概述
Microsoft Windows Server 2008 用于在虚拟化工作负载、支持应用程序和保护网络方面向组织提供最高效的平台。它为开发和可靠地承载 Web 应用程序和服务提供了一个安全、易于管理的平台。从工作组到数据中心,Windows Server 2008 都提供了令人兴奋且很有价值的新功能,对基本操作系统做出了重大改进。
更强的控制能力
使用 Windows Server 2008,IT 专业人员能够更好地控制服务器和网络基础结构,从而可以将精力集中在处理关键业务需求上。增强的脚本编写功能和任务自动化功能(例如,Windows PowerShell)可帮助 IT 专业人员自动执行常见 IT 任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。IT 人员可以仅安装需要的角色和功能,向导会自动完成许多费时的系统部署任务。增强的系统管理工具(例如,性能和可靠性监视器)提供有关系统的信息,在潜在问题发生之前向 IT 人员发出警告。
增强的保护
Windows Server 2008 提供了一系列新的和改进的安全技术,这些技术增强了对操作系统的保护,为企业的运营和发展奠定了坚实的基础。Windows Server 2008 提供了减小内核攻击面的安全创新(例如 PatchGuard),因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响,Windows 服务强化有助于提高系统的安全性。借助网络访问保护 (NAP)、只读域控制器 (RODC)、公钥基础结构 (PKI) 增强功能、Windows 服务强化、新的双向 Windows 防火墙和新一代加密支持,Windows Server 2008 操作系统中的安全性也得到了增强。
更大的灵活性
Windows Server 2008 的设计允许管理员修改其基础结构来适应不断变化的业务需求,同时保持了此操作的灵活性。它允许用户从远程位置(如远程应用程序和终端服务网关)执行程序,这一技术为移动工作人员增强了灵活性。Windows Server 2008 使用 Windows 部署服务 (WDS) 加速对 IT 系统的部署和维护,使用 Windows Server 虚拟化 (WSv) 帮助合并服务器。对于需要在分支机构中使用域控制器的组织,Windows Server 2008 提供了一个新配置选项:只读域控制器 (RODC),它可以防止在域控制器出现安全问题时暴露用户帐户。
虚拟化
简介
Windows Server 2008 系列将包括 Windows Server 虚拟化 (WSv),这是一项强大的虚拟化技术,具有强大的管理功能和安全功能。通过 WSv,企业可以利用已掌握的 Windows 服务器管理技能,无需购买第三方软件即可享有虚拟化的灵活性和安全性方面的好处。Microsoft 及其合作伙伴为 Windows 及受支持的 Linux 来宾操作系统提供了全面的支持。WSv 是一个高灵活性、高性能、经济高效且广受支持的虚拟化平台。
安全
安全在任何服务器实现中都是一项核心挑战。承载多台虚拟机 (VM) 的服务器(也称为合并服务器)不仅要承担与非合并服务器同样的安全风险,还要面对管理员角色分离的挑战。WSv 有助于提高合并服务器的安全性和解决管理员角色分离的挑战。WSv 通过下列功能来实现此目的:
• 强大的分区能力:虚拟机 (VM) 就像是完全独立于运行在同一物理服务器上的其他虚拟机的独立操作系统容器。
• 硬件级别安全性:较新的服务器硬件中提供了数据执行保护 (DEP) 之类的功能,有助于阻止大多数流行病毒和蠕虫的执行。
• Windows Server 虚拟化:WSv 可帮助防止暴露包含敏感信息的 VM,还可以保护基本主机操作系统不会因来宾操作系统而降低安全性。
• 网络安全功能:启用了自动网络地址转换 (NAT)、防火墙和网络访问保护 (NAP)。
• 最小的受信任计算基础:减少了攻击面并提供简化的轻型虚拟化体系结构。此功能可增强基于 WSv 的虚拟机的可靠性。
在某些情况下,配置为每个应用程序提供最佳安全性和操作系统环境的合并服务器可能面临严峻的挑战。由于 WSv 创建了一个环境,在其中可以对每个工作负载配置理想的操作系统环境和安全配置文件,所以 WSv 解决了合并服务器上的角色分离问题。WSv 允许 VM 在仅具有所需权限的服务帐户下运行,从而可以使 VM 和主机操作系统彼此不受影响。通过 WSv,主机操作系统会受到保护,出现安全问题的 VM 对其他 VM 产生的损坏也会受到限制。
强大的隔离能力
服务器虚拟化使具有不同资源要求的工作负载能够在同一主机服务器上共存。WSv 提供了多种功能,便于高效地使用主机服务器的物理资源:
• 灵活的内存分配:可以为虚拟机分配 RAM 的最大值和必须保证的最小值。此功能允许管理员创建 WSv 配置来依据整体 WSv 服务器性能平衡单个 VM 资源需求。
• 动态的硬件添加:WSv 可以在受支持的来宾操作系统运行时向其动态添加逻辑处理器、内存、网络适配器和存储器。此功能便于对来宾操作系统精确分配 WSv 主机处理能力。
• 灵活的网络配置:WSv 为 VM 提供高级的网络功能,包括 NAT、防火墙和 VLAN 分配。这种灵活性可用于创建更好地支持网络安全要求的 WSv 配置。
WSv 的灵活的内存分配、动态的硬件添加和灵活的网络配置功能便于更高效地响应动态服务器负载。例如,阶段结束时的处理工作负载通常比某些业务线 (LOB) 应用程序工作负载的平均值高好几倍。WSv 可与受支持的来宾操作系统一起使用为运行的 VM 动态分配附加内存和处理器资源,并且无需重新启动来宾操作系统就可以处理扩展的处理要求。只要主机服务器资源充足,此更改不会降低主机上运行的其他 VM 的性能。
性能
与早期版本相比,设计的改进以及与支持虚拟化的硬件的集成使 WSv 能够虚拟化要求更高的工作负载,并且在资源分配中具有更大的灵活性。
性能的改进包括:
• 基于 64 位管理程序的轻型、低开销虚拟化体系结构:支持虚拟化的硬件(Intel VT 和 AMD“Pacifica”技术)实现了更高的来宾操作系统性能。
• 多核心支持。可以为每个 VM 分配多达 8 个逻辑处理器:这样,就可以利用多处理器 VM 核心的并行处理优势,对要求大量计算的大型工作负载进行虚拟化。
• 64 位主机和来宾操作系统支持:在 64 位版本的 Windows Server 2008 上运行时,WSv 可提供对来宾 VM 的大型内存池的访问。在 WSv 下,可以成功虚拟化在 32 位操作系统上执行时会出现大量分页的非常耗费内存的工作负载。WSv 还支持在同一合并服务器上同时运行 64 位和 32 位来宾操作系统。
• 服务器核心 (Server Core) 支持。WSv 可以将 Windows Server 2008 的服务器核心安装用作主机操作系统。服务器核心具有最低安装需求和低开销,旨在提供尽可能多的主服务器处理能力来运行 VM。
• 传递磁盘访问。可以将来宾操作系统配置为直接访问本地或 iSCSI 存储区域网络 (SAN) 存储,为产生大量 I/O 操作的应用程序(如 SQL Server 或 Microsoft Exchange)提供更高的性能。
许多服务器工作负载对服务器处理和 I/O 子系统要求较高。过去,SQL Server 和 Microsoft Exchange 之类的工作负载通常需要较大的内存和磁盘吞吐量,因此虚拟化这些工作负载有一定难度。WSv 中的 64 位管理程序以及传递磁盘访问等功能可以并且通常适用于虚拟化大型工作负载。
简化的管理
在可能部署 WSv 的数据中心和远程分支机构安装中,需要强大的管理功能和自动化功能来完全实现虚拟化降低成本的可能性。WSv 通过以下管理功能和自动化功能满足了此需求:
• 可扩展管理:WSv 可以与 Microsoft System Center Operations Manager (SCOM) 和 System Center Virtual Machine Manager (SCVMM) 协同工作。这些管理工具为 WSv 提供报告、自动化、部署和用户自助式工具。
• 用于 VM 管理的 MMC 3.0:熟悉的 Microsoft 管理控制台 (MMC) 界面用于管理 WSv 配置和 VM 设置,极大地缩短了 WSv 学习时间。
• Windows Management Instrumentation (WMI) 界面:WSv 包含 WMI 提供程序,该提供程序提供系统信息和可脚本化的管理访问。
• PowerShell 脚本:WSv 主机和 VM 配置可以通过 Windows PowerShell 配置。
• 组策略对象 (GPO) 管理:WSv 使用 GPO 的配置管理功能管理 WSv 主机虚拟化和虚拟机配置。
通过 SCOM 和 SCVMM 的管理功能,可以有效地管理 WSv 的数据中心安装和高度分散的安装。例如,可以使用对 WSv 中 WMI 提供程序的脚本访问通过以下方式来自动维护多个 WSv 主机服务器上的窗口:关闭来宾 VM 并在备用服务器上启动它们、执行主机服务器维护,然后在原始主机上恢复这些虚拟机。由于添加了 System Center Virtual Machine Manager,此操作可以自动执行,不需要明显中断许多应用程序。
摘要
Microsoft Windows Server 虚拟化包含解决许多高难度虚拟化挑战的功能,其中包含:确保合并服务器的安全、响应动态工作负载、实现高性能和可伸缩性以便虚拟化工作负载及简化管理。WSv 同时提供安全性和强大的 VM 隔离功能,从而可以在 WSv 主机服务器上合并异类工作负载,同时保持灵活性和安全性。构成 WSv 基础的 64 位管理程序体系结构为要求较高的工作负载提供了高性能。Windows Server 2008 中强大的集成管理功能、System Center Operations Manager 和 System Center Virtual Machine Manager 支持在广泛的虚拟化环境中实现自动而高效的控制。
Web 和应用程序平台
简介
Windows Server 2008 为开发和可靠地承载通过服务器或 Web 传送的应用程序和服务提供了一个安全、易于管理的平台。新增功能包含:简化的管理、提高的安全性以及性能和可扩展性的改进。此外,企业还将享受到更有效的应用程序和服务管理、更快的 Web 应用程序和服务部署和配置以及更安全、简化、自定义的 Web 平台。Windows Server 2008 为 Web 应用程序和服务提供了更高的性能和可伸缩性,同时允许管理员更好地控制和监视应用程序和服务利用关键操作系统资源的情况。
Internet Information Services 7.0 (IIS7)
Windows Server 2008 为 Web 发布提供了统一的平台,此平台集成了 Internet Information Services 7.0 (IIS7)、ASP.NET、Windows Communication Foundation 以及 Microsoft Windows SharePoint Services。对现有的 IIS Web 服务器而言,IIS7 是一个很大的进步,它在集成 Web 平台技术中担任核心角色。IIS7 的主要好处包括提供了更有效的管理功能、改进了安全性和降低了支持成本。这些功能有助于创建一个为 Web 解决方案提供单一、一致的开发和管理模型的统一平台。
改进的管理工具
IIS7 中新的管理实用工具 IIS 管理器是更有效的 Web 服务器管理工具。它提供了对 IIS 和 ASP.NET 配置设置、用户数据和运行时诊断信息的支持。新的用户界面还支持托管或管理网站的用户将管理控制权委派给开发人员或内容所有者,从而减少了拥有成本和管理员的管理负担。新的 IIS 管理器界面支持通过 HTTP 进行远程管理,从而允许进行集成的本地、远程甚至跨 Internet 进行管理,而不要求在防火墙中打开 DCOM 或其他管理端口。
此外,还包含新增的命令行工具 — appcmd.exe,用于管理 Web 服务器、网站和 Web 应用程序。此命令行界面简化了管理员常见的 Web 服务器管理任务。例如,可以使用 appcmd.exe 列出已被迫等待 500 毫秒以上的 Web 服务器请求。此信息可用于对性能欠佳的应用程序进行故障排除。可将 appcmd.exe 的输出通过管道传递给其他命令,以便进一步处理。
基于模块功能的安装
IIS7 由 40 多个单独的功能模块构成。其中仅一半左右的模块是默认安装的,管理员可以有选择地安装或删除任何选择的功能模块。此模块化方法允许管理员仅安装所需选项,并且通过限制需要管理和更新的功能数量来节省时间。此外,由于未运行不必要软件,减少了 Web 服务器的攻击面,提高了安全性。
分布式配置模型
IIS7 在如何存储和访问其配置数据方面做出了重大改进。IIS7 版本的主要目标之一就是实现 IIS 设置的分布式配置,允许管理员在存储代码和内容的文件中指定 IIS 配置设置。
通过分布式配置,管理员可在存储代码和内容的目录中为网站或应用程序指定配置设置。通过在一个文件中指定配置设置,分布式配置允许管理员将所选网站功能或 Web 应用程序的管理权委派给其他人。例如,可以委派网站以便应用程序开发人员配置此网站使用的默认文档。管理员还可锁定特定配置设置,以防止其他人对其进行更改。此功能可用于确保防止脚本执行的安全策略不被委派了网站管理访问权限的内容开发人员重写。通过使用分布式配置,在从开发到测试然后到最终进行生产的过程中迁移应用程序时,可将特定网站或应用程序的配置设置从一台计算机复制到另一台。
诊断和故障排除
通过内置的诊断和跟踪支持,IIS7 在对 Web 服务器进行故障排除时比以前更轻松,管理员可以监视 Web 服务器并查看详细的实时诊断信息。在进行诊断和故障排除时,开发人员或管理员可查看在服务器上运行的请求。IIS7 还包含新增的 Runtime Status(运行时状态)和 Control(控件)对象,它们提供有关应用程序池、工作进程、站点、应用程序域甚至运行的请求的实时状态信息。例如,可以使用此信息确定工作进程中哪个请求占用了 CPU 资源的 100%。
IIS7 还包含整个请求和响应路径中的详细跟踪事件,开发人员和管理员可以跟踪某个请求进入 IIS 请求处理管道、进入任何现有的页面级代码,然后返回响应的整个过程。通过这些详细的跟踪事件,开发人员不仅可以了解请求路径和伴随请求产生的错误信息,还可以了解已用时间和其他调试信息,以便对所有类型的错误进行故障排除。
IIS7 还通过提供更详细和更具操作性的错误消息简化了故障排除。IIS7 中的新自定义错误模块允许将详细错误信息发送回浏览器(默认情况下发送到本地主机),还可以配置为发送到其他远程客户端。现在,管理员可以查看关于请求的详细信息、哪些潜在的问题可能导致此错误以及如何解决此错误的建议,而不只是查看简单的错误代码。
帮助提高 IIS7 故障排除支持的最重要功能之一是运行时状态和控件 API (RSCA),此功能提供来自 IIS7 内部的有关服务器的详细运行时信息。使用 RSCA,可以检查和管理各种实体,包括站点、应用程序池甚至 .NET 应用程序域。RSCA 还实时显示当前正在服务器上执行的请求。RSCA 数据可从 WMI 提供程序和托管 API (Microsoft.Web.Administration) 处获取。IIS 7 管理 GUI 和命令行工具也可为管理员提供此数据。
可扩展的模块化体系结构
在早期版本的 IIS 中,所有功能默认情况下都是内置的,因此难以对任何此类功能进行扩展或替换。如前所述,在 IIS7 中,核心分为 40 多个单独的功能模块。核心还包括一个新的 Win32 API,用于构建核心服务器模块。核心服务器模块是 Internet 服务器应用程序编程接口 (ISAPI) 过滤器和扩展的新的、功能更强大的替代品。ISAPI 过滤器和扩展在 IIS7 中仍受支持。由于所有 IIS 核心服务器功能都是使用新的 IIS7 Win32 模块 API 作为独立的功能模块开发的,因此用户可以添加、删除甚至替换 IIS 功能模块。
用于自定义的灵活的可扩展模型
IIS7 使开发人员能够扩展 IIS 以通过新的、更有力的方式提供自定义功能。这在一定程度上归功于全新的核心服务器应用程序编程接口 (API) 集,它允许功能模块既可以使用本机代码 (C/C++) 开发,也可以使用托管代码(如使用 .NET Framework 的 C# 和 Visual Basic 2005 等语言)开发。事实上,用于请求和应用程序处理的 IIS7 功能集中的大部分功能就是使用这些相同的 API 实现的。IIS7 还实现了配置、脚本、事件日志记录和管理工具功能集的可扩展性,为软件开发人员提供可在其上构建 Web 服务器扩展的完善的服务器平台。
真正的应用程序 xcopy 部署
IIS7 允许将 IIS 配置设置存储在 web.config 文件中,这样更易于使用 xcopy 在多个 Web 服务器间复制应用程序,并可避免执行成本高且易于出错的复制、手动同步和其他配置任务。
摘要
IIS7 中的所有结构更改一起创建了一个极其灵活的 Web 应用程序系统。对于只具备基本技能的 Web 服务器管理员新手和使用脚本工具管理多个服务器的高级管理员,通过 GUI 界面和 appcmd.exe 命令行工具访问 IIS 配置的功能提供了有效的工具。IIS 的跟踪和故障排除组件提供详细的可用信息,帮助管理员和应用程序开发人员隔离行为错误的页和代码。IIS7 的模块化功能和详细的管理模型便于服务器管理员创建满足自己需要的服务器,并只允许对站点和内容管理器进行所需级别的访问。
服务器管理
简介
从简化新服务器的配置到自动执行重复的管理任务,简化复杂的日常服务器管理是 Windows Server 2008 中包括的许多增强功能的关键主题。集中式管理工具、直观的界面和自动化功能使 IT 专业人员能够在中央网络和远程位置(如分支机构)更轻松地管理网络服务器、服务和打印机。
初始配置任务 (Initial Configuration Tasks)
使用 Windows Server 2008,简化的安装过程不会被需要用户干预的配置任务中断。现在,那些任务和对话框在完成基本安装后出现,这样管理员就不必坐下来与安装顺序进行交互。
“初始配置任务”窗口是 Windows Server 2008 中的新功能,可以帮助管理员预先配置和设置新服务器。它包括一系列任务,例如设置管理员密码、更改管理员帐户的名称以提高服务器的安全性、将服务器加入现有域以及启用 Windows Update 和 Windows 防火墙。
服务器管理器控制台
通过新的服务器管理器控制台,Windows Server 2008 简化了在组织中管理和保护多个服务器角色的任务。服务器管理器控制台提供一个统一的控制台,用于管理服务器的配置和系统信息、显示服务器状态、确定服务器角色配置的问题以及管理在服务器上安装的所有角色。
服务器管理器控制台的层次结构窗格包含可扩展节点,管理员可以使用这些节点直接进入控制台来管理特定角色、对工具进行故障排除或查找备份和灾难恢复选项。
服务器管理器将各种管理界面和工具合并到统一的管理控制台中,使管理员不必在多个界面、工具和对话框之间导航即可完成常见管理任务。
服务器管理器向导
与 Windows Server 早期版本相比,服务器管理器中的向导通过缩短部署时间简化了企业中的服务器部署任务。现在,大部分常见配置任务(如配置或删除角色、定义多个角色和角色服务)可以使用服务器管理器向导在单个会话中完成。
Windows Server 2008 在用户使用服务器管理器向导的过程会执行相关性检查,确保安装了所选角色需要的所有必备角色服务,并且没有删除任何可能仍然需要的剩余角色或角色服务。
Windows PowerShell
Microsoft Windows PowerShell 命令行外壳和脚本语言可帮助 IT 专业人员自动执行常见任务。使用新的侧重管理的脚本语言、120 多种标准命令行工具以及一致的语法和实用工具,Windows PowerShell 使 IT 专业人员可以更轻松地控制系统管理和加速自动化。Windows PowerShell 易于采用和使用,因为它利用现有 IT 基础结构和现有脚本投资。它允许用户自动执行基本服务器管理任务以及特定服务器角色(如终端服务器)的系统管理。
Windows PowerShell 集成了命令行外壳和脚本语言,使管理员可以更高效地完成和自动执行批量系统管理任务。Windows PowerShell 通过提供与脚本语言具有完全相同的语法的 cmdlet(命令行工具)对 Windows 命令提示和 Windows Script Host (WSH) 进行了改进。在 Windows PowerShell 命令提示中键入的命令与为了在多个服务器上自动执行任务而在脚本中使用的命令相同。
PowerShell 支持组织的现有脚本(例如,.vbs、.bat、.perl),因此组织不需要迁移脚本即可采用 Windows PowerShell。现有的基于 Windows 的命令行工具将从 Windows PowerShell 命令行运行。通过提供一致的语法和命名约定以及脚本语言与交互式外壳的集成,Windows PowerShell 降低了自动执行系统管理任务的复杂度,缩短了执行这些任务所需的时间。
Windows 远程管理 (WS-Management)
随着分支机构和其他位置中的远程服务器数量的增长,IT 专业人员需要更好的方法来高效地管理非现场服务器。Windows 远程管理提供了一种低带宽、可脚本化的方法来轻松管理远程位置内的服务器。
Windows Remote Manager 是 Microsoft 在 WS-Management 协议(允许硬件和操作系统进行交互操作的基于 SOAP 的标准协议)的基础上实现的。管理员可以使用 Windows 远程管理脚本对象、Windows 远程管理命令行工具或 Windows Remote Shell 命令行工具从本地和远程计算机中获取管理数据(例如,有关磁盘、网络适配器、服务或进程等对象的信息)。如果计算机运行的是包括 Windows 远程管理的 Windows 操作系统版本,则管理数据由 Windows Management Instrumentation (WMI) 提供。
服务器核心
从 Windows Server 2008 开始,管理员可以选择安装具有特定功能但不包含任何不必要功能的 Windows Server 的最小安装。服务器核心提供了运行以下一个或多个服务器角色的环境:
• Windows Server 虚拟化
• 动态主机配置协议 (DHCP) 服务器
• 域名系统 (DNS) 服务器
• 文件服务器
• Active Directory 目录服务 (AD DS)
• Active Directory 轻型目录服务 (AD LDS)
• Windows 媒体服务
• 打印管理
Server Core 为组织提供了以下主要好处:
• 减少了软件维护:因为服务器核心仅安装使可管理的服务器运行支持的服务器角色所需的功能,所以服务器需要较少的软件维护。由于使用的是较小的服务器核心安装,更新和修补程序的数量也相应减少,这样既节省了服务器使用的 WAN 带宽又缩短了 IT 人员的管理时间。
• 减小了攻击面:因为减少了在服务器上安装和运行的文件,所以暴露给网络的攻击目标也有所减少;因此,攻击面也相应减小。管理员可以只安装给定服务器所需的特定服务,将暴露风险降低到绝对的最低值。
• 减少了要求重新启动的次数,减小了所需的磁盘空间:使用最小的服务器核心安装时,需要更新或修补的已安装组件有所减少,需要重新启动的次数也相应减少。服务器核心安装只安装提供所需功能需要的最少文件,所以减小了在服务器上使用的磁盘空间。通过选择在服务器上使用服务器核心安装选项,管理员可以降低服务器的管理和软件更新要求,同时降低安全风险。
使用 Windows Server 2008 中的服务器核心安装选项,管理员可以降低服务器的持续维护要求并简化其管理。通过运行仅限于所需功能的最小服务器核心安装,IT 人员只需要为该服务器安装直接影响安装的文件的修补程序和更新。
Windows Server 2008 打印管理
组织越大,网络内的打印机数量越多,IT 人员安装和管理那些打印机需要花费的时间也越多;所有这些都会增加运营支出。Windows Server 2008 包括打印管理,它是一个 MMC 管理单元,使管理员能够通过一个界面来管理、监视组织内的所有打印机(甚至远程位置的打印机)以及对其进行故障排除。
打印管理在一个控制台中提供有关网络上所有打印机和打印服务器的状态的最新详细信息。打印管理可以帮助查找出现错误状况的打印机,还可以在打印机或打印服务器需要引起关注时发送电子邮件通知或运行脚本。在提供 Web 界面的打印机模型上,打印管理可以访问此附加数据。这样就可以轻松地管理信息(如墨粉和纸张量),即使打印机位于远程位置。此外,打印管理可以在本地打印服务器的本地子网上自动搜索和安装网络打印机。
在客户端计算机上安装打印机以及管理和监视打印机时,打印管理可以为打印管理员节省大量时间。打印管理可与组策略结合使用来自动将打印机连接添加到客户端计算机的“打印机和传真”文件夹,而不必在单独的计算机上安装和配置打印机连接。对于需要访问同一台打印机的大量用户(如同一部门中的用户或一个分支机构中的所有用户)而言,这是一种添加打印机的既高效又省时的方法。
打印管理中提供的用于安装、共享和管理打印机的自动选项和集中的控制界面简化了管理,减少了 IT 人员部署打印机所需的时间。
安全和策略实施
简介
Windows Server 2008 具有许多用于改进安全性和符合性的功能。部分主要增强功能包括:
• 强制实现客户端正常运行:网络访问保护 (NAP) 使管理员可以在允许客户端访问网络之前配置和强制实现正常运行与安全要求
• 监视证书颁发机构:企业 PKI 改进了监视多个证书颁发机构 (CA) 以及对其进行故障排除的功能。
• 防火墙增强功能:新的具有高级安全性的 Windows 防火墙提供了许多安全增强功能
• 加密和保护数据:BitLocker 通过对磁盘驱动器加密来保护敏感数据
• 加密工具:下一代加密技术提供了灵活的加密开发平台
• 服务器和域隔离:服务器和域资源可以隔离,以限制对通过身份验证和授权的计算机进行访问
• 只读域控制器 (RODC):RODC 是新类型的域控制器安装选项,可以安装在可能具有较低级别的物理安全性的远程站点中
这些改进可帮助管理员提高组织的安全级别,简化与安全相关的配置和设置的管理与部署。
网络访问保护
网络访问保护 (NAP) 可以防止不能正常运行的计算机访问组织网络和影响其安全性。NAP 用于配置和强制实现客户端正常运行要求,以及在不符合要求的计算机可以连接到公司网络之前对其进行更新或修补。通过 NAP,管理员可以配置正常运行策略,这些策略定义连接到组织网络的计算机的软件要求、安全更新要求和所需的配置设置等内容。
NAP 通过评估客户端计算机的运行状况以及限制不符合要求的客户端计算机的网络访问来强制实现客户端正常运行要求。客户端和服务器端组件都可帮助对不符合要求的客户端计算机进行修补,以便其获取不受限制的网络访问权限。如果确定某台客户端计算机不符合要求,则可以拒绝它对网络进行访问,或者立即对其进行修补以使其符合要求。
NAP 强制实现方法支持四种网络访问技术,它们与 NAP 结合使用来强制实现正常运行策略:Internet 协议安全 (IPsec) 强制、802.1X 强制、用于路由和远程访问的虚拟专用网络 (VPN) 强制以及动态主机配置协议 (DHCP) 强制。
Windows 防火墙高级安全功能
Windows Server 2008 中具有高级安全性的 Windows 防火墙是基于主机的状态防火墙,它依据其配置和当前运行的应用程序来允许或阻止网络通信,从而保护网络免遭恶意用户和程序的入侵。
一项新功能是支持防火墙对传入和传出通信进行拦截。例如,网络管理员可以对新的 Windows 防火墙配置一组例外情况,阻止所有通信发送到特定端口(如已知的由病毒软件使用的端口)或者发送到包含敏感内容或不希望被访问的内容的地址。这样可以使计算机免遭可能通过网络传播的病毒的入侵,并使网络免遭可能试图从出现安全问题的系统传播的病毒的入侵。
由于增加了大量 Windows 防火墙配置选项,因此增添了名为“具有高级安全性的 Windows 防火墙”的新 MMC 管理单元以简化管理。通过这一新的管理单元,网络管理员可以在客户端工作站和服务器上远程配置 Windows 防火墙设置(这在不具有远程桌面连接的早期版本中是无法实现的),从而简化了远程配置和管理。
在 Windows Server 早期版本中,Windows 防火墙和 IPsec 是分别配置的。由于基于主机的防火墙和 Windows 中的 IPsec 都能够阻止或允许传入通信,因此创建的防火墙例外和 IPsec 规则可能会重叠或矛盾。Windows Server 2008 中新的 Windows 防火墙使用相同的 GUI 和命令行命令合并了这两种网络服务的配置。防火墙和 IPsec 设置的这种集成简化了防火墙和 IPsec 配置,有助于防止出现策略重叠和矛盾设置。
BitLocker 驱动器加密
BitLocker 驱动器加密是 Windows Server 2008 中一个重要的新功能,可帮助保护服务器、工作站和移动计算机。Windows Vista Enterprise 和 Windows Vista Ultimate 版本中也提供了 BitLocker,用于保护客户端计算机和移动计算机。BitLocker 可对磁盘驱动器的内容加密。这样可以防止未经授权的使用者通过运行并行操作系统或运行其他软件工具绕过文件和系统保护,或者对存储在受保护驱动器上的文件进行脱机查看。
BitLocker 通过将两个主要子功能相结合增强了数据保护:系统卷加密和对早期引导组件的完整性检查。它对整个系统卷加密,包括交换和休眠文件,从而提高了分支机构中远程服务器的安全性。BitLocker 解决了从丢失、被盗或不适当地淘汰的 PC 中窃取或泄露数据的威胁。BitLocker 还有助于组织遵守政府法规(如 Sarbanes-Oxley 和 HIPAA),这些法规要求对安全和数据保护进行极高标准的维护。
企业 PKI (PKIView)
Windows Server 2008 和 Windows Vista 操作系统提供了大量公钥基础结构 (PKI) 增强功能。Windows PKI 的所有方面的可管理性都有所增强,吊销服务已经过重新设计,并且对注册的攻击面也有所降低。
PKI 增强功能包括:
• 企业 PKI (PKIView):最初是 Microsoft Windows Server 2003 Resource Kit 的一部分(曾称为 PKI Health 工具),现在,PKIView 是 Windows Server 2008 的一个 Microsoft 管理控制台 (MMC) 管理单元。它用于分析 CA 的运行状态,并可查看在 AD CS 中发布的 CA 证书的详细信息。
• 联机证书状态协议 (OCSP):基于联机证书状态协议 (OCSP) 的联机响应程序可用于管理和分发传统 CRL 不是最佳解决方案时的吊销状态信息。联机响应程序可以在单台计算机上或联机响应程序组中进行配置。
• 网络设备注册服务 (NDES):在 Windows Server 2008 中,网络设备注册服务 (NDES) 是 Microsoft 基于简单证书注册协议 (SCEP) 实现的。该协议是一种使软件可以在网络设备(如路由器和交换机)上运行的通信协议,如果没有该协议,在网络上将不能通过身份验证来注册证书颁发机构 (CA) 颁发的 x509 证书。
• Web 注册:与早期版本相比,新的 Web 注册控制更安全、更易于编写脚本并且更易于更新。
• 组策略和 PKI:组策略中的证书设置使管理员能够从域中所有计算机的一个中央位置管理证书设置。
下一代加密技术 (Cryptography Next Generation, CNG)
下一代加密技术 (CNG) 提供了灵活的加密开发平台,允许 IT 专业人员在与加密相关的应用程序(如 Active Directory 证书服务 (AD CS)、安全套接字层 (SSL) 和 Internet 协议安全 (IPsec))中创建、更新和使用自定义加密算法。CNG 实施美国政府的 Suite B 加密算法,其中包括加密算法、数字签名算法、密钥交换算法和哈希算法。
CNG 提供了一组 API,可用于执行基本加密操作,如创建、存储和检索加密密钥。它还支持其他加密提供程序的安装和使用。CNG 使组织和开发人员既能够使用自己的加密算法,也能够实现标准加密算法。
CNG 支持现在的 CryptoAPI 1.0 算法集,还支持椭圆曲线加密 (ECC) 算法。美国政府的 Suite B 成果需要使用大量的 ECC 算法。
只读域控制器
只读域控制器 (RODC) 是 Windows Server 2008 操作系统中提供的一种新类型的域控制器,主要用于在分支环境中进行部署。通过 RODC,组织可以降低在无法保证物理安全的远程位置(如分支机构)中部署域控制器的风险。
除帐户密码外,RODC 可以驻留可写域控制器驻留的所有 Microsoft Active Directory 域服务 (AD DS) 对象和属性。不过,客户端无法将更改直接写入 RODC。由于更改不能直接写入 RODC,因此不会发生本地更改,作为复制伙伴的可写域控制器不必从 RODC 导入更改。管理员角色分离指定可将任何域用户委派为 RODC 的本地管理员,而无需授予该用户对域本身或其他域控制器的任何用户权限。
服务器和域隔离
在基于 Microsoft Windows 的网络中,管理员可以在逻辑上隔离服务器资源和域资源,以限制对通过身份验证和授权的计算机的访问。例如,可在现有的物理网络中创建一个逻辑网络,其中计算机共享一组相同的要求以便安全地通信。在这个逻辑上隔离的网络中,每台计算机必须向该隔离网络中的其他计算机提供身份验证凭据以便建立连接。
这种隔离可防止未授权计算机和程序不恰当地获取资源的访问权限。来自不属于隔离网络的计算机的请求将被忽略。服务器和域隔离可帮助保护特定的高价值服务器和数据,也可使托管计算机免遭未托管或恶意的计算机和用户破坏。
可使用以下两种类型的隔离保护网络:
• 服务器隔离:在服务器隔离方案中,使用 IPsec 策略将特定服务器配置为仅接受来自其他计算机的通过身份验证的通信。例如,可将数据库服务器配置为仅接受来自 Web 应用程序服务器的连接。
• 域隔离:要隔离域,管理员可以使用 Active Directory 域成员身份,确保作为域成员的计算机仅接受来自作为域成员的其他计算机的通过身份验证的安全通信。隔离网络仅由属于该域的计算机组成。域隔离使用 IPsec 策略为域成员(包括所有客户端计算机和服务器计算机)之间发送的通信提供保护。
摘要
通过 Windows Server 2008,组织可以使用基于安全功能(如网络访问保护)的策略获得前所未有的安全性。评估和控制连接计算机的运行状况和安全状态将为组织提供重要的安全改进。Windows Server 2008 中新的管理界面简化了配置和维护组织内多台服务器的管理过程,从而降低了管理企业的网络安全所需的成本。
集中式应用程序访问
简介
Windows Server 2008 对终端服务进行了改进和创新,它不再仅仅能够访问应用程序,而且允许用户在自己的桌面上并行运行远程应用程序和本地应用程序,从而改进了用户体验。它还提供了用于通过 Terminal Services Web Access 集中访问可用的应用程序的新选项。
新的终端服务组件包括:
• Terminal Services RemoteApp:通过使用新的 Remote Desktop Connection 6.0 客户端,Terminal Services RemoteApp 允许用户在其桌面上并行运行本地应用程序和远程访问的 Windows 程序。
• 终端服务网关:无需虚拟专用网络 (VPN) 基础结构,终端服务网关(TS 网关)即可提供对终端服务器和共享桌面的安全访问,从而将终端服务的范围扩展到了公司防火墙之外。
• Terminal Services Web Access:Terminal Services Web Access (TS Web Access) 提供了一个远程应用程序解决方案,此方案简化了管理员发布远程应用程序的过程,同时还简化了用户查找和运行远程应用程序的过程。
• 单一登录:使用单一登录,不必再重复输入凭据,从而改善了远程用户的用户体验。
终端服务
Windows Server 2008 终端服务包含新增的核心功能,改善了最终用户连接到 Windows Server 2008 终端服务器时的体验。新增的核心功能包括:
• Remote Desktop Connection 6.0:要访问终端服务,用户需要使用 Remote Desktop Connection 6.0。它随 Windows Server 2008 和 Windows Vista 一起提供,Windows XP 用户和 Windows Server 2003 用户可免费下载。
• 远程桌面连接显示改进:Remote Desktop Connection 6.0 软件支持使用较高分辨率(最高到 4096 x 2048)的桌面计算机,还支持水平跨越多个监视器组成一个大桌面。Remote Desktop Connection 6.0 用户可使用较新的高分辨率监视器和与以前的 4:3 标准不符的新潮显示格式(如 16:9 或 16:10 宽屏幕格式)。
• 桌面体验:Remote Desktop Connection 6.0 可在用户的客户端计算机上重现远程计算机的桌面。在 Windows Server 2008 中安装“桌面体验”(Desktop Experience) 后,用户可在其远程连接中使用 Windows Media Player、桌面主题和照片管理等 Windows Vista 功能。“桌面体验”功能和数据优先级显示设置(用于保持键盘、鼠标与监视器上显示的内容同步,即使在带宽使用率非常高的情况下也是如此)增强了最终用户连接到 Windows Server 2008 终端服务器时的体验。
单一登录
使用单一登录,具有域帐户的用户除第一次登录到终端服务会话时要使用密码或智能卡外,以后再访问远程服务器和应用程序时,系统不会提示其输入凭据。单一登录无需用户每次启动远程会话时都输入凭据,从而改善了用户体验。
Terminal Services RemoteApp
Terminal Services RemoteApp 是 Windows Server 2008 提供的一种新的远程应用程序显示方法。RemoteApp 是终端服务显示方法的补充,它在窗口中向访问应用程序的用户显示整个远程桌面。
使用 Windows Sever 2008 时,用户与远程应用程序的交互有明显不同。现在,远程应用程序(而非整个远程桌面)在客户端计算机桌面上该应用程序自己的可调整大小的窗口中启动和运行。如果程序使用了通知区域图标,图标会显示在客户端的通知区域中。弹出窗口被重定向到本地桌面,本地驱动器和打印机也被重定向并在远程程序中可用。许多用户可能不知道远程程序和在其桌面上与远程程序并行运行的其他本地应用程序有什么区别。
RemoteApp 仅维护服务器上的一个中心应用程序,而不需维护整个组织中多个桌面上的单个安装,因而减少了管理工作量。由于使得远程应用程序和客户端计算机桌面更顺利地集成,RemoteApp 还改善了用户体验。
终端服务网关(TS 网关)
终端服务网关(TS 网关)是一个终端服务角色,允许经授权的远程用户通过 Internet 连接到企业网络中的终端服务器和工作站。这样,组织可轻松又安全地使远程用户或外出工作的人员无需使用 VPN 连接就能访问所选的服务器和工作站。
TS 网关的一些主要好处如下:
• 使远程用户能通过 Internet 安全连接到企业网络资源,而无需复杂的虚拟专用网络 (VPN) 连接。
• 利用 HTTPS 协议的安全性和可用性提供终端服务,无需进行客户端配置。
• 提供了一个全面的安全配置模型,管理员可使用此模型控制对网络中特定资源的访问。
• 使用户可穿过防火墙和网络地址转换器 (NAT) 远程连接到终端服务器和远程工作站。
• 提供了一个更加安全的模型,此模型允许用户仅访问所选的服务器和工作站,而不是通过 VPN 访问整个企业网络。
终端服务网关为组织提供了一种安全、轻松的方法,使远程用户无需安装和配置 VPN 连接即可访问网络中的服务器和工作站。使用全面的安全功能,管理员还可以控制对特定资源的访问。
Terminal Services Web Access
Terminal Services Web Access (TS Web Access) 是一个终端服务角色,通过它,管理员可使用户无需安装任何软件就能通过 Web 浏览器访问 Terminal Services RemoteApp 程序。使用 TS Web Access,用户可访问网站以及所有可用应用程序列表。当用户启动列出的任一程序时,承载该应用程序的基于 Windows Server 2008 的终端服务器上会自动为用户启动一个终端服务会话。对用户而言,此 Web 界面提供了一个显示所有当前可用的远程应用程序的集中式菜单,而且运行远程应用程序与在菜单中选择程序一样简单。
使用 TS Web Access 可减少管理开销。可从中心位置轻松访问程序。由于程序是在终端服务器而非在客户端计算机中运行,所以 IT 人员只需维护和更新该应用程序的一个实例。
分支机构
简介
企业希望更加贴近客户,因而正逐渐将工作人员从中心位置分散到各分支机构。随着分支机构数量不断增加,对这些远程位置的 IT 管理需要和安全关注也相应增长。Microsoft 意识到了这种快速增长的生产力因素,以及对应对特定于分支机构挑战所需的新解决方案的需要。
由于分支机构现场的 IT 工作人员数量很少或根本就没有,因此,对这些分支机构中的服务器,IT 管理员需要考虑若干方面的问题。服务器上运行的软件必须有效地使用较低速的 WAN 连接,而不能占用所有带宽、延缓关键任务数据传输或对分支用户的应用程序体验产生负面影响。由于不能总是保证服务器的物理安全,所以,在分支机构中,安全性是一个要考虑的大问题。由于现场没有较多的 IT 工作人员,能提供集中管理及远程管理和部署的服务器解决方案比较适合分支机构。
在 Windows Server 2003 R2 中,Microsoft 开始解决分支机构方案的需求和挑战。Windows Server 2008 版本包括许多附加的改进,这些改进使管理员对分支机构的控制能力更强,并提高了对分支机构和组织的中心网络和数据的保护级别。它还为需要满足其组织独特需求的 IT 专业人士提供了更大程度的灵活性。
对于分支机构,Windows Server 2008 提供的主要好处可分为以下三个类别:
• 提高分支机构服务器部署和管理的效率
• 降低分支机构中的安全风险
• 提高 WAN 通信的效率和带宽使用率
通过提供对关键服务器角色的简化部署和有效管理、改进的安全性以及一个可优化性能并可用于服务连续性的体系结构,Microsoft 的分支机构解决方案和 Windows Server 2008 使用多种新功能和增强功能解决了基本的分支机构需求。
部署和管理
从远程位置管理服务器、服务和安全性是 IT 专业人士一直面临的挑战。Windows Server 2008 简化了对位于分支机构中的服务器的远程部署和持续管理。
Active Directory 目录服务的更改和增强功能、只读域控制器简介、BitLocker、角色分离和服务器核心安装选项是 Windows Server 2008 的特定功能,解决了分支机构的独特需求,并增加了 IT 部门远程管理的有效性。
只读域控制器
只读域控制器 (RODC) 是 Windows Server 2008 操作系统提供的一种新类型的域控制器。RODC 主要是为在分支机构环境中部署而设计的。通过 RODC,组织可以限制在某些位置(例如,无法保证物理安全的分支机构)部署域控制器的风险。
除帐户密码外,RODC 包含可写域控制器包含的所有 Microsoft Active Directory 域服务 (AD DS) 对象和属性。不过,客户端无法将更改直接写入 RODC。由于更改不能直接写入 RODC,因此不会发生本地更改,作为复制伙伴的可写域控制器不必从 RODC 导入更改。这样便减少了集线器网站中桥头服务器的工作负载以及监视复制所需的工作量。
管理员角色分离指定可委派任何域用户为本地 RODC 的管理员,而无需授予该用户任何对域本身或其他域控制器的用户权限。这样,便创建了以下方案:本地分支用户可在服务器上登录到 RODC 执行维护工作(如升级驱动程序),而不必具有访问分支之外的域资源的权限。
BitLocker 驱动器加密
BitLocker 驱动器加密是 Windows Server 2008 中一项重要的新安全功能,可帮助保护分支机构中的服务器。Windows Vista Enterprise 和 Windows Vista Ultimate 版本中也提供了该功能,用于保护客户端计算机和漫游用户的移动计算机。BitLocker 可对磁盘驱动器的内容加密。这样可以防止未经授权的使用者通过运行并行操作系统或运行其他软件工具绕过文件和系统保护,或者对存储在受保护的驱动器上的文件进行脱机查看。
BitLocker 通过将两个主要子功能相结合增强了数据保护:系统卷加密和对早期引导组件的完整性检查。它对整个系统卷加密,包括交换和休眠文件,这样增强了分支机构中远程服务器的安全性。BitLocker 解决了从丢失、被盗或不适当地淘汰的 PC 中窃取或泄露数据的威胁。在分支机构方案中,这一点非常重要,因为不能总是保证服务器的物理安全。
服务器核心
从 Windows Server 2008 开始,管理员可以选择安装具有特定功能但不包含任何不必要功能的 Windows Server 的最小安装。服务器核心提供了运行以下一个或多个服务器角色(已全部在分支机构中部署)的环境:
• 动态主机配置协议 (DHCP) 服务器
• 域名系统 (DNS) 服务器
• 文件服务器
• Active Directory 域服务 (ADDS)
• Active Directory 轻型目录服务 (AD LDS)
• Windows 媒体服务
• 打印管理
• Windows Server 虚拟化
在分支机构方案中,使用服务器核心有以下主要好处:
• 减少了软件维护:执行较小的服务器核心安装减少了更新和修补程序的数量,从而节省了分支服务器占用的 WAN 带宽和 IT 工作人员耗费的管理时间。
• 减小了攻击面:管理员可以只安装其分支机构设置所需的特定服务,使暴露风险降至绝对最小。
• 减少了要求重新启动的次数,减小了所需的磁盘空间:使用最小的服务器核心安装时,需要更新或修补的已安装组件有所减少,需要重新启动的次数也相应减少。服务器核心安装只安装提供所需功能需要的最少文件,所以将使用分支机构服务器上较少的磁盘空间。
增强 Active Directory 的可管理性
Windows Server 2008 包括 Active Directory 域服务中的改进,这些改进简化了域服务的管理,并为管理员解决分支机构的需求提供了更大程度的灵活性。一些关键的管理增强功能如下:
• 更新的 Active Directory 域服务 (AD DS) 安装向导
• 对用于管理 AD DS 的 Microsoft 管理控制台的更改:
• 适用于域控制器的新安装选项
• 可简化 AD DS 安装的更新的安装向导
• 改进的适用于 AD DS 的界面和管理选项
• 改进的用于在企业内查找域控制器的工具
现在,通过新的安装向导,所有相关的功能组合到了一起,从而简化了部署过程并节省了部署时间。Windows Server 2008 中的无人参与安装从不要求响应任何用户界面提示,进一步简化了远程安装。这也使得可以在服务器核心安装上安装 AD DS。为确保新安装的 DNS 服务器正常运行,将基于所选的安装选项根据需要为 DNS 客户端设置、转发器和根提示自动配置 DNS。
通过对分支机构中的服务器精简初始部署并简化管理,Windows Server 2008 中提供的 AD DS 界面将节省 IT 管理时间。
高可用性
简介
确保关键任务应用程序始终可用是 IT 部门提供的一项关键服务,而且“高可用性”是 Windows Server 2008 提供的大量增强功能的一个关键主题。Windows Server 2008 中的故障转移群集、网络负载平衡和新的备份与还原功能共同为组织提供“高可用性”解决方案,确保所有用户可访问关键任务的应用程序、服务和信息。
故障转移群集
故障转移群集(以前称为服务器群集)是一组独立的计算机,可协同工作以增强应用程序和服务的可用性。群集服务器(称为节点)通过物理电缆和软件连接。如果某个群集节点出现故障,则群集中的另一个节点会通过一个称为故障转移的过程取代出现故障的节点,从而确保用户感受到最低程度的服务中断。故障转移群集供需要为任务关键型服务和应用程序提供高可用性的 IT 专业人员使用。
在 Windows Server 2008 中,对故障转移群集的改进旨在简化群集、提高群集的安全性和稳定性。
在 Windows Server 2008 中,群集设置和配置已通过新的验证向导进行了简化,此向导使用户可以确认系统、存储和网络配置是否适用于群集。新的验证向导执行的部分测试包括:
• 节点测试:确认各个服务器是否在运行相同版本的操作系统,并且安装了相同的软件更新
• 网络测试:确定计划的群集网络是否满足特定要求,如至少具有两个独立子网以实现网络冗余
• 存储测试:分析是否对存储进行了正确配置,以便所有群集节点可以访问所有共享磁盘,并且满足指定的要求。
Windows Server 2008 支持在群集存储中使用全局唯一标识符或 GUID 分区表 (GPT) 磁盘。与主启动记录 (MBR) 磁盘不同,GPT 磁盘的分区大小超过 2 TB 并具有内置冗余。与主启动记录 (MBR) 分区相比,GPT 具有更多的优点,因为它允许每个磁盘有多达 128 个分区、支持高达 18 EB 的卷大小、允许将主分区表和备份分区表用于冗余,还支持唯一的磁盘和分区 ID。
为了简化群集管理,管理界面已经过改进,使管理员可将精力集中在对应用程序和数据(而不是群集)的管理上。新的界面是基于任务的且更直观,用于指导管理员完成以前视为复杂操作的向导也对其提供支持。
与早期版本的服务器群集相比,Windows Server 2008 故障转移群集提供了更好的功能和可靠性。主要的改进包括:
• 动态添加磁盘资源:在资源联机时可以修改资源依赖关系,即管理员无需中断将使用某磁盘存储的应用程序即可添加该磁盘存储。
• 增强的数据存储性能和稳定性:故障转移群集与存储区域网络 (SAN) 或直接连接存储 (DAS) 通信时,将使用破坏性最小的命令,从而 SCSI 总线重置较少。磁盘从不会处于未受保护状态,这意味着降低了卷损坏的风险。故障转移群集还支持用于磁盘发现和恢复的改进方法。故障转移群集支持以下三种类型的存储连接:串行连接 SCSI (SAS)、iSCSI 和光纤通道。
• 更轻松的磁盘维护:“维护模式”得到了显著改进,因此管理员可以更轻松地运行工具对磁盘进行检查、修补、备份或还原,而对群集造成较小的破坏。
对于使用群集提供高可用性解决方案的管理员而言,Windows Server 2008 简化了群集的部署和管理,并且增强了性能和可靠性。
网络负载平衡
网络负载平衡 (NLB) 是一种功能,用于在 NLB 群集中跨多个服务器为网络客户端和服务器应用程序分配负载。NLB 对于需要在一组服务器之间分发客户端请求的组织非常重要。NLB 尤其适用于确保随着工作负载的增加,添加更多服务器来扩展无状态应用程序(例如,在 Internet 信息服务 (IIS) 上运行的基于 Web 的应用程序)。NLB 允许随着负载的增加而添加其他服务器,从而提供了可伸缩性。NLB 通过允许用户轻松地替换不能正常运行的服务器提供可靠性。Windows Server 2008 中 NLB 的增强功能包括:
• 支持 IPv6:NLB 完全支持对所有通信使用 IPv6。
• 支持 NDIS 6.0:NLB 驱动程序已经过彻底的重新编写,以使用新的 NDIS 6.0 轻型筛选模型。NDIS 6.0 保留了与早期 NDIS 版本的向后兼容性。NDIS 6.0 在设计方面的改进包括增强的驱动程序性能与可伸缩性和简化的 NDIS 驱动程序模型。
• WMI 增强功能:MicrosoftNLB 命名空间的 WMI 增强功能适用于 IPv6 及多专用 IP 地址支持。
• MicrosoftNLB 命名空间中的类别:支持 IPv6 地址(也支持 IPv4 地址)。
• MicrosoftNLB_NodeSetting 类别:通过在 DedicatedIPAddresse 和 DedicatedNetMask 中进行指定,支持多个专用 IP 地址。
• ISA 服务器的增强功能:在客户端同时采用 IPv4 和 IPv6 进行通信的情况下,ISA 服务器可为每个 NLB 节点配置多个专用 IP 地址。IPv4 客户端和 IPv6 客户端都需要访问特定的 ISA 服务器来管理通信。ISA 还可为 NLB 提供 SYN 攻击和计时器停止运行通知(这类情况通常发生在计算机超载或感染 Internet 病毒时)。
• 支持每个节点有多个专用 IP 地址:NLB 完全支持为每个节点定义多个专用 IP 地址(以前,仅支持每个节点有一个专用 IP 地址),从而允许在不同的应用程序需要各自的专用 IP 地址时,一个 NLB 群集承载多个应用程序。
这些功能可支持新的行业标准、增强性能、加强互操作性、提高安全性以及提高部署和合并应用程序的灵活性。
Windows 备份
备份是 Windows Server 2008 的第三个关键部分,用来提供服务的高可用性。备份功能为安装该功能的服务器提供了一个备份和恢复解决方案。此功能引入了新的备份和恢复技术,取代了早期版本的 Windows 操作系统中提供的以前的备份功能。
备份功能可用于有效、可靠地保护整个服务器,而无需顾虑备份和恢复技术的复杂性。简单的向导可指导用户设置自动备份计划、创建手动备份(如果需要)以及恢复项目或所有卷。Windows Server 2008 中的备份可用于备份整个服务器或所选的卷。
备份功能使用卷影复制服务和程序块级备份技术来高效备份和恢复操作系统、文件和文件夹以及卷。在创建第一个完整备份后,备份功能通过仅保存自上次备份以来更改的数据自动运行增量备份。与早期版本不同,管理员不用再担心手动计划完整备份和增量备份。
Windows Server 2008 改进和简化了还原功能。现在,通过选择要恢复项目的一个备份,然后选择要还原的项目,即可还原项目。还可选择还原特定文件或文件夹的所有内容。以前,对于增量备份,如果项目存储在增量备份中,则需将其从多个备份中手动还原。而现在,用户只需选择所要还原版本的备份日期。
Windows Server 2008 提供了构建高可用性的解决方案所需的备份和恢复解决方案,此方案可保护网络中服务器上的组织的数据和操作系统,同时可减轻确保正常备份关键任务数据的管理负担,还可加快数据恢复。
摘要
Microsoft Windows Server 2008 代表了下一代 Windows Server。使用 Windows Server 2008,IT 专业人员对其服务器和网络基础结构的控制能力更强,从而可重点关注关键业务需求。Windows Server 2008 通过加强操作系统和保护网络环境提高了安全性。通过加快 IT 系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,Windows Server 2008 还为 IT 专业人员提供了灵活性。Windows Server 2008 为任何组织的服务器和网络基础结构奠定了最好的基础。