《[计算机]Windows Server技术概述.doc》由会员分享,可在线阅读,更多相关《[计算机]Windows Server技术概述.doc(18页珍藏版)》请在三一办公上搜索。
1、Windows Server 2008 技术概述概述Microsoft Windows Server 2008 用于在虚拟化工作负载、支持应用程序和保护网络方面向组织提供最高效的平台。它为开发和可靠地承载 Web 应用程序和服务提供了一个安全、易于管理的平台。从工作组到数据中心,Windows Server 2008 都提供了令人兴奋且很有价值的新功能,对基本操作系统做出了重大改进。更强的控制能力使用 Windows Server 2008,IT 专业人员能够更好地控制服务器和网络基础结构,从而可以将精力集中在处理关键业务需求上。增强的脚本编写功能和任务自动化功能(例如,Windows Pow
2、erShell)可帮助 IT 专业人员自动执行常见 IT 任务。通过服务器管理器进行的基于角色的安装和管理简化了在企业中管理与保护多个服务器角色的任务。服务器的配置和系统信息是从新的服务器管理器控制台这一集中位置来管理的。IT 人员可以仅安装需要的角色和功能,向导会自动完成许多费时的系统部署任务。增强的系统管理工具(例如,性能和可靠性监视器)提供有关系统的信息,在潜在问题发生之前向 IT 人员发出警告。增强的保护Windows Server 2008 提供了一系列新的和改进的安全技术,这些技术增强了对操作系统的保护,为企业的运营和发展奠定了坚实的基础。Windows Server 2008 提
3、供了减小内核攻击面的安全创新(例如 PatchGuard),因而使服务器环境更安全、更稳定。通过保护关键服务器服务使之免受文件系统、注册表或网络中异常活动的影响,Windows 服务强化有助于提高系统的安全性。借助网络访问保护 (NAP)、只读域控制器 (RODC)、公钥基础结构 (PKI) 增强功能、Windows 服务强化、新的双向 Windows 防火墙和新一代加密支持,Windows Server 2008 操作系统中的安全性也得到了增强。更大的灵活性Windows Server 2008 的设计允许管理员修改其基础结构来适应不断变化的业务需求,同时保持了此操作的灵活性。它允许用户从远
4、程位置(如远程应用程序和终端服务网关)执行程序,这一技术为移动工作人员增强了灵活性。Windows Server 2008 使用 Windows 部署服务 (WDS) 加速对 IT 系统的部署和维护,使用 Windows Server 虚拟化 (WSv) 帮助合并服务器。对于需要在分支机构中使用域控制器的组织,Windows Server 2008 提供了一个新配置选项:只读域控制器 (RODC),它可以防止在域控制器出现安全问题时暴露用户帐户。虚拟化简介Windows Server 2008 系列将包括 Windows Server 虚拟化 (WSv),这是一项强大的虚拟化技术,具有强大的管
5、理功能和安全功能。通过 WSv,企业可以利用已掌握的 Windows 服务器管理技能,无需购买第三方软件即可享有虚拟化的灵活性和安全性方面的好处。Microsoft 及其合作伙伴为 Windows 及受支持的 Linux 来宾操作系统提供了全面的支持。WSv 是一个高灵活性、高性能、经济高效且广受支持的虚拟化平台。安全安全在任何服务器实现中都是一项核心挑战。承载多台虚拟机 (VM) 的服务器(也称为合并服务器)不仅要承担与非合并服务器同样的安全风险,还要面对管理员角色分离的挑战。WSv 有助于提高合并服务器的安全性和解决管理员角色分离的挑战。WSv 通过下列功能来实现此目的:强大的分区能力:虚
6、拟机 (VM) 就像是完全独立于运行在同一物理服务器上的其他虚拟机的独立操作系统容器。硬件级别安全性:较新的服务器硬件中提供了数据执行保护 (DEP) 之类的功能,有助于阻止大多数流行病毒和蠕虫的执行。Windows Server 虚拟化:WSv 可帮助防止暴露包含敏感信息的 VM,还可以保护基本主机操作系统不会因来宾操作系统而降低安全性。网络安全功能:启用了自动网络地址转换 (NAT)、防火墙和网络访问保护 (NAP)。最小的受信任计算基础:减少了攻击面并提供简化的轻型虚拟化体系结构。此功能可增强基于 WSv 的虚拟机的可靠性。在某些情况下,配置为每个应用程序提供最佳安全性和操作系统环境的合
7、并服务器可能面临严峻的挑战。由于 WSv 创建了一个环境,在其中可以对每个工作负载配置理想的操作系统环境和安全配置文件,所以 WSv 解决了合并服务器上的角色分离问题。WSv 允许 VM 在仅具有所需权限的服务帐户下运行,从而可以使 VM 和主机操作系统彼此不受影响。通过 WSv,主机操作系统会受到保护,出现安全问题的 VM 对其他 VM 产生的损坏也会受到限制。强大的隔离能力服务器虚拟化使具有不同资源要求的工作负载能够在同一主机服务器上共存。WSv 提供了多种功能,便于高效地使用主机服务器的物理资源:灵活的内存分配:可以为虚拟机分配 RAM 的最大值和必须保证的最小值。此功能允许管理员创建
8、WSv 配置来依据整体 WSv 服务器性能平衡单个 VM 资源需求。动态的硬件添加:WSv 可以在受支持的来宾操作系统运行时向其动态添加逻辑处理器、内存、网络适配器和存储器。此功能便于对来宾操作系统精确分配 WSv 主机处理能力。灵活的网络配置:WSv 为 VM 提供高级的网络功能,包括 NAT、防火墙和 VLAN 分配。这种灵活性可用于创建更好地支持网络安全要求的 WSv 配置。WSv 的灵活的内存分配、动态的硬件添加和灵活的网络配置功能便于更高效地响应动态服务器负载。例如,阶段结束时的处理工作负载通常比某些业务线 (LOB) 应用程序工作负载的平均值高好几倍。WSv 可与受支持的来宾操作系
9、统一起使用为运行的 VM 动态分配附加内存和处理器资源,并且无需重新启动来宾操作系统就可以处理扩展的处理要求。只要主机服务器资源充足,此更改不会降低主机上运行的其他 VM 的性能。性能与早期版本相比,设计的改进以及与支持虚拟化的硬件的集成使 WSv 能够虚拟化要求更高的工作负载,并且在资源分配中具有更大的灵活性。性能的改进包括:基于 64 位管理程序的轻型、低开销虚拟化体系结构:支持虚拟化的硬件(Intel VT 和 AMD“Pacifica”技术)实现了更高的来宾操作系统性能。多核心支持。可以为每个 VM 分配多达 8 个逻辑处理器:这样,就可以利用多处理器 VM 核心的并行处理优势,对要求
10、大量计算的大型工作负载进行虚拟化。64 位主机和来宾操作系统支持:在 64 位版本的 Windows Server 2008 上运行时,WSv 可提供对来宾 VM 的大型内存池的访问。在 WSv 下,可以成功虚拟化在 32 位操作系统上执行时会出现大量分页的非常耗费内存的工作负载。WSv 还支持在同一合并服务器上同时运行 64 位和 32 位来宾操作系统。服务器核心 (Server Core) 支持。WSv 可以将 Windows Server 2008 的服务器核心安装用作主机操作系统。服务器核心具有最低安装需求和低开销,旨在提供尽可能多的主服务器处理能力来运行 VM。传递磁盘访问。可以将来
11、宾操作系统配置为直接访问本地或 iSCSI 存储区域网络 (SAN) 存储,为产生大量 I/O 操作的应用程序(如 SQL Server 或 Microsoft Exchange)提供更高的性能。许多服务器工作负载对服务器处理和 I/O 子系统要求较高。过去,SQL Server 和 Microsoft Exchange 之类的工作负载通常需要较大的内存和磁盘吞吐量,因此虚拟化这些工作负载有一定难度。WSv 中的 64 位管理程序以及传递磁盘访问等功能可以并且通常适用于虚拟化大型工作负载。简化的管理在可能部署 WSv 的数据中心和远程分支机构安装中,需要强大的管理功能和自动化功能来完全实现虚拟
12、化降低成本的可能性。WSv 通过以下管理功能和自动化功能满足了此需求:可扩展管理:WSv 可以与 Microsoft System Center Operations Manager (SCOM) 和 System Center Virtual Machine Manager (SCVMM) 协同工作。这些管理工具为 WSv 提供报告、自动化、部署和用户自助式工具。用于 VM 管理的 MMC 3.0:熟悉的 Microsoft 管理控制台 (MMC) 界面用于管理 WSv 配置和 VM 设置,极大地缩短了 WSv 学习时间。Windows Management Instrumentation
13、(WMI) 界面:WSv 包含 WMI 提供程序,该提供程序提供系统信息和可脚本化的管理访问。PowerShell 脚本:WSv 主机和 VM 配置可以通过 Windows PowerShell 配置。组策略对象 (GPO) 管理:WSv 使用 GPO 的配置管理功能管理 WSv 主机虚拟化和虚拟机配置。通过 SCOM 和 SCVMM 的管理功能,可以有效地管理 WSv 的数据中心安装和高度分散的安装。例如,可以使用对 WSv 中 WMI 提供程序的脚本访问通过以下方式来自动维护多个 WSv 主机服务器上的窗口:关闭来宾 VM 并在备用服务器上启动它们、执行主机服务器维护,然后在原始主机上恢复
14、这些虚拟机。由于添加了 System Center Virtual Machine Manager,此操作可以自动执行,不需要明显中断许多应用程序。摘要Microsoft Windows Server 虚拟化包含解决许多高难度虚拟化挑战的功能,其中包含:确保合并服务器的安全、响应动态工作负载、实现高性能和可伸缩性以便虚拟化工作负载及简化管理。WSv 同时提供安全性和强大的 VM 隔离功能,从而可以在 WSv 主机服务器上合并异类工作负载,同时保持灵活性和安全性。构成 WSv 基础的 64 位管理程序体系结构为要求较高的工作负载提供了高性能。Windows Server 2008 中强大的集成管
15、理功能、System Center Operations Manager 和 System Center Virtual Machine Manager 支持在广泛的虚拟化环境中实现自动而高效的控制。Web 和应用程序平台简介Windows Server 2008 为开发和可靠地承载通过服务器或 Web 传送的应用程序和服务提供了一个安全、易于管理的平台。新增功能包含:简化的管理、提高的安全性以及性能和可扩展性的改进。此外,企业还将享受到更有效的应用程序和服务管理、更快的 Web 应用程序和服务部署和配置以及更安全、简化、自定义的 Web 平台。Windows Server 2008 为 We
16、b 应用程序和服务提供了更高的性能和可伸缩性,同时允许管理员更好地控制和监视应用程序和服务利用关键操作系统资源的情况。Internet Information Services 7.0 (IIS7)Windows Server 2008 为 Web 发布提供了统一的平台,此平台集成了 Internet Information Services 7.0 (IIS7)、ASP.NET、Windows Communication Foundation 以及 Microsoft Windows SharePoint Services。对现有的 IIS Web 服务器而言,IIS7 是一个很大的进步,它
17、在集成 Web 平台技术中担任核心角色。IIS7 的主要好处包括提供了更有效的管理功能、改进了安全性和降低了支持成本。这些功能有助于创建一个为 Web 解决方案提供单一、一致的开发和管理模型的统一平台。改进的管理工具IIS7 中新的管理实用工具 IIS 管理器是更有效的 Web 服务器管理工具。它提供了对 IIS 和 ASP.NET 配置设置、用户数据和运行时诊断信息的支持。新的用户界面还支持托管或管理网站的用户将管理控制权委派给开发人员或内容所有者,从而减少了拥有成本和管理员的管理负担。新的 IIS 管理器界面支持通过 HTTP 进行远程管理,从而允许进行集成的本地、远程甚至跨 Intern
18、et 进行管理,而不要求在防火墙中打开 DCOM 或其他管理端口。此外,还包含新增的命令行工具 appcmd.exe,用于管理 Web 服务器、网站和 Web 应用程序。此命令行界面简化了管理员常见的 Web 服务器管理任务。例如,可以使用 appcmd.exe 列出已被迫等待 500 毫秒以上的 Web 服务器请求。此信息可用于对性能欠佳的应用程序进行故障排除。可将 appcmd.exe 的输出通过管道传递给其他命令,以便进一步处理。基于模块功能的安装IIS7 由 40 多个单独的功能模块构成。其中仅一半左右的模块是默认安装的,管理员可以有选择地安装或删除任何选择的功能模块。此模块化方法允许
19、管理员仅安装所需选项,并且通过限制需要管理和更新的功能数量来节省时间。此外,由于未运行不必要软件,减少了 Web 服务器的攻击面,提高了安全性。分布式配置模型IIS7 在如何存储和访问其配置数据方面做出了重大改进。IIS7 版本的主要目标之一就是实现 IIS 设置的分布式配置,允许管理员在存储代码和内容的文件中指定 IIS 配置设置。通过分布式配置,管理员可在存储代码和内容的目录中为网站或应用程序指定配置设置。通过在一个文件中指定配置设置,分布式配置允许管理员将所选网站功能或 Web 应用程序的管理权委派给其他人。例如,可以委派网站以便应用程序开发人员配置此网站使用的默认文档。管理员还可锁定特
20、定配置设置,以防止其他人对其进行更改。此功能可用于确保防止脚本执行的安全策略不被委派了网站管理访问权限的内容开发人员重写。通过使用分布式配置,在从开发到测试然后到最终进行生产的过程中迁移应用程序时,可将特定网站或应用程序的配置设置从一台计算机复制到另一台。诊断和故障排除通过内置的诊断和跟踪支持,IIS7 在对 Web 服务器进行故障排除时比以前更轻松,管理员可以监视 Web 服务器并查看详细的实时诊断信息。在进行诊断和故障排除时,开发人员或管理员可查看在服务器上运行的请求。IIS7 还包含新增的 Runtime Status(运行时状态)和 Control(控件)对象,它们提供有关应用程序池、
21、工作进程、站点、应用程序域甚至运行的请求的实时状态信息。例如,可以使用此信息确定工作进程中哪个请求占用了 CPU 资源的 100%。IIS7 还包含整个请求和响应路径中的详细跟踪事件,开发人员和管理员可以跟踪某个请求进入 IIS 请求处理管道、进入任何现有的页面级代码,然后返回响应的整个过程。通过这些详细的跟踪事件,开发人员不仅可以了解请求路径和伴随请求产生的错误信息,还可以了解已用时间和其他调试信息,以便对所有类型的错误进行故障排除。IIS7 还通过提供更详细和更具操作性的错误消息简化了故障排除。IIS7 中的新自定义错误模块允许将详细错误信息发送回浏览器(默认情况下发送到本地主机),还可以
22、配置为发送到其他远程客户端。现在,管理员可以查看关于请求的详细信息、哪些潜在的问题可能导致此错误以及如何解决此错误的建议,而不只是查看简单的错误代码。帮助提高 IIS7 故障排除支持的最重要功能之一是运行时状态和控件 API (RSCA),此功能提供来自 IIS7 内部的有关服务器的详细运行时信息。使用 RSCA,可以检查和管理各种实体,包括站点、应用程序池甚至 .NET 应用程序域。RSCA 还实时显示当前正在服务器上执行的请求。RSCA 数据可从 WMI 提供程序和托管 API (Microsoft.Web.Administration) 处获取。IIS 7 管理 GUI 和命令行工具也可
23、为管理员提供此数据。可扩展的模块化体系结构在早期版本的 IIS 中,所有功能默认情况下都是内置的,因此难以对任何此类功能进行扩展或替换。如前所述,在 IIS7 中,核心分为 40 多个单独的功能模块。核心还包括一个新的 Win32 API,用于构建核心服务器模块。核心服务器模块是 Internet 服务器应用程序编程接口 (ISAPI) 过滤器和扩展的新的、功能更强大的替代品。ISAPI 过滤器和扩展在 IIS7 中仍受支持。由于所有 IIS 核心服务器功能都是使用新的 IIS7 Win32 模块 API 作为独立的功能模块开发的,因此用户可以添加、删除甚至替换 IIS 功能模块。用于自定义的
24、灵活的可扩展模型IIS7 使开发人员能够扩展 IIS 以通过新的、更有力的方式提供自定义功能。这在一定程度上归功于全新的核心服务器应用程序编程接口 (API) 集,它允许功能模块既可以使用本机代码 (C/C+) 开发,也可以使用托管代码(如使用 .NET Framework 的 C# 和 Visual Basic 2005 等语言)开发。事实上,用于请求和应用程序处理的 IIS7 功能集中的大部分功能就是使用这些相同的 API 实现的。IIS7 还实现了配置、脚本、事件日志记录和管理工具功能集的可扩展性,为软件开发人员提供可在其上构建 Web 服务器扩展的完善的服务器平台。真正的应用程序 xc
25、opy 部署IIS7 允许将 IIS 配置设置存储在 web.config 文件中,这样更易于使用 xcopy 在多个 Web 服务器间复制应用程序,并可避免执行成本高且易于出错的复制、手动同步和其他配置任务。摘要IIS7 中的所有结构更改一起创建了一个极其灵活的 Web 应用程序系统。对于只具备基本技能的 Web 服务器管理员新手和使用脚本工具管理多个服务器的高级管理员,通过 GUI 界面和 appcmd.exe 命令行工具访问 IIS 配置的功能提供了有效的工具。IIS 的跟踪和故障排除组件提供详细的可用信息,帮助管理员和应用程序开发人员隔离行为错误的页和代码。IIS7 的模块化功能和详细
26、的管理模型便于服务器管理员创建满足自己需要的服务器,并只允许对站点和内容管理器进行所需级别的访问。服务器管理简介从简化新服务器的配置到自动执行重复的管理任务,简化复杂的日常服务器管理是 Windows Server 2008 中包括的许多增强功能的关键主题。集中式管理工具、直观的界面和自动化功能使 IT 专业人员能够在中央网络和远程位置(如分支机构)更轻松地管理网络服务器、服务和打印机。初始配置任务 (Initial Configuration Tasks)使用 Windows Server 2008,简化的安装过程不会被需要用户干预的配置任务中断。现在,那些任务和对话框在完成基本安装后出现,
27、这样管理员就不必坐下来与安装顺序进行交互。“初始配置任务”窗口是 Windows Server 2008 中的新功能,可以帮助管理员预先配置和设置新服务器。它包括一系列任务,例如设置管理员密码、更改管理员帐户的名称以提高服务器的安全性、将服务器加入现有域以及启用 Windows Update 和 Windows 防火墙。服务器管理器控制台通过新的服务器管理器控制台,Windows Server 2008 简化了在组织中管理和保护多个服务器角色的任务。服务器管理器控制台提供一个统一的控制台,用于管理服务器的配置和系统信息、显示服务器状态、确定服务器角色配置的问题以及管理在服务器上安装的所有角色。
28、服务器管理器控制台的层次结构窗格包含可扩展节点,管理员可以使用这些节点直接进入控制台来管理特定角色、对工具进行故障排除或查找备份和灾难恢复选项。服务器管理器将各种管理界面和工具合并到统一的管理控制台中,使管理员不必在多个界面、工具和对话框之间导航即可完成常见管理任务。服务器管理器向导与 Windows Server 早期版本相比,服务器管理器中的向导通过缩短部署时间简化了企业中的服务器部署任务。现在,大部分常见配置任务(如配置或删除角色、定义多个角色和角色服务)可以使用服务器管理器向导在单个会话中完成。Windows Server 2008 在用户使用服务器管理器向导的过程会执行相关性检查,确
29、保安装了所选角色需要的所有必备角色服务,并且没有删除任何可能仍然需要的剩余角色或角色服务。Windows PowerShellMicrosoft Windows PowerShell 命令行外壳和脚本语言可帮助 IT 专业人员自动执行常见任务。使用新的侧重管理的脚本语言、120 多种标准命令行工具以及一致的语法和实用工具,Windows PowerShell 使 IT 专业人员可以更轻松地控制系统管理和加速自动化。Windows PowerShell 易于采用和使用,因为它利用现有 IT 基础结构和现有脚本投资。它允许用户自动执行基本服务器管理任务以及特定服务器角色(如终端服务器)的系统管理。
30、Windows PowerShell 集成了命令行外壳和脚本语言,使管理员可以更高效地完成和自动执行批量系统管理任务。Windows PowerShell 通过提供与脚本语言具有完全相同的语法的 cmdlet(命令行工具)对 Windows 命令提示和 Windows Script Host (WSH) 进行了改进。在 Windows PowerShell 命令提示中键入的命令与为了在多个服务器上自动执行任务而在脚本中使用的命令相同。PowerShell 支持组织的现有脚本(例如,.vbs、.bat、.perl),因此组织不需要迁移脚本即可采用 Windows PowerShell。现有的基于
31、 Windows 的命令行工具将从 Windows PowerShell 命令行运行。通过提供一致的语法和命名约定以及脚本语言与交互式外壳的集成,Windows PowerShell 降低了自动执行系统管理任务的复杂度,缩短了执行这些任务所需的时间。Windows 远程管理 (WS-Management)随着分支机构和其他位置中的远程服务器数量的增长,IT 专业人员需要更好的方法来高效地管理非现场服务器。Windows 远程管理提供了一种低带宽、可脚本化的方法来轻松管理远程位置内的服务器。Windows Remote Manager 是 Microsoft 在 WS-Management 协议
32、(允许硬件和操作系统进行交互操作的基于 SOAP 的标准协议)的基础上实现的。管理员可以使用 Windows 远程管理脚本对象、Windows 远程管理命令行工具或 Windows Remote Shell 命令行工具从本地和远程计算机中获取管理数据(例如,有关磁盘、网络适配器、服务或进程等对象的信息)。如果计算机运行的是包括 Windows 远程管理的 Windows 操作系统版本,则管理数据由 Windows Management Instrumentation (WMI) 提供。服务器核心从 Windows Server 2008 开始,管理员可以选择安装具有特定功能但不包含任何不必要功
33、能的 Windows Server 的最小安装。服务器核心提供了运行以下一个或多个服务器角色的环境:Windows Server 虚拟化动态主机配置协议 (DHCP) 服务器域名系统 (DNS) 服务器文件服务器Active Directory 目录服务 (AD DS)Active Directory 轻型目录服务 (AD LDS)Windows 媒体服务打印管理Server Core 为组织提供了以下主要好处:减少了软件维护:因为服务器核心仅安装使可管理的服务器运行支持的服务器角色所需的功能,所以服务器需要较少的软件维护。由于使用的是较小的服务器核心安装,更新和修补程序的数量也相应减少,这样
34、既节省了服务器使用的 WAN 带宽又缩短了 IT 人员的管理时间。减小了攻击面:因为减少了在服务器上安装和运行的文件,所以暴露给网络的攻击目标也有所减少;因此,攻击面也相应减小。管理员可以只安装给定服务器所需的特定服务,将暴露风险降低到绝对的最低值。减少了要求重新启动的次数,减小了所需的磁盘空间:使用最小的服务器核心安装时,需要更新或修补的已安装组件有所减少,需要重新启动的次数也相应减少。服务器核心安装只安装提供所需功能需要的最少文件,所以减小了在服务器上使用的磁盘空间。通过选择在服务器上使用服务器核心安装选项,管理员可以降低服务器的管理和软件更新要求,同时降低安全风险。使用 Windows
35、Server 2008 中的服务器核心安装选项,管理员可以降低服务器的持续维护要求并简化其管理。通过运行仅限于所需功能的最小服务器核心安装,IT 人员只需要为该服务器安装直接影响安装的文件的修补程序和更新。Windows Server 2008 打印管理组织越大,网络内的打印机数量越多,IT 人员安装和管理那些打印机需要花费的时间也越多;所有这些都会增加运营支出。Windows Server 2008 包括打印管理,它是一个 MMC 管理单元,使管理员能够通过一个界面来管理、监视组织内的所有打印机(甚至远程位置的打印机)以及对其进行故障排除。打印管理在一个控制台中提供有关网络上所有打印机和打印
36、服务器的状态的最新详细信息。打印管理可以帮助查找出现错误状况的打印机,还可以在打印机或打印服务器需要引起关注时发送电子邮件通知或运行脚本。在提供 Web 界面的打印机模型上,打印管理可以访问此附加数据。这样就可以轻松地管理信息(如墨粉和纸张量),即使打印机位于远程位置。此外,打印管理可以在本地打印服务器的本地子网上自动搜索和安装网络打印机。在客户端计算机上安装打印机以及管理和监视打印机时,打印管理可以为打印管理员节省大量时间。打印管理可与组策略结合使用来自动将打印机连接添加到客户端计算机的“打印机和传真”文件夹,而不必在单独的计算机上安装和配置打印机连接。对于需要访问同一台打印机的大量用户(如
37、同一部门中的用户或一个分支机构中的所有用户)而言,这是一种添加打印机的既高效又省时的方法。打印管理中提供的用于安装、共享和管理打印机的自动选项和集中的控制界面简化了管理,减少了 IT 人员部署打印机所需的时间。返回页首安全和策略实施简介Windows Server 2008 具有许多用于改进安全性和符合性的功能。部分主要增强功能包括:强制实现客户端正常运行:网络访问保护 (NAP) 使管理员可以在允许客户端访问网络之前配置和强制实现正常运行与安全要求监视证书颁发机构:企业 PKI 改进了监视多个证书颁发机构 (CA) 以及对其进行故障排除的功能。防火墙增强功能:新的具有高级安全性的 Windo
38、ws 防火墙提供了许多安全增强功能加密和保护数据:BitLocker 通过对磁盘驱动器加密来保护敏感数据加密工具:下一代加密技术提供了灵活的加密开发平台服务器和域隔离:服务器和域资源可以隔离,以限制对通过身份验证和授权的计算机进行访问只读域控制器 (RODC):RODC 是新类型的域控制器安装选项,可以安装在可能具有较低级别的物理安全性的远程站点中这些改进可帮助管理员提高组织的安全级别,简化与安全相关的配置和设置的管理与部署。网络访问保护网络访问保护 (NAP) 可以防止不能正常运行的计算机访问组织网络和影响其安全性。NAP 用于配置和强制实现客户端正常运行要求,以及在不符合要求的计算机可以连
39、接到公司网络之前对其进行更新或修补。通过 NAP,管理员可以配置正常运行策略,这些策略定义连接到组织网络的计算机的软件要求、安全更新要求和所需的配置设置等内容。NAP 通过评估客户端计算机的运行状况以及限制不符合要求的客户端计算机的网络访问来强制实现客户端正常运行要求。客户端和服务器端组件都可帮助对不符合要求的客户端计算机进行修补,以便其获取不受限制的网络访问权限。如果确定某台客户端计算机不符合要求,则可以拒绝它对网络进行访问,或者立即对其进行修补以使其符合要求。NAP 强制实现方法支持四种网络访问技术,它们与 NAP 结合使用来强制实现正常运行策略:Internet 协议安全 (IPsec)
40、 强制、802.1X 强制、用于路由和远程访问的虚拟专用网络 (VPN) 强制以及动态主机配置协议 (DHCP) 强制。Windows 防火墙高级安全功能Windows Server 2008 中具有高级安全性的 Windows 防火墙是基于主机的状态防火墙,它依据其配置和当前运行的应用程序来允许或阻止网络通信,从而保护网络免遭恶意用户和程序的入侵。一项新功能是支持防火墙对传入和传出通信进行拦截。例如,网络管理员可以对新的 Windows 防火墙配置一组例外情况,阻止所有通信发送到特定端口(如已知的由病毒软件使用的端口)或者发送到包含敏感内容或不希望被访问的内容的地址。这样可以使计算机免遭可能
41、通过网络传播的病毒的入侵,并使网络免遭可能试图从出现安全问题的系统传播的病毒的入侵。由于增加了大量 Windows 防火墙配置选项,因此增添了名为“具有高级安全性的 Windows 防火墙”的新 MMC 管理单元以简化管理。通过这一新的管理单元,网络管理员可以在客户端工作站和服务器上远程配置 Windows 防火墙设置(这在不具有远程桌面连接的早期版本中是无法实现的),从而简化了远程配置和管理。在 Windows Server 早期版本中,Windows 防火墙和 IPsec 是分别配置的。由于基于主机的防火墙和 Windows 中的 IPsec 都能够阻止或允许传入通信,因此创建的防火墙例外
42、和 IPsec 规则可能会重叠或矛盾。Windows Server 2008 中新的 Windows 防火墙使用相同的 GUI 和命令行命令合并了这两种网络服务的配置。防火墙和 IPsec 设置的这种集成简化了防火墙和 IPsec 配置,有助于防止出现策略重叠和矛盾设置。BitLocker 驱动器加密BitLocker 驱动器加密是 Windows Server 2008 中一个重要的新功能,可帮助保护服务器、工作站和移动计算机。Windows Vista Enterprise 和 Windows Vista Ultimate 版本中也提供了 BitLocker,用于保护客户端计算机和移动计算
43、机。BitLocker 可对磁盘驱动器的内容加密。这样可以防止未经授权的使用者通过运行并行操作系统或运行其他软件工具绕过文件和系统保护,或者对存储在受保护驱动器上的文件进行脱机查看。BitLocker 通过将两个主要子功能相结合增强了数据保护:系统卷加密和对早期引导组件的完整性检查。它对整个系统卷加密,包括交换和休眠文件,从而提高了分支机构中远程服务器的安全性。BitLocker 解决了从丢失、被盗或不适当地淘汰的 PC 中窃取或泄露数据的威胁。BitLocker 还有助于组织遵守政府法规(如 Sarbanes-Oxley 和 HIPAA),这些法规要求对安全和数据保护进行极高标准的维护。企业
44、 PKI (PKIView)Windows Server 2008 和 Windows Vista 操作系统提供了大量公钥基础结构 (PKI) 增强功能。Windows PKI 的所有方面的可管理性都有所增强,吊销服务已经过重新设计,并且对注册的攻击面也有所降低。PKI 增强功能包括:企业 PKI (PKIView):最初是 Microsoft Windows Server 2003 Resource Kit 的一部分(曾称为 PKI Health 工具),现在,PKIView 是 Windows Server 2008 的一个 Microsoft 管理控制台 (MMC) 管理单元。它用于分析
45、 CA 的运行状态,并可查看在 AD CS 中发布的 CA 证书的详细信息。联机证书状态协议 (OCSP):基于联机证书状态协议 (OCSP) 的联机响应程序可用于管理和分发传统 CRL 不是最佳解决方案时的吊销状态信息。联机响应程序可以在单台计算机上或联机响应程序组中进行配置。网络设备注册服务 (NDES):在 Windows Server 2008 中,网络设备注册服务 (NDES) 是 Microsoft 基于简单证书注册协议 (SCEP) 实现的。该协议是一种使软件可以在网络设备(如路由器和交换机)上运行的通信协议,如果没有该协议,在网络上将不能通过身份验证来注册证书颁发机构 (CA)
46、 颁发的 x509 证书。Web 注册:与早期版本相比,新的 Web 注册控制更安全、更易于编写脚本并且更易于更新。组策略和 PKI:组策略中的证书设置使管理员能够从域中所有计算机的一个中央位置管理证书设置。下一代加密技术 (Cryptography Next Generation, CNG)下一代加密技术 (CNG) 提供了灵活的加密开发平台,允许 IT 专业人员在与加密相关的应用程序(如 Active Directory 证书服务 (AD CS)、安全套接字层 (SSL) 和 Internet 协议安全 (IPsec)中创建、更新和使用自定义加密算法。CNG 实施美国政府的 Suite B
47、 加密算法,其中包括加密算法、数字签名算法、密钥交换算法和哈希算法。CNG 提供了一组 API,可用于执行基本加密操作,如创建、存储和检索加密密钥。它还支持其他加密提供程序的安装和使用。CNG 使组织和开发人员既能够使用自己的加密算法,也能够实现标准加密算法。CNG 支持现在的 CryptoAPI 1.0 算法集,还支持椭圆曲线加密 (ECC) 算法。美国政府的 Suite B 成果需要使用大量的 ECC 算法。只读域控制器只读域控制器 (RODC) 是 Windows Server 2008 操作系统中提供的一种新类型的域控制器,主要用于在分支环境中进行部署。通过 RODC,组织可以降低在无法保证物理安全的远程位置(如分支机构)中部署域控制器的风险。除帐户密码外,RODC 可以驻留可写域控制器驻留的所有 Microsoft Active Directory 域服务 (AD DS) 对象和属性。不过,客户端无法将更改直接写入 RODC。由于更改不能直接写入 RODC,因此不会发生本地更改,作为复制伙伴的可写域控制器不必从 RODC 导入更改。管理员角色分离指定可将任何域用户委派为 RODC 的本地管理员,而无需授予该用户对域本身或其他域控制器的任何用户权限。服务器和域隔离在基于 Microsoft Win
