Server和Windows Server 2003中的加密文件系統(tǒng)(Encrypting File System)有了進(jìn)一步的改進(jìn)，通常擾亂了驅(qū)動(dòng)器上的bit，但是進(jìn)行文件加密的密鑰不像想象中那樣安全性強(qiáng)。有了BitLocker，密鑰被存放在系統(tǒng)主板的Trusted Platform Module芯片上，或者是在導(dǎo)入前插入的USB閃存驅(qū)動(dòng)器上。

　　BitLocker已經(jīng)徹底完成：當(dāng)被激活的時(shí)候，可對(duì)整個(gè)Windows進(jìn)行加密，包括用戶數(shù)據(jù)和系統(tǒng)文件、休眠文件、頁(yè)面文件和臨時(shí)文件。導(dǎo)入過程自身也受BitLocker的保護(hù)，這一功能創(chuàng)建了一個(gè)基于個(gè)人導(dǎo)入文件所有權(quán)的信息。因此如果已經(jīng)修正并被替換，比如，一個(gè)Trojan文件，BitLocker將找出問題并阻止導(dǎo)入。相對(duì)于EFS的局限性，這的確有了很大進(jìn)步，同時(shí)一個(gè)很明顯的改進(jìn)在于未經(jīng)加密的驅(qū)動(dòng)器系統(tǒng)安全的提高。

　　設(shè)備安裝控制

　　另一個(gè)困擾企業(yè)的安全問題是USB拇指驅(qū)動(dòng)的增多。無論你將文件服務(wù)器的許可設(shè)定的多安全，無論你將文檔的銷毀功能設(shè)置的多細(xì)致，也無論你在eyes-only文檔上采用了何種類型的內(nèi)置控制，一個(gè)用戶可以輕易地將一個(gè)拇指驅(qū)動(dòng)插入U(xiǎn)SB端口并復(fù)制數(shù)據(jù)，從而完全繞過了企業(yè)的物理安全系統(tǒng)。

　　這些驅(qū)動(dòng)器里通常包括一些企業(yè)中敏感度非常高的信息。但是卻經(jīng)常發(fā)現(xiàn)安全性不高。問題很明顯，一些企業(yè)將棄用的USB端口用澆水粘住。這是一種有效的方法，但是卻很不整潔。

　　對(duì)于Windows Server 2008系統(tǒng)，一個(gè)管理員必須有能力阻止所有新設(shè)備安裝，包括USB拇指驅(qū)動(dòng)、外置硬盤驅(qū)動(dòng)和其他新設(shè)備。你可以輕松地在配置一臺(tái)服務(wù)器的同時(shí)不安裝任何新設(shè)備。基于設(shè)備級(jí)別或者設(shè)備的ID，你也可以設(shè)置一些特例，比如，允許安裝鍵盤和鼠標(biāo)，但是其他外置設(shè)備都禁制安裝。或者你可以允許特定ID的設(shè)備安裝。以上都可以通過Group Policy進(jìn)行配置，同時(shí)這些政策都是計(jì)算機(jī)級(jí)別的設(shè)置。

　　Windows防火墻有著更先進(jìn)的安全性

　　Windows Server 2003 Service Pack 1的Windows Firewall版本和Windows XP Service Pack 2的完全相同。作為一時(shí)的權(quán)宜之計(jì)，微軟暫且將Service Pack 1和這一款防火墻進(jìn)行了綁定，公司方面說，他們將進(jìn)行防火墻開發(fā)，并在下一版本的Windows中進(jìn)行改進(jìn)。

　　擁有Advanced Security功能的新款Windows防火墻將防火墻和Ipsec管理功能結(jié)合進(jìn)便利的微軟管理控制臺(tái)(Microsoft Management Console) 管理插件。防火墻驅(qū)動(dòng)被重新建構(gòu)以與過濾器和Ipsec相協(xié)調(diào)。有了更多的管理功能，這樣你可以更方便地指定明確的安全需求，比如驗(yàn)證和加密。

　　設(shè)置可構(gòu)建在每個(gè)Active Directory計(jì)算機(jī)或者用戶組基礎(chǔ)上。外置過濾器已經(jīng)被激活，除了Windows Firewall之前版本的內(nèi)置過濾器外什么都沒有。對(duì)每臺(tái)計(jì)算機(jī)的總體支持也得到了提升，當(dāng)前有一個(gè)何時(shí)機(jī)器被連接到區(qū)域的概況，一份個(gè)人網(wǎng)絡(luò)連接的概況和公共網(wǎng)絡(luò)連接(如無線熱區(qū))的概況。可引入相關(guān)政策，這就實(shí)現(xiàn)了多個(gè)計(jì)算機(jī)防火墻結(jié)構(gòu)的協(xié)調(diào)和簡(jiǎn)單管理。

#p#副標(biāo)題#e#

 網(wǎng)絡(luò)訪問保護(hù)

　　病毒和惡意軟件在運(yùn)行在用戶區(qū)域之前即被軟件攔截，但是保護(hù)的終極目標(biāo)應(yīng)該是實(shí)現(xiàn)這些病毒軟件完全無法進(jìn)入網(wǎng)絡(luò)。在Windows Server 2008中，管理員將根據(jù)基線對(duì)計(jì)算機(jī)進(jìn)行檢查。如果發(fā)現(xiàn)計(jì)算機(jī)存在問題，則這一系統(tǒng)不能訪問網(wǎng)絡(luò)，也就是被隔離，直到用戶修復(fù)其機(jī)器，才被獲準(zhǔn)進(jìn)入健康區(qū)域。

　　這一功能被稱為網(wǎng)絡(luò)訪問保護(hù)(Network Access Protection)功能，這一功能可以被拆分為三個(gè)核心部分：

　　健康政策確認(rèn)——試圖連接到網(wǎng)絡(luò)的機(jī)子經(jīng)檢查并檢驗(yàn)其特定健康標(biāo)準(zhǔn)(由管理員設(shè)定)的合規(guī)性。(參看圖四：Windows Vista的確認(rèn)標(biāo)準(zhǔn))。

　　健康政策的服從可用于檢查配置，沒有進(jìn)行驗(yàn)證的計(jì)算機(jī)可通過Systems Management Server或其他管理軟件(例如Microsoft Update或Windows Update)自動(dòng)更新或者確認(rèn)。

　　訪問限制——NAP的強(qiáng)制裝置。可以實(shí)現(xiàn)在僅監(jiān)控模式下運(yùn)行NAP，這一模式將連接到網(wǎng)絡(luò)計(jì)算機(jī)的從規(guī)和確認(rèn)聲明進(jìn)行了記錄。但是處于活動(dòng)模式的計(jì)算機(jī)無法進(jìn)行確認(rèn)，這些計(jì)算機(jī)則被加入網(wǎng)絡(luò)的訪問限制區(qū)域(這一區(qū)域阻隔幾乎所有網(wǎng)絡(luò)訪問并限制了一系列特定的hardened服務(wù)器(包含了使服務(wù)器正常運(yùn)行最常見的工具)。看圖三來了解一些控制(準(zhǔn)予、限制和禁制網(wǎng)絡(luò)訪問)的大概情況。

   

 

    
    圖三——新的網(wǎng)絡(luò)政策

　　了解到NAP是進(jìn)行檢查的唯一平臺(tái)，在配置了Windows Server 2008后很多部分仍是需要的。這些需求包括系統(tǒng)安全代理(system health agents)以及系統(tǒng)安全驗(yàn)證(system health validators)，這些確保了每臺(tái)客戶機(jī)都經(jīng)檢查和驗(yàn)證。Windows Vista系統(tǒng)發(fā)布時(shí)將系統(tǒng)安全代理和驗(yàn)證設(shè)置成了缺省值，這樣就可自行定制(見圖四)。

 

    
    圖四——Vista系統(tǒng)的System Health Validator

  
    易管理性改進(jìn)

　　服務(wù)器僅在管理員合理配置的情況下有效。傳統(tǒng)上Windows Server產(chǎn)品相當(dāng)容易操作，但是Windows Server 2008對(duì)于最初的設(shè)置和結(jié)構(gòu)有了很大的改進(jìn)。

  

    
    圖五——新增角色精靈

　　對(duì)于查看服務(wù)器的信息來說，考慮到其穩(wěn)定性和整合性以及對(duì)安裝任務(wù)的管理(見圖五)，還有其經(jīng)提高的解決修復(fù)結(jié)構(gòu)故障能力，服務(wù)器管理家(Server Manager)是一個(gè)one-stop shop。Server Manager替代了Configure Your Server、Manage Your Server和Security Configuration Wizard界面。其集中了多種MMC 3.0快照技術(shù)，使得你可以看到什么任務(wù)和功能被安裝到了指定的機(jī)器上，同時(shí)給你一份管理相關(guān)組件的文件。

　　Windows配置服務(wù)(Windows Deployment Services)

　　多數(shù)管理員開始喜歡遠(yuǎn)程安裝服務(wù)(Remote Installation Services)，Windows 2000 Server和Windows Server 2003的新增功能。其提供了定制安裝功能同時(shí)很輕松即可去除這一功能。在Windows Server 2008中，微軟從根本上修訂了遠(yuǎn)程安裝服務(wù)并重新命名為Windows Deployment Services。

　　Windows Deployment Services采用了PXE和一個(gè)操作系統(tǒng)的TFTP。但是當(dāng)前其也在安裝流程中包括進(jìn)來Windows PE——一個(gè)圖像的前終端，替換了難看且功能很少基于文本的藍(lán)屏設(shè)置語句(從Windows NT 3.0開始一直采用)。你尅創(chuàng)建很多不同的圖像，同時(shí)將其存放在Windows Deployment Services機(jī)上(見圖六)，同時(shí)你可以直接將這些圖片通過網(wǎng)絡(luò)單播或多播輸出給企業(yè)的網(wǎng)絡(luò)用戶。

   

    
    圖六——Windows配置服務(wù)(Windows Deployment Services)

#p#副標(biāo)題#e#

  性能和可靠性升級(jí)

　　在Windows Server 2008眾多改進(jìn)中，其性能和可靠性也得到了提高。比如，Windows Server之前版本的查看功能，有兩種工具，這兩種工具——Task Manager和Performance Monitor——在每次更新發(fā)布中都未改進(jìn)。在Windows Server 2008中，這兩個(gè)工具結(jié)合進(jìn)了一個(gè)界面，被稱為Performance Diagnostics Console(同時(shí)與上述Server Manager功能進(jìn)行了整合)，為了實(shí)現(xiàn)更輕松地查看服務(wù)器任務(wù)完成情況的統(tǒng)計(jì)報(bào)告。

　　資源查看(Resource View)普通卻功能強(qiáng)大，對(duì)特定處理流程和服務(wù)利用機(jī)器內(nèi)現(xiàn)有資源的情況進(jìn)行查看。Reliability Monitor顯示了服務(wù)器是按規(guī)律運(yùn)行或是穩(wěn)定性降低的具體細(xì)節(jié)。比如，你可以查看基于如軟件安裝、應(yīng)用軟件缺陷以及硬件問題、Windows故障和其他缺陷而產(chǎn)生的問題或功能降低。Reliability Monitor有一個(gè)“穩(wěn)定性索引”——有1到10十個(gè)等級(jí)，是絕對(duì)權(quán)威的穩(wěn)定性評(píng)級(jí)。

　　其次，Event Viewer被重新設(shè)計(jì)，無論對(duì)于本服務(wù)器還是對(duì)于其他服務(wù)器的日志，其訪問許可都更高效。你可以很方便地過濾日志查看，訂閱和不訂閱其他服務(wù)器上的關(guān)鍵日志，同時(shí)對(duì)日志條目進(jìn)行記錄，所有都由一個(gè)控制臺(tái)完成(見圖七)。

   

    
    圖七——事件查看功能

　Windows Server 2008提供了一個(gè)集成系統(tǒng)的單一混合模式類型，這一模式替代了舊的quorum和Windows Server 2003中的多結(jié)點(diǎn)設(shè)置集成系統(tǒng)。在這一新的混合quorum模式中，有一個(gè)叫“votes”的部分，同時(shí)一個(gè)集成系統(tǒng)是默認(rèn)設(shè)計(jì)以承受單vote的缺失。集成系統(tǒng)的每個(gè)結(jié)點(diǎn)都有一個(gè)vote，以作為集成系統(tǒng)的存儲(chǔ)源。因此，如果一個(gè)quorum磁盤丟失了，集成系統(tǒng)可繼續(xù)工作，因?yàn)閮H僅是一個(gè)vote不存在了。

    用一個(gè)共享quorum磁盤(集成系統(tǒng)所必須的資源)對(duì)舊的Windows Server 2003模式進(jìn)行重建，你可以很輕松地給quorum磁盤(被稱為目標(biāo)磁盤)分配一個(gè)vote，同時(shí)不是集成系統(tǒng)的每個(gè)結(jié)點(diǎn)都有vote。更方便的是，這一目標(biāo)磁盤不必是一個(gè)物理磁盤：其可以是一個(gè)網(wǎng)絡(luò)共享文件。

   
    
    圖八——缺陷的集成管理

　　正如你已經(jīng)看到的，進(jìn)行集成的實(shí)質(zhì)目的是使集成配置的靈活性更強(qiáng)，而對(duì)缺陷的耐受力也會(huì)比之前更強(qiáng)。

　　協(xié)同其他重新設(shè)計(jì)的管理控制臺(tái)，你當(dāng)前可以由修訂的Failover Cluster Management來進(jìn)行服務(wù)器集成系統(tǒng)管理。(見圖八) 

#p#副標(biāo)題#e#

   Hyper-V

　　最后介紹的是Hyper-V，這一產(chǎn)品是微軟對(duì)于當(dāng)前橫掃IT業(yè)的競(jìng)賽重整硬件協(xié)助虛擬化戰(zhàn)略做出的回答。用微軟的話說，Hyper-V是新一代基于系統(tǒng)管理程序虛擬化的平臺(tái)，整合了可實(shí)現(xiàn)動(dòng)態(tài)增加物理和虛擬化資源的操作系統(tǒng)。

　　這意味著什么?Hyper-V的三個(gè)主要組成部分：系統(tǒng)管理程序，虛擬化堆棧和新的虛擬化輸入/輸出模式。Windows系統(tǒng)管理程序的基本任務(wù)是創(chuàng)建不同區(qū)隔——每種虛擬化代碼將在其中運(yùn)行。虛擬化堆棧和輸入/輸出組件提供了與Windows系統(tǒng)自身的互動(dòng)以及與所創(chuàng)建不同區(qū)隔間的互動(dòng)。

　　這三個(gè)組件是順序工作的。采用配置了Intel VT或AMD-V的處理器服務(wù)器，Hyper-V與系統(tǒng)管理程序(處理器上一個(gè)很小的軟件層級(jí))進(jìn)行交互。這一軟件運(yùn)行在單一物理處理器上，提供了對(duì)處理器——處理器的主機(jī)操作系統(tǒng)可以被用來有效管理多個(gè)虛擬機(jī)，多個(gè)虛擬操作系統(tǒng)——的管理。由于沒有可安裝的第三方軟件產(chǎn)品或者驅(qū)動(dòng)器，你大可放心軟件病毒不會(huì)被引入系統(tǒng)。

　　伴隨高效的流程管理，你可以給虛擬機(jī)的主機(jī)增加資源。從處理器到內(nèi)存到網(wǎng)卡到附加存儲(chǔ)媒體，你可以在不減少任何服務(wù)也不影響用戶的情況下給機(jī)器增加這些設(shè)備。你也可以配置64位的客戶機(jī)，對(duì)于企業(yè)來說，轉(zhuǎn)移位采用64位軟件好處很多。你可以在轉(zhuǎn)移過程中進(jìn)行虛擬化，節(jié)省整體的配置資金，接著估算當(dāng)你完成遷移后，需要多少物理服務(wù)器。

　　進(jìn)行虛擬化不僅僅是為了減少機(jī)器復(fù)制并節(jié)約資金，同時(shí)也是為了保證提供比未進(jìn)行虛擬化的服務(wù)器更多的服務(wù)。因此，Hyper-V涵蓋了對(duì)多客戶機(jī)集成系統(tǒng)的支持功能。其次，你可以集成多個(gè)運(yùn)行Hyper-V組件的物理服務(wù)器，這樣虛擬機(jī)可以在核心主機(jī)出現(xiàn)問題時(shí)轉(zhuǎn)移到其他主機(jī)上。

　　最后，你可以在不停機(jī)的情況下，從一臺(tái)物理主機(jī)上將虛擬機(jī)從一臺(tái)機(jī)器遷移到另一臺(tái)，在明顯限制對(duì)產(chǎn)品的不利影響同時(shí)，簡(jiǎn)化服務(wù)、計(jì)劃和從重組。你也可以利用Windows Server 2008新的磁盤功能——實(shí)現(xiàn)了多地理位置的集成，也就是說，在美國(guó)不同的海岸或者在不同的大陸都可是實(shí)現(xiàn)集成。在進(jìn)行集成時(shí)，機(jī)器之間不需要有一個(gè)共享的磁盤，在采用Windows Server 2003系統(tǒng)時(shí)，這是必須的。

   
    
    Figure 9 - Hyper-V Management Console

　　圖九——Hyper-V管理控制臺(tái)(Hyper-V Management Console)

　　其次，你可以在安裝了Server Core的Windows Server 2008上安裝Hyper-V，以利用其穩(wěn)定性并減少這類配置的多余功能(當(dāng)然這些功能可提高產(chǎn)品的可用性)。

　　有了新的Hyper-V管理控制臺(tái)，Hyper-V管理變的更加容易。見圖九

　　采用Hyper-V前，你需要一些硬件配置，特別是一臺(tái)能支持64比特的操作系統(tǒng)機(jī)子。你需要安裝Windows Server 2008企業(yè)級(jí)，64位版本，而其無法在虛擬機(jī)上運(yùn)行，因?yàn)樾枰布f(xié)助進(jìn)行虛擬化。

　　盡管功能強(qiáng)大的Windows Server 2008已經(jīng)發(fā)布，Hyper-V當(dāng)前是測(cè)試版本。微軟公司仍承諾在六個(gè)月內(nèi)發(fā)布Hyper-V的RTM版本。

　　總結(jié)：

　　Windows Server 2008與Windows Server 2003相比，總體來說是一款功能強(qiáng)大并且可靠性好的產(chǎn)品。易管理性、安全性、性能、可靠性和效率都是開發(fā)組關(guān)注的，他們努力的結(jié)果是開發(fā)出了一款連接緊密、標(biāo)準(zhǔn)統(tǒng)一的操作系統(tǒng)。這一操作系統(tǒng)建立在堅(jiān)實(shí)的基礎(chǔ)之上，又著眼于未來技術(shù)，而其運(yùn)行安全可靠，因此是企業(yè)一個(gè)好的選擇。