在Windows Server 2003发布五年后,微软公司今日宣布将制造最新和最大版本的Windows Server软件。那么微软公司最近几年都在忙些什么呢?我仔细研究了微软公司的新品状况两年多,并仔细研究了所有的产品更新。
仔细阅读了Windows Server 2008的说明书,发掘其对企业的帮助。
最显著的改变
与从Windows 2000 Server到Windows Server 2003系统的改进——只进行了相当少的更新——不同,Windows Server 2008对构成Windows Server产品的内核代码库进行了根本性的修订。
Windows Server 2008和Windows Vista系统——直接源自安全发展模式(secure development model)共享的基础代码数量很少。这是微软公司编程方法的重大改变,其将安全代码放置在了所有指令前面。因此,你在Vista 和Windows Server 2008系统都可以看到很多新的功能和更新,这都是增加了安全代码库同时提高了系统整合和可靠性的结果。
对Windows Server 2008更新包括对Server Core和Internet Information Services 7.0的彻底更新。以下是更新的详细情况。
图一,Server Core
Server Core
Server Core是Windows Server 2008最小的安装选择部分,其仅包括一个执行文件的子文件和服务器任务。管理是通过命令行(见图一)或者通过一个未加入的结构文件。
据微软公司说,"Server Core的设计目的是用于拥有很多服务器的企业(这些企业有的仅仅需要执行专门的任务,但是却有着超出其所需的稳定性或者在高安全需求的IT环境。“因此,Core服务器所能担当的角色很少。其仅是:
*动态主机配置协议(Dynamic Host Configuration Protocol)服务器
*域名系统服务器
*文件服务器,包括文件复制服务(file replication service),分布式文件系统(distributed file system),分布式文件复制系统(distributed file system replication),网络文件系统和单一执行个体存储器(network file system and single instance storage)。
*打印服务
*区域控制器,包括一个只读区域控制器
*Active Directory Lightweight Directory Services服务器
*Windows服务器虚拟化
*IIS,尽管只有正常功能的一小部分,确切地说,仅有静态HTML主机,也没有动态Web应用软件支持
*Windows多媒体服务(Windows Media Services)
其次,Server Core可作为微软集成系统的一个部分,采用网络下载平衡、主机Unix软件,对这些组成部分的驱动用Bitlocker进行加密,远程控制采用位于一台客户机上的Windows PowerShell,同时通过Simple Network Management Protocol进行监控。
大多数管理员感到将Server Core放置在分公司以执行区域控制器功能是对略陈旧的硬件(否则将被丢弃)的最佳利用。Server Core最小的footprint实现了操作系统用尽可能少的系统资源完成尽可能多的任务,而减少的attack surface和稳定性使得其成为类似用具的机器极佳选择。其次,有一个分公司,你可以将Server Core和此功能相结合以配置只读区域控制器,同时采用BitLocker对各部分进行加密,这就形成了一个轻量级的安全解决方案。
Server Core是一款令人惊叹的新选择,其适用于除了超小型企业外的所有企业。
IIS的改进
令人尊敬的Microsoft Web服务器软件到Windows Server 2008已经经历了数次修订。IIS 7首次完全公开并完全部件化——你可以只安装你所需要的组件,因此更轻,响应更多且更不易被攻击。IIS管理界面也完全重新设计。核心的改进包括:
*全新的组件结构
在IIS历史上,首次,管理员尝试了可完全控制IIS的哪些部分被安装并在特定时间运行。你可以运行你所需的特定服务。这样系统也会更安全,并且易于管理,程序的执行情况也会更好。FastCGI支持意味着PHP和其他运行时间语言被快速执行,安装Windows的机子之前没有这一功能。
*灵活的扩展模式
IIS 7使得开发者可以进入一个全新的APIs套装——可直接与IIS沟通,这使得模块开发和定制更容易进行。开发者甚至可以进入内部结构、脚本,甚至可以登录并管理IIS域——为勇于尝试的管理员和第三方软件供应商开了很多通路以扩展IIS的功能。
*简化结构以及应用软件的配置功能
结构可以通过XML文件完全完成。中心IIS结构可以通过多个文件进行扩展,使得很多网站和应用软件运行在相通的服务器上但是相互独立,但是其结构仍易于管理。微软公司最钟爱IIS 7的组件是用相同配置的机器建立网络田,因为新的服务器田已经联机了,管理员可以轻松采用XCOPY同时通过新的服务器转移当前结构文件。其次,新服务器上安装的IIS与现有服务器上的相同。这或许是最大的好处,也是IIS 7进行的更新中最受欢迎之处。
*委托管理功能
跟Active Directory——实现了使管理员分配许可以执行确定的管理功能很像,IIS管理员可以将一些功能的管理任务委托给其他人,例如网站所有者。
*更多有效的管理功能
你不会再在大量标签和对话框中寻找一个你需要更改的设置。创建一个新的网站只有一个对话框,增加一个应用软件池同样只有一个对话框。所有的工具以及功能都在控制台的敏感区域。IIS Manager完全进行了重新设计,同时加入了一个新的管理有效性命令行:appcmd.exe。
图二,IIS Manager
这一更改使得IIS的功能可与Apache的产品媲美,易管理性和模块性都很好。
#p#副标题#e#
网络的改进
Windows Server 2008小组进行了特别的努力以改进网络性能和有效性。第一次,本地IPv4和IPv6支持同时具有了双IP层结构。如果你已经在Windows Server 2003服务器上配置了IPv4和IPv6,你就知道进行交互操作有多麻烦。
通过将TCP/IP的个部分更好地整合,IPsec通信安全得到了提高。硬件得到了更有效的利用并且加快了网络传输的速度。智能协调系统和优化算法有规律地运行以确保高效通信,同时APIs到网络协议栈更直接地显现,使得开发者更容易与网络协议栈进行沟通。让我们看看进行的改进。
TCP/IP网络协议栈的改进
我之前间接提到过,Windows Server 2008的很多改进是对TCP/IP网络协议栈的改变。其中一项改进是自动协调TCP窗口的大小:Windows Server 2008可以通过每个连接来自动调整接收窗口的大小,提高同一网络上服务器间大型数据传输的效率。微软公司引用了如下例子:在10 Gigabit以太网络上,信息包的规模可以达到6 Megabytes。
Windows Server 2003的失效网关检测法则只稍稍进行了改良:Windows Server 2008当前经常试图通过其所认为的失效网关来进行TCP传输。如果传输没有出现问题,Windows则将默认网关自动改变为之前检测的失效网关(现在是有有效网关)。同时Windows Server 2008支持从CPU到网络界面卡处理线路的脱机网络处理功能,这就解放了CPU,使其可以管理其他处理程序。
网络扩展也得到了改进。在之前的Windows Server版本上,一个网络接口卡(NIC)仅与单一物理处理器相连接。然而,有了正确的网络卡,Windows Server 2008支持扩展网络接口卡,同时伴随着多个CPU之间的传输——这一功能被称为接收端调节(receive-side scaling)。这实现了单一网络接口卡(位于高速下载服务器)可接收更大规模的通信量。这一功能尤其对多处理器服务器有利,因为通过增加处理器或者网络接口卡,而不用增加整台的服务器,通信量即可增加。
终端服务的改进
网络软件越来越流行。除了如下三个详细介绍的新功能,工作组也改进了核处理功能,这包括对Terminal Services功能的单一签署,监控范围的和对此功能的绝对支持,与Windows System Resource Manager整合以更好的监控执行情况和资源利用情况,以及实现TS和客户机的无缝连接。
Windows Server 2008有三个核心的新功能。第一个是Terminal Services RemoteApp。这一功能几年前是由Citrix MetaFrame提供的,Windows Server 2008将支持开箱即用功能来解释TS支持的服务器上直接运行的程序,但是在本地Windows复本内进行整合,增加了重新设置大小的应用软件窗口区域,Alt-Tab交换功能,远程组装系统tray icon组件等等。用户并不知道他们的应用软件被寄存在其他地方,除非响应经常比较慢,比如因为网络延时或者服务器超载。
Windows Server 2008的第二个核心功能是管理员创建.RDP文档——这是Terminal Services连接(用户读和用来给特定程序配置一个RDP成分)基于文本文件。他们也可创建.MSI文件,其最大的优点是.MSI文件传统上可轻松通过自动系统管理方式(例如Systems Management Server, Group Policy和IntelliMirror等等)进行配置。
第三个核心功能是终端服务网关(Terminal Services Gateway)。这一功能使得用户可以从英特网的任意一个网络入口进入存放于Terminal Services的应用软件,通过一个经过加密的HTTPS通道来保障其安全性。这一网关可以穿过防火墙发送连接,也可正常通过NAT转换环境——在过去这一技术是受阻的。
这样公司就不需要给远程用户配置VPN通路,目的仅为了访问Terminal Services服务器。其次,自从数据经HTTPS进行发送,几乎所有人(甚至在RDP协议受防火墙阻挡的地区)都可以访问这一部分。管理员可以建立连接授权政策——详细说明被允许通过TS网关服务器来访问TS的用户组。
最后的一项核心功能是TS网络访问功能(TS Web Access),这一功能使管理员可在网页上公开显示可实现的远程终端服务的程序(TS Remote Programs)。这一功能是和终端服务远程软件(Terminal Services RemoteApp)功能同时工作的。用户可以浏览他们想运行的应用软件列表,点击,然后就可以无缝嵌入这一应用软件——利用了终端服务远程程序(Terminal Services RemoteApp)的所有功能,然而保留了这一功能:在同一Web Access站点存有其他程序。这一服务可以分清由同一用户放置的多个程序应该被放置在相同的Terminal Services部分,这样资源管理会轻松一些,同时你甚至可以利用内置Web组件将SharePoint站内的TS Web Access进行整合。
Active Directory:只读域控制器
Windows Server 2008引入了只读域控制器理念,这一理念对于分公司和其他地区(服务器充当域控制器,不能采用保护数据中心其他服务器的办法进行物理保护)。只读域控制器有一个Active Directory的只读复本,这就实现了快速登录和快速获取验证,节省了网络资源,同时也有长期安全益处。没有入侵者可以对一个分公司快速访问域控制器(接着会被复制到公司主菜单)进行更改,因为这一域控制器是只读的。这一只读域控制器也可以缓存分公司用户提交的报告并通过用户的登录请求,但是只有一种提交方式可通过正轨的可写入的域控制器,然而,由于安全原因,这一缓存在Password Replication Policy中被设置成默认值。
安全性能的提高
从Windows被研发出来,安全问题就一直困扰着微软公司,但是在近几年,随着越来越多的人联网,越来越多的漏洞被发现。事实上,每月的系统补丁发布是涉及不够严密的结果。这些类型的缺陷是微软希望在Windows Server 2008系统中避免的。
你将看到Windows Server 2008进行了很多更新,包括提高了进入内核的层级数目,分开服务以降低缓冲器超载的可能,同时减少高风险特权层以减少受攻击层面的规模。
而操作系统的基础设计更改,Windows Server 2008组也设计了一些排除安全隐患和病毒入侵的功能,同时也设计了防止企业数据泄露和被夺取的功能。让我们看看这些功能改进:
操作系统文件保护
一个新的功能,确保了服务器导入处理的完整进行。Windows Server 2008创建了一个基于正在采用的内核文件的确认钥,这是你的系统和驱动器一个特定的硬件提取层,始于导入阶段。在这一密钥创建后,如果任何后期导入文件更改,操作系统将被告知并中止这一导入处理,这样你就可以进行问题纠正。
操作系统文件保护也扩展了每个磁盘驱动器上的二进制影像。这种模式的操作系统文件保护包括了一个文件系统过滤器驱动——可读下载在内存上的每一页,检查无用信息同时确认任何试图下载到保护过程的图像(一般来说对攻击最敏感)。这些杂乱信息被存放在一个特定的系统目录下,或者存放在一个嵌入驱动器上的一个安全文件X.509证明。如果任何测试结果都失败了,操作系统文件保护将中止这一处理过程以保证服务器安全。这一保护避免了疑似病毒的入侵。
BitLocker
驱动器加密需求是最近安全性保护的流行方式,同时在Windows Vista和Windows Server 2008中微软公司都增加了被称为BitLocker的功能。
BitLocker是设计在特定的环节——窃贼可能获取到硬盘物理通路。没有加密术,黑客就可以轻松导入另一个操作系统或者运行攻击工具并访问文件,这样就完全绕开了NTFS文件系统许可。Windows 2000 Server和Windows Server 2003中的加密文件系统(Encrypting File System)有了进一步的改进,通常扰乱了驱动器上的bit,但是进行文件加密的密钥不像想象中那样安全性强。有了BitLocker,密钥被存放在系统主板的Trusted Platform Module芯片上,或者是在导入前插入的USB闪存驱动器上。
BitLocker已经彻底完成:当被激活的时候,可对整个Windows进行加密,包括用户数据和系统文件、休眠文件、页面文件和临时文件。导入过程自身也受BitLocker的保护,这一功能创建了一个基于个人导入文件所有权的信息。因此如果已经修正并被替换,比如,一个Trojan文件,BitLocker将找出问题并阻止导入。相对于EFS的局限性,这的确有了很大进步,同时一个很明显的改进在于未经加密的驱动器系统安全的提高。
设备安装控制
另一个困扰企业的安全问题是USB拇指驱动的增多。无论你将文件服务器的许可设定的多安全,无论你将文档的销毁功能设置的多细致,也无论你在eyes-only文档上采用了何种类型的内置控制,一个用户可以轻易地将一个拇指驱动插入USB端口并复制数据,从而完全绕过了企业的物理安全系统。
这些驱动器里通常包括一些企业中敏感度非常高的信息。但是却经常发现安全性不高。问题很明显,一些企业将弃用的USB端口用浇水粘住。这是一种有效的方法,但是却很不整洁。
对于Windows Server 2008系统,一个管理员必须有能力阻止所有新设备安装,包括USB拇指驱动、外置硬盘驱动和其他新设备。你可以轻松地在配置一台服务器的同时不安装任何新设备。基于设备级别或者设备的ID,你也可以设置一些特例,比如,允许安装键盘和鼠标,但是其他外置设备都禁制安装。或者你可以允许特定ID的设备安装。以上都可以通过Group Policy进行配置,同时这些政策都是计算机级别的设置。
Windows防火墙有着更先进的安全性
Windows Server 2003 Service Pack 1的Windows Firewall版本和Windows XP Service Pack 2的完全相同。作为一时的权宜之计,微软暂且将Service Pack 1和这一款防火墙进行了绑定,公司方面说,他们将进行防火墙开发,并在下一版本的Windows中进行改进。
拥有Advanced Security功能的新款Windows防火墙将防火墙和Ipsec管理功能结合进便利的微软管理控制台(Microsoft Management Console) 管理插件。防火墙驱动被重新建构以与过滤器和Ipsec相协调。有了更多的管理功能,这样你可以更方便地指定明确的安全需求,比如验证和加密。
设置可构建在每个Active Directory计算机或者用户组基础上。外置过滤器已经被激活,除了Windows Firewall之前版本的内置过滤器外什么都没有。对每台计算机的总体支持也得到了提升,当前有一个何时机器被连接到区域的概况,一份个人网络连接的概况和公共网络连接(如无线热区)的概况。可引入相关政策,这就实现了多个计算机防火墙结构的协调和简单管理。
#p#副标题#e#
网络访问保护
病毒和恶意软件在运行在用户区域之前即被软件拦截,但是保护的终极目标应该是实现这些病毒软件完全无法进入网络。在Windows Server 2008中,管理员将根据基线对计算机进行检查。如果发现计算机存在问题,则这一系统不能访问网络,也就是被隔离,直到用户修复其机器,才被获准进入健康区域。
这一功能被称为网络访问保护(Network Access Protection)功能,这一功能可以被拆分为三个核心部分:
健康政策确认——试图连接到网络的机子经检查并检验其特定健康标准(由管理员设定)的合规性。(参看图四:Windows Vista的确认标准)。
健康政策的服从可用于检查配置,没有进行验证的计算机可通过Systems Management Server或其他管理软件(例如Microsoft Update或Windows Update)自动更新或者确认。
访问限制——NAP的强制装置。可以实现在仅监控模式下运行NAP,这一模式将连接到网络计算机的从规和确认声明进行了记录。但是处于活动模式的计算机无法进行确认,这些计算机则被加入网络的访问限制区域(这一区域阻隔几乎所有网络访问并限制了一系列特定的hardened服务器(包含了使服务器正常运行最常见的工具)。看图三来了解一些控制(准予、限制和禁制网络访问)的大概情况。
图三——新的网络政策
了解到NAP是进行检查的唯一平台,在配置了Windows Server 2008后很多部分仍是需要的。这些需求包括系统安全代理(system health agents)以及系统安全验证(system health validators),这些确保了每台客户机都经检查和验证。Windows Vista系统发布时将系统安全代理和验证设置成了缺省值,这样就可自行定制(见图四)。
图四——Vista系统的System Health Validator
易管理性改进
服务器仅在管理员合理配置的情况下有效。传统上Windows Server产品相当容易操作,但是Windows Server 2008对于最初的设置和结构有了很大的改进。
图五——新增角色精灵
对于查看服务器的信息来说,考虑到其稳定性和整合性以及对安装任务的管理(见图五),还有其经提高的解决修复结构故障能力,服务器管理家(Server Manager)是一个one-stop shop。Server Manager替代了Configure Your Server、Manage Your Server和Security Configuration Wizard界面。其集中了多种MMC 3.0快照技术,使得你可以看到什么任务和功能被安装到了指定的机器上,同时给你一份管理相关组件的文件。
Windows配置服务(Windows Deployment Services)
多数管理员开始喜欢远程安装服务(Remote Installation Services),Windows 2000 Server和Windows Server 2003的新增功能。其提供了定制安装功能同时很轻松即可去除这一功能。在Windows Server 2008中,微软从根本上修订了远程安装服务并重新命名为Windows Deployment Services。
Windows Deployment Services采用了PXE和一个操作系统的TFTP。但是当前其也在安装流程中包括进来Windows PE——一个图像的前终端,替换了难看且功能很少基于文本的蓝屏设置语句(从Windows NT 3.0开始一直采用)。你尅创建很多不同的图像,同时将其存放在Windows Deployment Services机上(见图六),同时你可以直接将这些图片通过网络单播或多播输出给企业的网络用户。
图六——Windows配置服务(Windows Deployment Services)
#p#副标题#e#
性能和可靠性升级
在Windows Server 2008众多改进中,其性能和可靠性也得到了提高。比如,Windows Server之前版本的查看功能,有两种工具,这两种工具——Task Manager和Performance Monitor——在每次更新发布中都未改进。在Windows Server 2008中,这两个工具结合进了一个界面,被称为Performance Diagnostics Console(同时与上述Server Manager功能进行了整合),为了实现更轻松地查看服务器任务完成情况的统计报告。
资源查看(Resource View)普通却功能强大,对特定处理流程和服务利用机器内现有资源的情况进行查看。Reliability Monitor显示了服务器是按规律运行或是稳定性降低的具体细节。比如,你可以查看基于如软件安装、应用软件缺陷以及硬件问题、Windows故障和其他缺陷而产生的问题或功能降低。Reliability Monitor有一个“稳定性索引”——有1到10十个等级,是绝对权威的稳定性评级。
其次,Event Viewer被重新设计,无论对于本服务器还是对于其他服务器的日志,其访问许可都更高效。你可以很方便地过滤日志查看,订阅和不订阅其他服务器上的关键日志,同时对日志条目进行记录,所有都由一个控制台完成(见图七)。
图七——事件查看功能
Windows Server 2008提供了一个集成系统的单一混合模式类型,这一模式替代了旧的quorum和Windows Server 2003中的多结点设置集成系统。在这一新的混合quorum模式中,有一个叫“votes”的部分,同时一个集成系统是默认设计以承受单vote的缺失。集成系统的每个结点都有一个vote,以作为集成系统的存储源。因此,如果一个quorum磁盘丢失了,集成系统可继续工作,因为仅仅是一个vote不存在了。
用一个共享quorum磁盘(集成系统所必须的资源)对旧的Windows Server 2003模式进行重建,你可以很轻松地给quorum磁盘(被称为目标磁盘)分配一个vote,同时不是集成系统的每个结点都有vote。更方便的是,这一目标磁盘不必是一个物理磁盘:其可以是一个网络共享文件。
图八——缺陷的集成管理
正如你已经看到的,进行集成的实质目的是使集成配置的灵活性更强,而对缺陷的耐受力也会比之前更强。
协同其他重新设计的管理控制台,你当前可以由修订的Failover Cluster Management来进行服务器集成系统管理。(见图八)
#p#副标题#e#
Hyper-V
最后介绍的是Hyper-V,这一产品是微软对于当前横扫IT业的竞赛重整硬件协助虚拟化战略做出的回答。用微软的话说,Hyper-V是新一代基于系统管理程序虚拟化的平台,整合了可实现动态增加物理和虚拟化资源的操作系统。
这意味着什么?Hyper-V的三个主要组成部分:系统管理程序,虚拟化堆栈和新的虚拟化输入/输出模式。Windows系统管理程序的基本任务是创建不同区隔——每种虚拟化代码将在其中运行。虚拟化堆栈和输入/输出组件提供了与Windows系统自身的互动以及与所创建不同区隔间的互动。
这三个组件是顺序工作的。采用配置了Intel VT或AMD-V的处理器服务器,Hyper-V与系统管理程序(处理器上一个很小的软件层级)进行交互。这一软件运行在单一物理处理器上,提供了对处理器——处理器的主机操作系统可以被用来有效管理多个虚拟机,多个虚拟操作系统——的管理。由于没有可安装的第三方软件产品或者驱动器,你大可放心软件病毒不会被引入系统。
伴随高效的流程管理,你可以给虚拟机的主机增加资源。从处理器到内存到网卡到附加存储媒体,你可以在不减少任何服务也不影响用户的情况下给机器增加这些设备。你也可以配置64位的客户机,对于企业来说,转移位采用64位软件好处很多。你可以在转移过程中进行虚拟化,节省整体的配置资金,接着估算当你完成迁移后,需要多少物理服务器。
进行虚拟化不仅仅是为了减少机器复制并节约资金,同时也是为了保证提供比未进行虚拟化的服务器更多的服务。因此,Hyper-V涵盖了对多客户机集成系统的支持功能。其次,你可以集成多个运行Hyper-V组件的物理服务器,这样虚拟机可以在核心主机出现问题时转移到其他主机上。
最后,你可以在不停机的情况下,从一台物理主机上将虚拟机从一台机器迁移到另一台,在明显限制对产品的不利影响同时,简化服务、计划和从重组。你也可以利用Windows Server 2008新的磁盘功能——实现了多地理位置的集成,也就是说,在美国不同的海岸或者在不同的大陆都可是实现集成。在进行集成时,机器之间不需要有一个共享的磁盘,在采用Windows Server 2003系统时,这是必须的。
Figure 9 - Hyper-V Management Console
图九——Hyper-V管理控制台(Hyper-V Management Console)
其次,你可以在安装了Server Core的Windows Server 2008上安装Hyper-V,以利用其稳定性并减少这类配置的多余功能(当然这些功能可提高产品的可用性)。
有了新的Hyper-V管理控制台,Hyper-V管理变的更加容易。见图九
采用Hyper-V前,你需要一些硬件配置,特别是一台能支持64比特的操作系统机子。你需要安装Windows Server 2008企业级,64位版本,而其无法在虚拟机上运行,因为需要硬件协助进行虚拟化。
尽管功能强大的Windows Server 2008已经发布,Hyper-V当前是测试版本。微软公司仍承诺在六个月内发布Hyper-V的RTM版本。
总结:
Windows Server 2008与Windows Server 2003相比,总体来说是一款功能强大并且可靠性好的产品。易管理性、安全性、性能、可靠性和效率都是开发组关注的,他们努力的结果是开发出了一款连接紧密、标准统一的操作系统。这一操作系统建立在坚实的基础之上,又着眼于未来技术,而其运行安全可靠,因此是企业一个好的选择。
