文档信息:
文档:Windows Server 2008 TDM 文件——精简版 版本号:5.0
编写日期: 2007 年 7 月 18 日
Windows Server 2008 TDM Paper – Condensed Version
Page #1
目录表
概览 ..................................................................................................................................................5 商务工作的坚实基础 .....................................................................................................................5 Web ...............................................................................................................................................5 虚拟化 ...........................................................................................................................................6 安全性 ...........................................................................................................................................6 虚拟化...............................................................................................................................................7 引言...............................................................................................................................................7 安全性 ...........................................................................................................................................7 强大的隔离功能 ............................................................................................................................7 性能...............................................................................................................................................8 简化管理 .......................................................................................................................................8 总结...............................................................................................................................................9 Web 与应用平台 ...............................................................................................................................9 引言...............................................................................................................................................9 Internet Information Services 7.0 (IIS7) ............................................................................................9 更先进的管理工具.......................................................................................................................10 基于特性的模块化安装 ...............................................................................................................10 分布式配置模型 ..........................................................................................................................10 诊断与故障排除 ..........................................................................................................................10 可扩展的模块化架构 ...................................................................................................................11 灵活的可扩展定制模块 ...............................................................................................................11 真正的xcopy应用部署................................................................................................................11 Windows SharePoint Services ........................................................................................................12 Windows Media Services...............................................................................................................12 Windows Server 2008 TDM Paper – Condensed Version
Page #2
总结.............................................................................................................................................12 服务器管理 .....................................................................................................................................13 引言.............................................................................................................................................13 初始配置任务 ..............................................................................................................................13 Server Manager Console ...............................................................................................................13 Server Manager 向导 ....................................................................................................................14 Windows PowerShell ....................................................................................................................14 Windows Remote Management (WS-Management) .......................................................................14 服务器核心..................................................................................................................................15 Windows Server 2008 打印管理 ....................................................................................................15 Windows 部署服务 ......................................................................................................................16 安全性和策略执行 ..........................................................................................................................17 引言.............................................................................................................................................17 Windows Server 2008中的身份和访问管理 .................................................................................17 Network Access Protection............................................................................................................18 Windows 防火墙的高级安全功能 ................................................................................................18 BitLocker 驱动器加密 ...................................................................................................................19 活动目录联合服务.......................................................................................................................19 基于服务的AD DS .......................................................................................................................20 企业级 PKI (PKIView) ....................................................................................................................20 V3 证书模板 ................................................................................................................................20 Windows Server 2008 中的联合权限管理 (Federated Rights Management) ....................................21 下一代加密技术 (CNG).................................................................................................................22 只读域控制器 ..............................................................................................................................22 服务器和域隔离 ..........................................................................................................................22 集中式应用访问 ..............................................................................................................................23 引言.............................................................................................................................................23 终端服务 .....................................................................................................................................23 单点登陆(SSO) ........................................................................................................................24 Terminal Services RemoteApp .......................................................................................................24 Windows Server 2008 TDM Paper – Condensed Version
Page #3
终端服务网关 (TS Gateway) .........................................................................................................24 Terminal Services Web Access .......................................................................................................25 分支机构 .........................................................................................................................................25 引言.............................................................................................................................................25 部署与管理..................................................................................................................................26 只读域控制器 ..............................................................................................................................26 BitLocker 驱动器加密 ...................................................................................................................26 服务器核心..................................................................................................................................27 活动目录的增强型可管理性 ........................................................................................................27 高可用性 .........................................................................................................................................28 引言.............................................................................................................................................28 故障转移群集(Failover Clustering) ................................................................................................28 网络负载均衡 ..............................................................................................................................29 Windows 备份 ..............................................................................................................................30 总结 ................................................................................................................................................30
Windows Server 2008 TDM Paper – Condensed Version
Page #4
概览
Microsoft Windows Server 2008带有内置网络与虚拟技术,旨在为组织所使用的服务器基础设施提供增强的可靠性和灵活性。新的虚拟化工具、网络技术以及安全增强设置可以更省时、节约成本以及为动态数据处理中心提供平台。强大的新工具,如Internet Information Server 7.0 (IIS7),
Windows Server Manager, 以及 Windows PowerShell,为管理服务器、流线型网络、配置以及管理任务提供更多控制。增强的安全与可靠性如网络访问保护(Network Access Protection)以及只读域控制器增强操作系统并保护服务器环境,为在此环境上创建业务打造坚实基础。
商务工作的坚实基础
Windows Server 2008是迄今最灵活、最强健的Windows服务器操作系统,带有新的技术和特点,如Server Core、PowerShell、Windows Deployment Services以及增强的网络与群集技术,因此Windows Server 2008为所有工作和应用要求提供了最全面与可靠的Windows平台。
Server Manger将服务器角色与特性添加、删除及配置整合到一个单一的微软管理控制台(Microsoft Management, MMC)。Windows Deployment Services (WDS)是一套产品集合,与
Windows Server 2008集成,为客户以及服务器提供简便、安全、快速的Windows操作系统配置。WDS使用基于网络的安装,无需为每台计算机安排直接进行管理的管理员,也无需再从CD或DVD媒体安装Windows组件。Windows PowerShell命令行与脚本语言帮助IT专业人士自动化日常管理任务,更容易地控制系统管理,加速自动化,即使是远程如分支办公室也能完成这些任务。PowerShell通过保持与现有脚本方案的兼容,来平衡现有的投资。
Server core是一种新的安装选项,它的安装中仅包括那些角色所必需的子系统。Server core能够建立一个更可靠和安全的服务器,需要更少补丁和维护。
Windows Server 2008实现了一个新的TCP/IP协议堆栈,即下一代TCP/IP堆栈,通过完全重新设计TCP/IP堆栈,满足今天多样的网络环境和技术在连接性与性能方面的需求。
故障转移群集 (之前的名称是服务器群集)通过一组独立计算机互相协同工作以增强应用软件以及服务的可用性。在Windows Server 2008中,对故障转移群集的改进简化了群集,使之更易于保护、更稳定。
Web
Windows Server 2008 是一款强大的网络应用与服务平台,使各组织机构可高效实现基于 web 的丰富体验。
作为 Windows Server 2008 一部分推出的 Internet Information Server 7.0 (IIS7) 不但改进了管理与诊断、开发和应用工具,同时还能大幅降低基础架构的成本。此外,其还是一种完全模块化的可扩Windows Server 2008 TDM Paper – Condensed Version
Page #5
展 Web 服务器,支持可扩展的应用主机服务,同时保持了出色的兼容性,能满足客户的各种重要需求。
Windows Server 2008 采用了 Windows SharePoint® Services 3.0技术,其是一种有助于企业改进业务进程、提高工作效率的协作技术。Windows SharePoint Services 拥有一套高度稳定的特性与工具集,能够帮助用户通过浏览器访问工作空间并共享文档,从而确保不同机构与地理位置的用户能高效开展协作。
Microsoft Windows Media Services 是一款工业级平台 (industrial-strength platform),可优化通过 Internet 或企业内部网传输的实时流媒体和音、视频内容点播。Windows Media Services 可提供终极速度的流媒体体验,支持个性化内容的即时动态编程,而且整体平台的管理非常方便,同时还支持定制与可扩展功能。
虚拟化
Windows Server 2008 内置服务器虚拟化技术,不仅可帮助企业降低成本、提高硬件虚拟化程度,同时还能优化基础架构,并改进服务器的可用性。Windows Server virtualization (WSv) 采用基于hypervisor的 64 位平台,能够实现更高的可靠性与可扩展性。WSv 能帮助各组织机构通过服务器整合优化其硬件资源,此外,还能利用故障转移群集等 Windows Server 2008 平台组件确保较高的可用性,并通过 NAP 来隔离有问题的虚拟机。
表现层虚拟化 (Presentation Virtualization) 是另一种类型的虚拟技术,能够断开应用表现层层或用户界面与主机操作系统的连接。在Windows Server 2008 中,终端服务网关 (Terminal Services
Gateway) 与 Terminal Services RemoteApp™ 在客户端计算机上集成了远程应用,将应用访问集中起来,同时还能方便地通过 Web 浏览器访问远程程序。此外,终端服务 还为通过防火墙访问远程终端和应用提供了一种方法。(如欲了解关于 终端服务 的更多详情,敬请参见介绍《集中应用访问》的部分。)
安全性
Windows Server 2008 是迄今最安全的Windows服务器操作系统。经过加固的操作系统以及众多安全创新技术,如 Network Access Protection、联合权限管理 (Federated Rights Management) 和只读域控制器 (Read-Only Domain Controller) 等,为企业的数据提供了前所未有的保护级别。Windows Server 2008 拥有众多优异特性,其中包括安全性与法规遵从增强技术、更高级加密以及改进了审查与安全启动的工具等。此外,其还能通过 Rights Management Services、BitLocker 以及群组策略技术等帮助各组织机构避免数据遭窃。
Windows Service Hardening 有助于避免服务器的关键服务在文件系统、注册表或网络发生异常情况时遭到破坏,从而加强了系统的安全性。此外,Windows Server 2008 操作系统的安全性还通过 NAP、 RODC、 公钥基础架构 (PKI) 等增强技术得到了进一步提升,同时还利用新型的 Windows防火墙改进了过滤功能,并支持新一代加密技术。
Windows Server 2008 TDM Paper – Condensed Version
Page #6
Windows Server 2008 拥有全面集成的 Federated Rights Management Services 解决方案,使企业能方便地扩展 Rights Management 框架,确保重要信息在合作伙伴之间安全共享,避免了维护企业外用户账户而造成的额外工作负担。.
虚拟化
引言
Windows Server 2008 采用 Windows Server virtualization (WSv) 这一功能强大的虚拟化技术,支持先进的管理与安全特性。WSv 使企业能够充分利用其熟悉的现有 Windows 服务器管理、虚拟化技术的高灵活性与安全性优势,而无需购买第三方软件。Microsoft 及其合作伙伴可为Windows 提供综合而全面的支持,同时也支持运行在 Windows 上的 Linux 操作系统。WSv 是一款灵活度高、成本低的高性能虚拟化平台,而且拥有充分的技术支持作后盾。
安全性
确保安全性是实施服务器的重中之重。运行多个虚拟机 (VM) 的服务器也称作整合服务器,它们所遇到的安全风险与非整合型服务器是一样的,同时还要面临更多管理员角色分割方面的挑战。WSv 不仅有助于提高整合型服务器的安全性,而且还能解决管理员职责区分方面的技术挑战。WSv通过以下特性实现上述功能:
强大的分区功能:虚拟机 (VM) 作为独立的操作系统外壳工作,完全与运行在相同物理服
务器上的其它虚拟机隔离。
硬件级安全性:新型服务器硬件拥有 Data Execute Prevention (DEP) 等特性,能够避免执行
常见的病毒和蠕虫程序。 Windows Server virtualization:WSv 有助于防止包含敏感信息的虚拟机遭遇安全风险,并能
避免底层主机操作系统因来宾操作系统而遭到破坏。 网络安全特性:支持自动化 NAT、防火墙和 NAP。
Minimal Trusted Computing Base:减小攻击面,优化轻量级虚拟化架构。该特性增强了基
于 WSv 的虚拟机的可靠性。
在有些情况下,配置整合型服务器以便为所有应用都提供最佳的安全性与操作系统环境是一项非常艰巨的任务。由于在 WSv 所创建的环境中,我们可针对理想化的操作系统环境与安全情况配置每个工作负载,因此 WSv 能解决整合型服务器上角色区分的问题。WSv 允许虚拟机运行在仅具备所需权限的服务账户上,因此可以确保虚拟机与主机操作系统互不干扰。利用 WSv,主机操作系统可获得安全保护,即便某个虚拟机出了问题,它对其它虚拟机造成的影响也是有限的。
强大的隔离功能
服务器虚拟化使具有各种资源要求的工作负载能够在同一主机服务器上共存。WSv 提供的下列特性有助于高效利用主机服务器的物理资源:
Windows Server 2008 TDM Paper – Condensed Version
Page #7
灵活的存储器分配:可为虚拟机分配最高与最低的 RAM 占用量,该特性使管理员能够创
建有效的 WSv 配置方案,根据 WSv 服务器的整体性能平衡不同虚拟机的资源需求; 灵活的网络配置:WSv 支持虚拟机的高级网络特性,如 NAT、防火墙和 VLAN 分配等。这
种灵活性可用于创建能够更好支持网络安全性要求的WSv 配置方案。 WSv 高度灵活的存储器分配与网络配置特性有助于更高效地满足服务器负载动态变化的需。
性能
随着设计方案的不断发展以及与支持虚拟化技术的硬件相集成,目前 WSv 与前代版本的技术相比可以支持更多高强度工作负载的虚拟化,而且在资源分配方面的灵活性也有进一步提升: 性能方面的增强技术包含:
基于 64 位 Hypervisor 的轻量级低开销虚拟化架构:支持虚拟化技术的硬件(Intel VT和
AMD “Pacifica”技术)使得来宾操作系统具有更高的性能。
多核支持:可为每个虚拟机分配多达 8 个逻辑处理器,从而能满足计算强度较高的大型工
作负载的虚拟化要求,并使其受益于多处理器虚拟机核心的并行处理优势。
64位主机与来宾操作系统支持:WSv 运行在 64 位版本的 Windows Server 2008 之上,使来
宾虚拟机能访问大型的存储器池。高强度的存储器工作负载如果执行在32位操作系统上就会受累于大量的内存分页问题,但 WSv 能出色地完成虚拟化任务。此外,WSv 还支持运行在相同整合型服务器上的 64 位和 32 位来宾操作系统。
服务器核心支持:WSv 支持 Windows Server 2008 的服务器核心安装模式作为主机操作系
统,实现占用空间最小的安装方式并进而降低资源消耗,能确保尽可能将最多的主机服务器处理资源用于虚拟机的运行。
Pass-through磁盘访问验证:来宾操作系统经过配置,可直接访问本地或 iSCSI Storage Area
Network (SAN) 存储设备,从而满足 SQL Server™ 或 Microsoft Exchange 等高强度 I/O 应用的更高性能需求。
众多服务器工作负载都对服务器处理和 I/O 子系统提出了较高要求。诸如 SQL Server 和 Microsoft Exchange 等工作负载一直占用大量存储器和磁盘吞吐量,因此用户不太愿意对这种工作负载采用虚拟化技术。WSv 中 64 位 Hypervisor 与 Pass-through 磁盘访问验证等特性能够支持大型工作负载的虚拟化,而且具有良好的实用性。
简化管理
如果需要在数据中心和远程分支机构中部署 WSv,那么就需要具备功能强大的管理与自动化能力,这样才能充分发挥虚拟化技术降低成本的潜力。WSv 通过以下管理和自动化功能来实现上述目的:
可扩展的管理:WSv 可与 Microsoft System Center Operations Manager (SCOM) 和System
Center Virtual Machine Manager (SCVMM) 协作工作。上述管理工具支持WSv 的报告、自动化、部署以及用户自维护等工具。 虚拟机管理的 MMC 3.0 界面:可使用客户非常熟悉的 Microsoft Management Console
(MMC) 界面来管理 WSv 配置和虚拟机设置,从而显著缩短 WSv 新技术的学习曲线。 Windows Server 2008 TDM Paper – Condensed Version
Page #8
Windows Management Instrumentation (WMI) 界面:WSv 集成的 WMI 提供程序可提供系统
信息和脚本化管理访问。
PowerShell 脚本:WSv主机与虚拟机配置可通过 Windows PowerShell 进行配置。 Group Policy Object (GPO) 管理:WSv 采用 GPO 的配置管理功能来管理 WSv 主机虚拟化和
虚拟机配置。
SCOM 与 SCVMM 的管理功能使我们能高效管理 WSv 的数据中心安装和高度分布化安装。举例来说,我们可通过 WSv 中对 WMI 提供程序的脚本访问先停止来宾虚拟机工作,再在备用服务器上启动虚拟机,进而执行主机服务器维护,最后恢复虚拟机在原始主机上的运行,从而自动化多个 WSv 主机服务器的维护窗口。由于增加了 System Center Virtual Machine Manager,因而完全可以自动化上述操作,许多应用维护根本感觉不到停机。
总结
Microsoft Windows Server虚拟化技术集成了多种特性,能解决众多高难度的虚拟化技术难题,其中包括:确保整合型服务器的安全,满足动态工作负载的需求,实现虚拟化工作负载的高性能运行,以及简化管理等。WSv将高度的安全性与强大的虚拟机隔离技术完美结合在一起,使用户能在 WSv 主机服务器上整合异构工作负载的同时,还能确保灵活性和安全性。64位Hypervisor架构为WSv形成了坚固的基础,为高强度工作负载提供了高性能。此外,Windows Server 2008、System Center Operations Manager以及System Center Virtual Machine Manager等还拥有功能强大的集成管理特性,能够在各种不同虚拟化环境中实现高效率的自动化控制。
Web 与应用平台
引言
Windows Server 2008 提供了一个便于管理的安全平台,有助于开发和可靠托管通过服务器或 Web 交付的应用和服务。其新特性包括:简化管理、提高安全性、增强性能与可扩展性等。此外,企业还能够众诸如方面受益,如获得更高效的应用和服务管理、Web应用和服务的加速部署和配置,以及实现更高安全性与定制化程度的优化 Web 平台。Windows Server 2008 为 Web 应用和服务提供了更高的性能和可扩展性,使管理员能够更全面地了解和控制应用和服务占用关键操作系统资源的方式与时间。此外,Windows Server 2008 还通过工业级平台支持因特网或企业内部网上的实时流媒体和音、视频内容点播,并能通过协作技术改进商业进程,提高工作团队的工作效率。
Internet Information Services 7.0 (IIS7)
Windows Server 2008 可为 Web 发布提供统一平台,高度集成了 Internet Information Services 7.0 (IIS7)、ASP.NET、Windows Communication Foundation和Microsoft Windows SharePoint® Services 等。IIS7是对现有 IIS Web 服务器的重大升级,并在集成 Web 平台技术方面发挥着关键作用。IIS7
Windows Server 2008 TDM Paper – Condensed Version
Page #9
的关键优势包括:更高效的管理特性、更高安全性以及更低的支持成本等。上述各方面特性的强势结合打造了一款统一平台,能够为 Web 解决方案提供集中而高度一致的开发和管理模型。
更先进的管理工具
IIS7 中的新型管理员程序 IIS Manager 为管理Web服务器提供了效率更高的工具,并支持 IIS和ASP.NET配置设置、用户数据和运行时诊断信息等。此外,对管理和提供 Web 站点主机服务的管理员而言,新型 UI 还能将管理控制权限授权给开发人员或内容所有者,从而降低拥有成本并减轻管理员的工作负担。最新的IIS Manager界面通过HTTP支持远程管理,从而能够无需在防火墙上打开 DCOM 或其它管理端口的情况下实现本地、远程乃至跨因特网的统一管理。
此外,我们还集成了用于管理 Web 服务器、Web站点以及Web 应用的新型命令行工具
appcmd.exe。这种命令行界面为管理员简化了常用的Web服务器管理任务。例如,我们可用appcmd.exe列出等待时间超过500毫秒的Web服务器请求,从而利用相关信息来调试那些性能欠佳的应用。可将 appcmd.exe的输出导入至其它命令中,以备进一步处理工作之需。
基于特性的模块化安装
IIS7 由 40 多个不同的特性模块组成,默认安装仅安装一半的模块,管理员可有选择性地决定增减相关特性模块。这种模块化方案使管理员能够仅安装自己需要的功能,限制需要管理和更新的特性数量,从而节约了时间。此外,由于减少了不必要软件的运行数量,因此 Web 服务器可能遭受的攻击面也相应减少,从而提高了安全性。
分布式配置模型
IIS7在配置数据的存储与访问方式上实现了重大改进。IIS7 推出的一大目标,就是支持 IIS 设置的分布式配置,从而让管理员能在与代码和内容一同存储的文件中指定IIS的配置设置。
分布式配置使管理员能在存储代码或内容的目录中指定Web站点或应用的配置。由于配置设置统一位于单个文件中,因而分布式配置使管理员能将某些Web 站点或 Web 应用特性的权限加以下放。举例来说,管理员可将某个Web 站点的权限进行授权,这样应用开发人员就能配置该 Web 站点所使用的默认文档。此外,管理员还能锁定特定的配置设置,以避免其它人更改。该特性可用于确保安全策略的实施,避免执行不良脚本,即便内容开发人员获得了部分授权的权限,也不能改变安全策略。通过分布式配置,并随着应用从开发阶段走向测试阶段,特定站点或应用的配置设置可在不同计算机之间拷贝,直至最终成型推出。
诊断与故障排除
利用内置的诊断与跟踪支持,IIS7 显著简化了Web服务器的故障排除工作,从而使管理员能了解Web服务器的内部情况,获得详细的实时诊断信息。诊断与故障排除使开发人员或管理员能了解运行在服务器上的请求。此外,IIS7 还集成了最新的运行时状态和控制对象,能够针对应用池、
Windows Server 2008 TDM Paper – Condensed Version
Page #10
工作者处理进程 (worker process)、站点、应用域乃至运行请求等提供实时状态信息。举例来说,该信息可用来确定工作者处理进程中哪个请求消耗了 100% 的 CPU 资源。
IIS7 还能提供整个请求和响应路径上的详细跟踪事件,使开发人员和管理员能在整个IIS请求处理管道中跟踪请求的状况,了解所有当前页面级代码的情况,直至响应情况。这些详细的跟踪事件使开发人员不仅能了解请求路径和该请求可能造成的所有错误信息,而且还能了解请求响应所需的时间和其它故障诊断信息,从而配合各类错误的故障排除工作。
IIS7还能通过提供更详细的可操作错误消息简化故障排除。IIS7 中的新型自定义故障模块能向浏览器(默认为本地主机)发回详细的故障信息,通过配置也可将相关信息发送给其它远程客户端。这样,管理员看到的将不再是简单的错误代码,而能详细地了解到请求信息、发生的哪些潜在问题可能导致了该错误等,此外还能获得解决错误的建议。
改进 IIS7 故障排除支持的最重要特性之一就是运行时状态和控制 API (RSCA),其可用于提供详细的服务器运行时信息,深度地反映 IIS7 的内部情况。利用 RSCA,可以检查并管理其中包括站点、应用池乃至 .NET 应用域等在内的多种实体。此外,RSCA 还能实时提供服务器上正在执行的请求信息。WMI和托管API(Microsoft.Web.Administration)可提供 RSCA 数据。IIS 7 管理 GUI和命令行工具也能为管理员提供上述数据。
可扩展的模块化架构
在IIS的前代版本中,所有功能都是内置默认的,很难扩展或替代其中任何功能。如前所述,IIS7中的核心被分为 40 多个独立的特性模块,此外,该核心还采用了最新的Win32® API来构建核心服务器模块。核心服务器模块是一种功能强大的全新模块,可以替代Internet Server Application Programming Interface (ISAPI) 过滤器与扩展。IIS7 仍然支持ISAPI过滤器与功能扩展。由于所有IIS核心服务器特性均采用最新的IIS7 Win32 Module API开发,是各自独立的特性模块,因此用户可自行增减乃至替换IIS特性模块。
灵活的可扩展定制模块
IIS7使开发人员能够以更强大的新方法定制功能,从而支持IIS的功能扩展。这在一定程度上要归功于全新的核心服务器应用编程接口 (API) 集,因为其支持通过原生代码(C/C++)和托管代码(如 C#和 Visual Basic® 2005等使用 .NET Framework 的语言)开发特性模块。事实上,大部分面向请求和应用处理的IIS7特性集都是用这种API实施的。此外,IIS7 还支持针对配置、脚本、事件日志以及管理工具特性集等的可扩展性,为软件开发人员创建 Web 服务器扩展提供了完整的服务器平台。
真正的xcopy应用部署
IIS7允许在web.config文件中存储IIS配置设置,使我们不仅能很方便地通过xcopy在多个 Web 服务器之间复制应用,而且还能避免昂贵又容易出错的复制工作、手工同步以及其它更繁杂的配置任务。
Windows Server 2008 TDM Paper – Condensed Version
Page #11
Windows SharePoint Services
Microsoft Windows SharePoint® Services 3.0 是一种可帮助企业改进商业进程并提高工作团队工作效率的协作技术。Windows SharePoint Services 拥有丰富的特性与工具集,能通过浏览器访问工作空间并共享文档,从而有助于不同组织机构与地理位置的用户相互通信,开展协作。
此外,Windows SharePoint Services 还为构建灵活的、基于 Web 的商业应用提供了一个基础性平台,这种应用可为满足不断发展的企业需求进行方便地扩展。此外,该解决方案还能为管理存储和Web基础架构提供高度稳定的管理控件,从而为 IT 部门实施和管理高性能协作环境提供了一种低成本的方式。Windows SharePoint Services 3.0 具备众多新特性和增强特性,即可帮助IT 专业人员部署和维护Windows SharePoint Services解决方案,而且还能更全面地控制信息资源。
Windows Media Services
Windows Media Services是一款工业级平台,可优化通过Internet或企业内部网传输的实时流媒体以及音、视频内容点播。Windows Media Services可配置并管理多个Windows Media服务器,并为客户端提供内容。
Windows Media Services 能够实现终级的快速流媒体体验、针对即时与个性化内容传输的动态编程,以及具有管理简便、定制以及可扩展性等优异特性的工业级平台。
Windows Media Services的快速流媒体功能消除了缓存时间,降低了网络问题造成回放中断的可能性。诸如快速启动 (Fast Start)、快速缓存 (Fast Cache)、快速恢复 (Fast Recovery) 以及快速重连 (Fast Reconnect) 等特性能确保客户始终获得高质量的流媒体内容观赏体验,尽可能减少缓冲和停机时间,即便在无线和卫星连接等网络延迟较高的情况下也能良好工作。
Windows Media Services 可实现动态节目内容,因而各企业能够即时更新内容,并实现内容的个性化,从而提供最富吸引力的用户体验。相关节目功能包括:
自动获得节目,并即时而无缝地更新数字媒体内容。
支持点播节目或实时广播变更,可在不会中断浏览欣赏的情况下更改剪辑的顺序,插入广
告,插入新的剪辑等。
利用多种类型的广告实现创收,如节目开始前和节目间隙插入广告,并能与第三方广告服
务器实现轻松集成。高级报告功能可跟踪用户观看广告的方式和时间。
可自动生成个性化的播放列表,适应不同观众的特定需求,从而让流媒体内容更符合客户
的口味,可用性更高。
利用Windows Server 2008,在安装Windows Server 2008服务器核心的情况下,管理人员可根据需要执行 Streaming Media Services,从而支持Windows Media Services服务。
总结
IIS7 的结构化调整综合创建了一种非常灵活的 Web 应用系统。我们能通过GUI界面与appcmd.exe 命令行工具访问IIS的配置,这既能满足仅具备基本技能的Web 服务器管理人员的需求,又能适Windows Server 2008 TDM Paper – Condensed Version
Page #12
应高级管理员的需要,使他们可通过脚本工具管理多台服务器。IIS的跟踪和故障排除工具能提供详细而实用的信息,帮助管理人员和应用开发人员隔离出发生问题的页面与代码。IIS7 模块化的功能和粒度化的管理模型简化了服务器管理员的工作,能够帮助他们完全根据需要来配置服务器,只安装站点访问和内容管理所需的组件。另外,利用 Windows Media Services,Windows Server 2008还能作为提供流媒体内容的坚实平台。
服务器管理
引言
从优化新型服务器的配置到自动化重复性管理工作,简化日常服务器管理的复杂性是 Windows Server 2008 诸多增强型技术所要解决的关键课题之一。集中的管理工具、方便易用的界面以及自动化特性能帮助 IT 专业人士更轻松地管理网络服务器、服务和打印机,同时满足中央网络和分支机构等远程区域的需求。
初始配置任务
利用 Windows Server 2008,我们可以确保优化安装进程,配置任务不必再需要用户干预,完全实现无间断无干预安装。只有在基本安装任务完成后才会出现有关任务和对话框,这样管理员就不用随时看着安装进度就能完成安装了。
初始配置任务窗口是 Windows Server 2008 中的一种新功能,能帮助管理员对新型服务器进行预配置和配置。它支持设置管理员密码、改变管理员帐户名称等任务,有助于加强服务器的安全性,还能将服务器加入到现有的域中,并支持 Windows 自动更新和 Windows 防火墙。
Server Manager Console
Windows Server 2008 通过新式的 Server Manager Console 简化了企业中多个服务器职责的管理工作,加强了安全性。Server Manager Console 为管理服务器的配置和系统信息提供了统一的控制台,能显示服务器状态,识别与服务器任务配置有关的问题,并能管理安装在服务器上的所有任务。
Server Manager console 中的层次面板包括了可扩展的节点,管理员可通过这些节点直接进入控制台,管理具体职责,疑难解答工具,并查找备份和灾难恢复选项等。
Server Manager 将多种管理界面与工具集中到统一的管理控制台中,使管理员无需在多个界面、工具与对话框之间来回切换就能完成常见的管理任务。
Windows Server 2008 TDM Paper – Condensed Version
Page #13
Server Manager 向导
相对于早期的 Windows Server 版本来说,Server Manager 中的向导能通过缩短部署时间来优化企业服务器部署任务。大多数常见的配置任务(如角色配置与删除、定义多个角色以及角色服务等)现在都能用 Server Manager 向导在同一个会话中完成。
Windows Server 2008 会随着用户在 Server Manager 向导中的进程进行依赖性检查,确保所选角色的所有必备条件都已安装,可用的已选角色或角色服务没有缺失。
Windows PowerShell
Microsoft Windows PowerShell 命令行 shell 和脚本语言能帮助 IT 专业人员对常见任务进行自动化。Windows PowerShell 采用以管理为中心的新式脚本语言、120 多种标准命令行工具以及统一的语法与应用,能帮助 IT 专业人员更方便地控制系统管理与加速自动化进程。Windows PowerShell 的推广和使用非常简单,因为它能与现有的 IT 基础架构和现有脚本投资很好地协作,使用户能够对基本服务器管理任务以及终端服务等特定的服务器任务进行自动化系统管理。
Windows PowerShell 集成了命令行 shell 和脚本语言,使管理员能更高效地完成批量系统管理任务的自动化。Windows PowerShell 在 Windows Command Prompt 和 Windows Script Host (WSH) 的基础之上进行了进一步改进,其命令行工具 (cmdlet) 的语法与脚本语言完全一致。Windows PowerShell 命令提示符下输入的命令就是不同服务器上脚本任务自动化所用的命令。
PowerShell 能支持企业现有的脚本(比如:.vbs、.bat、.perl 等),这样企业在采用 Windows PowerShell 时就无需进行脚本移植了。基于 Windows 的现有命令行工具可从 Windows PowerShell 命令行运行。Windows PowerShell 可确保语法、命名规则的一致性,也能使用交互式 shell 确保脚本语言的集成,从而减少系统管理任务自动化的复杂性,缩短了工作时间。
Windows Remote Management (WS-Management)
随着分支机构与其它地方的远程服务器工作量越来越多,IT 专业人员高效管理站外服务器就需要更好的选择。Windows Remote Management 为方便管理远程站点的服务器提供了一种低带宽并支持脚本的途径。
Windows Remote Manager 是 Microsoft 推出的支持 WS 管理协议的,该协议是一种基于标准 SOAP 的协议,支持操作系统与硬件的互操作性。管理员可以使用 Windows Remote Management 脚本对象、Windows Remote Management 命令行工具,或 Windows Remote Shell 命令行工具从本地与远程计算机获得管理数据(例如关于磁盘、网络适配器、服务或进程等对象的信息)。如果计算机上运行的 Windows 操作系统版本带有 Windows Remote Management,那么管理数据就由 Windows Management Instrumentation (WMI) 来提供。
Windows Server 2008 TDM Paper – Condensed Version
Page #14
服务器核心
从 Windows Server 2008 开始,管理员能选择 Windows Server 的最小安装方式,只安装特定的功能,而不必安装暂不需要的某些功能。服务器核心就为运行以下一种或几种服务器任务提供了环境:
Windows Server虚拟化
动态主机配置协议 (DHCP) 服务器 域名系统 (DNS) 服务器 文件服务器
Active Directory® Domain Services (AD DS) 活动目录轻量目录服务 (AD LDS) Windows媒体服务 打印管理
服务器核心能为企业提供以下关键功能:
减少软件维护:由于服务器核心只需安装必需的功能,就能让托管服务器运行受支持的服
务器任务,因此可以减少服务器所需的软件维护。通过小型化的服务器核心安装方式,我们能减少更新和修补程序的数量,节约服务器的 WAN 使用带宽,并缩短 IT 员工的维护时间。 减少攻击面:由于安装的文件较少,服务器上运行的文件也较少,因此可能受到的网络攻
击也随之减少。管理员只需为给定服务器安装特定的服务,就能将暴露的风险降到最低。 减少重启次数,降低磁盘占用:在采用最小化服务器核心安装的情况下,很少有安装组件
需要更新与修补,所需的重启次数也随之减少。采取服务器核心安装时,我们仅需安装最少的文件量以满足所需功能,这样服务器上的磁盘占用也可以减少。通过采用服务器核心安装的方式,管理员就能降低服务器的管理和软件更新需求,同时减少服务器的安全风险。
利用 Windows Server 2008 的服务器核心安装方式,管理员能降低服务器运行时的维护需求,简化管理工作。采用仅限所需功能的最小化服务器核心安装方式,IT 工作人员就可以只安装直接影响安装文件的修补程序与更新。
Windows Server 2008 打印管理
企业规模越大,网络中打印机的数量就越多,而 IT 工作人员安装和管理打印机所花的时间也就越长,这就导致运营成本的上涨。Windows Server 2008 提供了打印管理功能,这是一种 MMC 管理单元,使管理员能管理和监控企业中的所有打印机,并对其进行故障调试,甚至还能通过统一的界面管理远程站点的打印机。
打印管理能够在统一控制台上提供网络上所有打印机和打印服务器的最新状态。打印管理功能还能查找出现故障的打印机并发送电子邮件通知,以及在打印机或打印服务器需要维护时运行脚本。如果某些打印机型号支持 Web 接口,那么打印管理功能还能访问更多数据。这样,墨粉和纸Windows Server 2008 TDM Paper – Condensed Version
Page #15
张数量等信息都可以实现轻松管理,即便打印机位于远程站点也毫无问题。此外,打印管理还能在本地打印服务器子网中自动搜索并安装网络打印机。
在为客户端计算机安装打印机以及管理与监视打印机时,打印管理能够为管理员节约大量时间。打印管理不用在各个计算机上分别安装与配置打印机连接,通过组策略即可自动为客户端计算机的打印机和传真机文件夹添加打印机连接。这就为大量需要使用相同打印机的用户添加打印机提供了一种高效而省时的方式,例如相同部门的员工或者同一分支部分的用户都能方便地使用同一台打印机。
打印管理还为打印机的安装、共享与管理提供了自动化选项和集中控制界面,从而简化了管理工作,缩短了 IT 员工配置打印机所需的时间。
Windows 部署服务
Windows 部署服务 (WDS) 是一套与 Windows Server 2008 协作的组件,为快速在计算机上通过基于网络的安装方式配置 Windows 操作系统提供了一种简单而安全的方法。利用 WDS,管理员不必再直接逐台操作计算机,也不用再通过 CD 或 DVD 媒介来安装 Windows组件。WDS 包含了许多新的增强型特性,用以节省 IT 人员的工作时间。WDS 的组件分为以下三类:
服务器组件:这类组件包括预启动执行环境 (PXE)服务器和 Trivial File Transfer Protocol
(TFTP) 服务器,可在网络中启动客户端,加载并安装操作系统。此外这类组件还包括共享文件夹与镜像存储库,包括启动镜像、安装镜像以及网络启动所需要的特定文件。
客户端组件:这类组件包括运行在 Windows 预安装环境 (Windows PE) 之中的图形用户界
面,并通过与服务器组件通信来选择和安装操作系统镜像。 管理组件:这类组件是一套用于管理服务器、操作系统镜像和客户端计算机帐户的工具。 WDS 包括 Windows Deployment Services MMC 管理单元,能为所有 WDS 特性提供丰富的管理功能。WDS 还能为 RIS 特性组提供一些增强性能,这种特性组专为简化 Windows Vista 与 Windows Server 2008 的配置而设计。利用 WDS,IT 工作人员可实现以下操作:
通过 Sysprep.exe 和 WDS 管理单元来创建“捕获镜像”,进而可用它来创建定制镜像。 通过 Windows Deployment Services Capture Wizard 来创建并添加由 Sysprep.exe生成的镜
像。
通过 WDS 管理单元将自动安装文件与 Windows 镜像建立关联。
将一个或更多语言包与镜像建立关联,这样就不用再为企业支持的每种语言分别建立独立
的镜像了。
通过 WDS 管理单元创建“发现镜像”,这种镜像可用于不支持 PXE 启动的计算机。
Windows Server 2008 TDM Paper – Condensed Version
Page #16
安全性和策略执行
引言
Windows Server 2008 提供许多改进安全性、确保符合安全标准的特性。一些关键的安全增强特性包括:
强制客户端健康:NAP 使管理员能在客户端访问网络之前配置并强制执行健康安全要求。 监视证书颁发机构:企业 PKI 可提高监视和解答多个证书颁发机构 (CA) 的能力。 身份和访问管理:旨在帮助企业管理用户身份和相关访问特权的平台技术。
防火墙增强:具有 Advanced Security 的全新 Windows Firewall 提供多种安全增强性能。 加密和数据保护:BitLocker 能通过磁盘驱动器加密来保护敏感数据。
加密工具:Next Generation Cryptology 提供一款高灵活性的加密开发平台。
服务器和域隔离:服务器和域资源可以隔离,从而限制对认证和授权计算机的访问。 Read-Only Domain Controller (RODC):RODC 是一种新型的域控制器安装选项,可安装在物
理安全性级别较低的远程站点上。 Secure Federated Collaboration:Active Directory Rights Management Services (AD RMS) 提供
一种保护敏感数据的新方法,既全面又便于控制其安全性。
上述增强功能有助于管理员提高企业的安全水平,极大简化与安全相关配置和设置的管理部署工作。
Windows Server 2008中的身份和访问管理
管理用户身份是当前众多企业的头等大事。人们需要通过各种类型的设备访问企业网络上的多种系统和资源。由于许多系统不能彼此通讯,因此一个人可能需要使用多种身份机制。这样,管理这些冗余的身份机制就会变得相当复杂,会浪费大量时间,并加大由于错误和用户密码管理不当而带来的风险。
Microsoft Identity and Access (IDA) 解决方案是一套旨在帮助企业管理用户身份和相关访问特权的平台技术和产品。这些解决方案更侧重安全性和易用性,因此可帮助企业提高工作效率,降低 IT 成本,并消除身份和访问管理工作的复杂性。
身份管理:自动化身份和访问管理。 信息保护:随时随地保护机密数据。
联合身份 (Federated Identities):在不同企业界限开展安全协作。 目录服务:简化用户和设备的管理。
强大的身份验证 (Strong Authentication):除了用户名和密码之外,采用最新加密标准和证书管理创新技术,进一步提高安全访问的保护级别。
Microsoft Windows Server 2008 提供全面的集成式身份和访问平台。Microsoft IDA 平台建立在Active Directory 的基础之上,能为 IT 专业人士、开发人员和信息工作者提供熟悉的界面,确保整个企业都能参与确保敏感信息安全的工作,同时又能在企业内外实现轻松协作。Windows 环境中Windows Server 2008 TDM Paper – Condensed Version
Page #17
的集成支持可进一步扩展,以便支持已具备合作伙伴解决方案的异构环境。上述平台功能可归为以下三类服务,每种服务均有其各自的几个关键组件:
目录服务
o 只读的域控制器(RODC) o 活动目录联合服务 (AD FS)
o 目录服务审核 (Directory Service Auditing)
o 基于服务的活动目录域服务 (AD DS)
信息保护
o 联合协作 o BitLocker o 联合权限管理
强大的身份验证
o Cryptography API
o V3 证书模板 o PKI
Network Access Protection
网络访问保护 (NAP) 能避免不健康的计算机访问企业网络并造成损害。NAP 用于配置并执行客户端健康要求,并可更新或修正不符合标准的计算机,然后允许其连接到企业网络上。借助 NAP,管理员可配置健康策略,定义软件要求、安全更新要求等,并为连接到企业网络的计算机进行配置设置。
NAP 可评估客户端计算机的健康状况,在发现其不符合相关标准时限制其访问网络,从而确保健康标准得以强制执行。如果客户端计算机达不到健康标准,那么客户端和服务器端的组件都会参与解决相关问题,解决问题之后计算机就能不受限制的访问网络了。如果确定客户端计算机不符合标准,那么它就不能访问网络,并需要立即修补,确保其达到健康标准要求。
NAP 强制执行健康策略的方法支持四种网络访问技术,配合 NAP 来强制执行健康策略。这四种强制执行技术为:IP协议安全 (IPsec)、802.1X 标准、用于路由和远程访问的 VPN标准,以及动态主机
配置协议 (DHCP)。
Windows 防火墙的高级安全功能
Windows Server 2008 中的具有高级安全功能的 Windows 防火墙 (Windows Firewall with Advanced Security) 是一款基于状态主机的防火墙,可根据自身配置和正在运行的应用来决定允许或阻止网络流量,从而保护网络免遭恶意用户和程序的侵害。
其新特性之一就是能够支持防火墙拦截传入传出流量。例如,网络管理员可通过设定一套例外来配置新型 Windows 防火墙,从而阻挡所有发送到特定端口的流量,如已知的病毒软件常用端口,
Windows Server 2008 TDM Paper – Condensed Version
Page #18
或阻挡发送到包含敏感和不良内容的特定地址的流量。这样,我们就能保护计算机免受病毒侵害,防止病毒在网络上扩散,并避免某台计算机中毒后把病毒扩散到网络上。
由于 Windows 防火墙的配置选项功多,我们为简化管理工作,增加了一种带有高级安全功能的Windows 防火墙,作为新式 MMC 单元管理。利用这种新式单元管理,网络管理员能远程配置客户端工作站和服务器上的 Windows 防火墙的设置(这在以前版本上不采用远程桌面连接是不可能的),从而简化了远程配置和管理工作。
在以前版本的 Windows 服务器中,Windows 防火墙和 IPsec 是分别配置的。由于 Windows 中的主机防火墙和 IPsec 可以允许或禁止流量进入网络,因此分别设置情况下可能会产生重叠或彼此矛盾的防火墙例外和IPsec规则。Windows Server 2008 中的新式 Windows 防火墙在统一的 GUI 和命令行命令中将这两种网络服务配置结合在一起。这种防火墙和 IPsec 设置的集成极大简化防火墙和 IPsec 的配置工作,也有助于避免策略重复和设置相互冲突。
BitLocker 驱动器加密
BitLocker 驱动器加密是 Windows Server 2008 中的一种新的关键安全特性,有助于保护服务器、工作站和移动计算机。Windows Vista™ 企业版和 Windows Vista™ Ultimate 版也提供该技术,可保护客户端计算机和移动电脑。BitLocker 可对磁盘驱动器的内容进行加密,避免运行并行操作系统或其他软件工具的窃贼突破文件和系统保护机制或离线查看受保护驱动器中存储的文件。
BitLocker 将系统卷加密和早期启动组件的完整性检查这两大次级功能结合在一起,极大增强数据保护性能。包括调换文件和休眠文件在内的整个系统卷都进行了加密,从而提高了分支机构中远程服务器的安全性。BitLocker 能避免因 PC 丢失、失窃或不当停用情况下造成的数据丢失或暴露威胁,还能帮助企业满足 Sarbanes-Oxley 和 HIPAA 等政府法律法规的要求,这些法律法规都要求企业就安全和数据保护采用极高的标准。
活动目录联合服务
活动目录联合服务 (AD FS) 是 Windows Server 2008 中的一种服务器角色,可以提供一种高度可扩展的安全身份访问解决方案,支持多个平台上的工作。AD FS 使网络内外基于浏览器的客户端能够访问面向因特网的受保护应用,即便在用户帐户和应用位于不同网络或企业之中的情况下也能正常工作。
在一般情况下,应用位于某个网络,而用户帐户位于另一个网络,这时用户要想访问应用的话,就必须输入二级凭据。但是,如果我们采用 AD FS,就不再需要二级帐户了。我们可利用信任关系将用户数字身份和访问权限提供给受信任的合作伙伴。在联合环境中,每个企业都持续管理自己的身份,但不同企业间可以安全地提供并接受其他机构的身份。
多家企业部署联合服务器有助于在受信任的合作伙伴企业间开展商业事务处理。如果某家企业拥有并管理可通过因特网访问的资源,那么它就可以部署 AD FS 联合服务器和支持 AD FS 的 Web 服务器,从而管理受信任合作伙伴对受保护资源的访问。 Windows Server 2008 TDM Paper – Condensed Version
Page #19
基于服务的AD DS
在 Windows Server 2008 之中,活动目录域服务 (AD DS) 是基于服务的,这就是说,我们可通过 Microsoft Management Console (MMC) 管理单元或通过命令行来终止或启动它。基于服务的 AD DS 可减少执行脱机操作所需的时间,比方说脱机碎片整理或验证方式恢复等,从而简化管理工作。此外,这种功能还能提高运行在于域控制器上其他服务的可用性,在执行 AD DS 维护期间确保这些服务继续运行。如果客户端专门绑定于被终止的域控制器,那么只需采用发现功能联系其他域控制器即可。
企业级 PKI (PKIView)
Windows Server 2008 和 Windows Vista 操作系统对 PKI 做了大量改进。Windows PKI 的所有环节都提高了可管理性,重新设计了撤销服务,并减少了登录可能遭遇的攻击面。PKI 的增强体现在以下方面:
企业级 PKI (PKIView):PKIView 本是 Microsoft Windows Server™ 2003 Resource Kit 的组成部
分,叫作 PKI 健康工具,现在则是 Windows Server 2008 中 MMC 的一个管理单元,用于分析与查看 AD CS 中发布的 CA 的健康状态与证书细节情况。 在线证书状态协议 (OCSP):如果在某些情况下,使用传统的 CRL 不是最佳解决方案的话,
那么我们可用基于 OCSP 的在线响应器来管理并分配撤销状态信息。在线响应器可在统一的计算机上配置,也可在 Online Responder Array 中配置。 网络设备注册服务 (NDES):在Windows Server 2008 之中,NDES 是 Microsoft 为实施简单证
书注册协议 (SCEP) 所采取的措施,这种通讯协议使那些运行在路由器和交换机等网络设备上、本来不能在网络上获得认证的软件可以通过 CA 的 x509 证书注册。 Web 注册:新 Web 注册控制更加安全,脚本生成更容易,也比以前版本更容易升级。 组策略和 PKI:组策略中的证书设置使管理员能对中央位置中的证书设置进行管理,支持
域中的所有计算机。
V3 证书模板
证书模板为我们在托管的活动目录环境下就企业证书颁发机构实施证书注册提供了一种实用方法。CA 管理员可定义企业级 CA 注册的证书蓝图。利用 Windows Server 2008,我们可提供更多证书模板和证书模板属性。Windows Server 2008 中新的证书模板类型称作 V3 模板。
V3 模板充分利用 Windows Server 2008 中推出的最新加密算法的优势。利用 V3 证书模板,管理员还能确保客户端和 CA 间相关通讯的安全性。Windows Server 2008 还推出了全新的默认模板,允许客户端用 Kerberos 验证来认证证书来源。
由于依赖于基础操作系统,因此 Windows Server 2008 的模板只能分配给同样运行在 Windows Server 2008 上的 CA。此外,只有 Windows Vista客户端计算机和 Windows Server 2008 计算机才能注册 V3 证书模板。
模板 修改模板所需的 Windows 版本 用于分配模板的Windows CA版本 Windows Server 2008 TDM Paper – Condensed Version
Page #20
V1 模板 n/a(因为 V1 模板是静态的) Windows 2000 企业版 (Advanced Server) Windows Server 2003 企业版 Windows Server 2008 V2 模板 Windows Server 2003 Windows XP Windows Server 2008 Windows Server 2003 企业版 Windows Server 2008 企业版 Windows Server 2008 V3 模板 Windows Server 2008
Windows Server 2008 和 Windows Vista 中的一个重要改变就是增加了下一代加密技术 (CNG) 技术。CNG 支持Suite-B算法,因此我们可采用交错和定制加密算法来进行证书加密和签名。
Windows Server 2008 中的联合权限管理 (Federated Rights Management)
协作,特别是不同企业中同事和受信任的商业伙伴间进行信息共享,构成了目前商业活动的关键组成部分。传统的边界网络安全方法不能支持颗粒化 (granular) 保护机制,难以在不同企业间协作情况下保护关键数据和信息。Microsoft 身份与访问平台提供了全面的信息保护功能,不管信息发送到什么地方,都能持续避免非授权使用,这就有助于降低风险,同时还能确保符合有关安全标准要求,避免协作中断。
Windows Server 2008 活动目录权限管理服务 (AD RMS) 是保护敏感信息的关键机制。Windows Server 2008 提供保护敏感信息的新方法,更加全面,而且管理更加简单。与 Windows Server 2003 一样,活动目录联合服务 (AD FS) 也支持企业与其他企业设置联合信任机制。用户只需一次登录到本地域中,就能通过联合身份和访问机制访问合作伙伴的域。由于 AD RMS 集成于 Windows Server 2008 中的 AD FS,因此联合信任机制允许 AD RMS 为外部用户提供适当的 RMS 许可,而无需外部用户本地登录,或者使用其自己的 AD RMS 服务器。
这种情况就称作“安全的联合协作”。从本质上说,企业管理员如果需要共享受 RMS 保护的信息,那么他就不再需要为外部用户设置单独的用户名和密码了。外部用户可以实现单一登录
(SSO),就能访问适当权限下的 RMS 保护内容,无须记住多个不同的身份密码。简而言之,不管是与合作伙伴、供应商还是客户安全共享机密信息都变得非常简单了。
Windows Server 2008 中的 AD RMS 能与许多应用和不同平台协作,支持高度集成的使用权限和加密技术,不管内容到什么地方,都能密切跟踪。我们可用这种机制来保护文档、电子数据表、内网 Web 和电子邮件等。同时这种机制也为开发人员提供了必要的工具,以可实现将 RMS 功能与不支持 RMS 的应用相结合。此外,企业还能创建定制使用权限模板,并即时启用。
Windows Server 2008 TDM Paper – Condensed Version
Page #21
下一代加密技术 (CNG)
CNG 提供一种高灵活性的加密开发平台,使 IT 专业人员能在活动目录的证书服务 (AD CS)、安全套接层 (SSL) 和 IPsec 等相关加密应用中创建、更新并使用定制加密算法。CNG 采用美国政府的Suite B加密算法,其中包括加密、数字签名、密钥交换和哈希等算法。
CNG 提供一套 API,可用来执行诸如创建、存储和检索加密密钥等基本的加密操作。它还能安装和使用更多加密供应商的算法。CNG 使企业和开发人员既能使用自己的加密算法,又能采用标准的加密算法。
CNG 支持当前的 CryptoAPI 1.0 系列算法,还支持椭圆曲线加密 (ECC) 算法。美国政府的 Suite B标准要求采用许多 ECC 算法。
只读域控制器
只读域控制器 (RODC) 是 Windows Server 2008 操作系统中的一种新型域控制器,主要设计用于部署在分支机构环境中。RODC 可降低在难以确保物理安全的远程站点(如分支机构等)中部署域控制器的风险。
除了帐户密码之外,RODC 还含有可写入域控制器中的全部 Microsoft AD DS 对象和属性。但是,客户端不能直接写入修改 RODC。由于修改不是直接写入 RODC 的,也不会产生本地可写的域控制器副本,因此合作伙伴不必删除 RODC 的改动。管理员角色分割规定,域用户可以获得下放权限成为 RODC 的本地管理员,但该用户同时却不能获得该域本身或其他域控制器的任何用户权限。
服务器和域隔离
在基于 Microsoft Windows 的网络中,管理员可对服务器和域资源进行逻辑隔离,限制对验证和授权计算机的访问。例如,我们可在现有的物理网络中创建逻辑网络,逻辑网络中的计算机共享一套安全通信要求。逻辑隔离网络中的每台计算机都必须向隔离网络中的其他计算机提供验证赁据,这样才能建立连接。
这种隔离机制避免了非授权计算机和程序不当访问相关资源。不是隔离网络中的计算机即便发出请求,也会被忽略。服务器和域隔离技术有助于保护特定的重要服务器和数据,也能保护托管计算机免受非托管或恶意计算机及用户的侵害。 我们可用两种类型的隔离技术来保护网络:
服务器隔离:采用服务器隔离机制时,特定服务器用 Ipsec 策略配置,只接受来自其他计
算机的验证通信。例如,数据库服务器经过配置可仅接受来自 Web 应用的连接。 域隔离:采用域隔离机制情况下,管理员可用活动目录域成员身份来确保作为域成员的计
算机仅接受来自其他域成员计算机的验证安全通信。这样,隔离网络中仅包含作为域组成部分的计算机。域隔离机制采用 Ipsec 策略来保护域成员(包括所有客户端和服务器计算机)之间发送的通信流量。 Windows Server 2008 TDM Paper – Condensed Version
Page #22
总结
利用 Windows Server 2008,企业可采用 NAP 等基于策略的安全特性,从而受益于前所未有的高安全性。评估和控制计算机连接的健康和安全状态,有助于大幅改善企业的安全性。Windows
Server 2008 中的新型管理界面极大简化企业中配置和维护多台服务器的管理工作,降低了管理企业网络安全性的成本。
集中式应用访问
引言
Windows Server 2008 对终端服务进行了改进和创新,它不再仅仅能够访问应用,而且允许用户在自己的桌面上并行运行远程访问 Windows 程序和本地应用,从而改进了用户体验。它还提供了用于通过 终端服务 Web Access 集中访问可用的应用的新选项。 新型终端服务组件包括:
Terminal Services RemoteApp:Terminal Services RemoteApp® 使用户可在桌面上通过全新
Remote Desktop Connection 6.0 客户端并行运行远程访问 Windows 程序与本地应用。
终端服务网关:终端服务网关 (TS Gateway) 无需虚拟专用网 (VPN) 基础架构,可安全访问
Terminal Servers 与共享桌面,从而实现了将端终服务的适用范围扩展到企业防火墙之外的更广泛领域。
Terminal Services Web Access:Terminal Services Web Access (TS Web Access) 提供了一种远
程应用解决方案,可帮助管理员简化远程应用发布工作,同时还能简化用户查找和运行远程应用过程。
单点登录(SSO):SSO提升了远程用户的使用体验,无需重复输入凭证。
终端服务
就 Windows Server 2008 而言,终端服务涵盖了增强最终用户体验的新型核心功能,在连接到 Windows Server 2008 终端服务器时发挥作用。该新核心功能包括:
Remote Desktop Connection 6.0:用户如欲访问终端服务,就应使用 Windows Server 2008
与 Windows Vista™ 配套提供的 Remote Desktop Connection 6.0。如果用户使用的是 Windows® XP 和 Windows Server 2003,既可进行免费下载。 Remote Desktop Connection Display Improvement:Remote Desktop Connection 6.0 软件为使
用更高分辨率(可达 4096 x 2048)的台式电脑增加了支持,而且支持多个监视器横线扩展,形成统一的大屏幕。Remote Desktop Connection 6.0 用户可充分利用新的高分辨率显示和新型显示格式(如16:9 或 16:10 等宽屏显示格式),而不必再拘泥于此前的 4:3 显示标准。
桌面体验:Remote Desktop Connection 6.0 能在远程计算机上复制用户客户端电脑上的桌
面。如果 Windows Server 2008 安装了桌面体验功能,那么用户就能通过远程连接使用Windows Server 2008 TDM Paper – Condensed Version
Page #23
Windows Media® Player、桌面主题与照片管理等 Windows Vista 功能。桌面体验功能与显示数据优先设置可在带宽占用程度较高的情况下确保键盘和鼠标与屏幕显示内容相同步,这就提高了连接到 Windows Server 2008 终端服务器时的最终用户使用体验。
单点登陆(SSO)
SSO 使用户只需一次性登录终端服务会话的域帐户,只需一个密码或智能卡就能访问远程服务器与应用,无需再次输入赁据。通过 SSO,用户不必每次启动远程会话都重复输入赁证,从而改善了使用体验。
Terminal Services RemoteApp
Terminal Services RemoteApp 是 Windows Server 2008 提供的一种新型远程应用呈现技术。终端服务 呈现方式可向访问应用的用户在窗口内呈现整个远程桌面,而 RemoteApp 则是 终端服务 呈现方式配合及补充。
利用 Windows Sever 2008,用户与远程应用的互动有了重大改观。现在,启动的只是远程应用而不是整个远程桌面,远程应用在客户端计算机桌面上其自身可调整大小的窗口中运行。如果程序使用通知区图标,那么图标会出现在客户端的通知区。弹出窗口会重定向到本地桌面,并重定向本地驱动器与打印机使其可用于远程程序中。许多用户可能根本不能识别桌面上运行的远程程序与本地应用的区别之处。
RemoteApp 只需维护服务器上的统一应用,不必维护整个企业中众多不同桌面上的不同安装程序,从而减少了管理员的工作量。此外,它还能改进用户体验,使远程应用与客户端电脑桌面的集成进行得更加顺利。
终端服务网关 (TS Gateway)
终端服务网关 (TS Gateway) 是终端服务的一种角色,可允许授权远程用户通过因特网连接到企业网络上的终端服务器与工作站,这样,企业就能轻松安全选定现有服务器与工作站,以确保远程工作或出差的员工无需使用 VPN 连接方便地接入这些服务器与工作站。 TS Gateway 具有以下重要优势:
支持远程用户通过因特网安全连接到企业网络上的资源,消除了 VPN 连接的复杂性问题。 充分利用 HTTPS 协议的安全性与可用性,实现了无需客户端配置即可提供终端服务。 提供全面的安全配置模型,使管理员能控制对网络上特定资源的访问。
使用户能通过不同防火墙和网络地址转换器 (NAT) 远程连接到终端服务器与远程工作站
上。
提供一种更安全的模式,使用户通过 VPN 只能访问指定的服务器与工作站,而不是整个企
业网络。
Windows Server 2008 TDM Paper – Condensed Version
Page #24
TS Gateway 为企业提供一种安全便捷的方式,使远程用户能访问网络中的服务器与工作站,同时又不必安装和配置 VPN 连接。此外,这种全面的安全功能也使管理员能够控制对特定资源的访问。
Terminal Services Web Access
Terminal Services Web Access (TS Web Access) 是一种终端服务角色,使管理员能让用户无需安装任何软件即可通过 Web 浏览器使用 Terminal Services RemoteApp 程序。凭借 TS Web Access 机制,用户可访问 Web 站点与各种可用应用的列表。用户启动所列程序之一时,终端服务会话会在基于 Windows Server 2008 的、为该应用提供主机服务的终端服务器上针对该用户自动启动。对用户来说,Web 界面可作为集中的菜单显示所有当前可用的远程应用,而运行远程应用非常简单,只需从菜单中选择程序即可。
利用 TS Web Access,可降低管理员工作量,集中统一访问有关程序。程序运行在终端服务器上,而不是运行在客户端计算机上,因此 IT 工作人员只需维护与升级一个统一的应用实例即可。
分支机构
引言
企业希望进一步贴近客户,同时动员总部员工到各个分支机构工作。随着企业分支机构的增多,分支机构的 IT 管理需求与安全问题也会相应突显。Microsoft 认识到上述企业工作的转变,急切需要新的解决方案来应对分支机构所面临问题。
由于分支机构基本没有现场办公的 IT 员工,因此安装在分支机构的服务器对 IT 管理人员来说确实提出了挑战。运行在服务器上的软件必须高效使用有限的 WAN 连接,不能占用所有带宽,避免拖慢任务关键型数据传输,也不能影响分支机构用户的应用使用体验。分支机构的安全性是个重大问题,因为我们通常很难保证分支机构中服务器的物理安全性。对于这种多数 IT 员工基本不在现场的情况而言,分支机构的服务器解决方案首先应当支持集中管理以及远程管理部署。 Microsoft 在 Windows Server 2003 R2 中就开始解决分支机构办公所面临的需求与挑战了。
Windows Server 2008 的发布包括了许多额外增强功能,可帮助管理员更好地控制分支机构,提高分支机构与企业中央网络数据的保护水平。此外,Windows Server 2008 还为 IT 专业人员提供了更高的灵活性,帮助他们解决不同企业的独特需求。
Windows Server 2008 针对分支机构提供的重要优势可分为以下三大类:
提高分支机构服务器部署与管理的效率; 降低分支机构的安全风险;
提高 WAN 通信与带宽利用的效率。
Windows Server 2008 TDM Paper – Condensed Version
Page #25
Microsoft 的分支机构解决方案和 Windows Server 2008 推出了多种新型特性与增强功能,满足分支机构办公的基本需求,可简化关键服务器角色部署工作,提高管理效率,改善安全性,并确保其架构做到性能优化,保持业务连续性。
部署与管理
管理远程站点的服务器、业务以及安全性是 IT 专业人员如终要解决的一项技术难题。Windows Server 2008 简化了分支机构中服务器的远程部署与持续的管理工作。
活动目录目录服务发生了变革,提供了增强功能,此外还推出了 RODC、BitLocker、角色分割以及服务器核心安装选择,这些具体的 Windows Server 2008 特性都有助于解决分支机构的特殊要求,并提高 IT 部门管理远程站点的效率。
只读域控制器
只读域控制器 (RODC) 是 Windows Server 2008 操作系统提供的一种新型域控制器。RODC 旨在用于部署在分支机构办公环境中,RODC 部署在分支机构等物理安全难以保证的位置环境下,可帮助企业降低相关风险。
除了帐户密码之外,RODC 还含有可写入域控制器中的全部 Microsoft AD DS 对象和属性。但是,客户端不能直接写入修改 RODC。由于修改不是直接写入 RODC 的,也不会产生本地可写的域控制器副本,因此合作伙伴不必删除 RODC 的改动。这就降低了集线器站点中桥头服务器的工作负荷,也减少了监视复制所需的工作量。
管理员角色分割定义规定,域用户可以获得下放权限成为 RODC 的本地管理员,但该用户同时却不能获得该域本身或其他域控制器的任何用户权限。这样,本地分支机构用户就可登录到RODC 执行服务器维护工作,如更新驱动程序等,同时该用户又不能访问分支机构之外的域资源。
BitLocker 驱动器加密
驱动器加密是 Windows Server 2008 中重要的新安全功能,有助于保护分支机构中的服务器。该技术包含在 Windows Vista 企业版与 Windows Vista Ultimate 版中,可帮助移动办公的用户保护其客户端计算机以及移动计算机。BitLocker 会对磁盘驱动器的内容进行加密,避免运行并行操作系统或其他软件工具的窃贼突破文件与系统保护机制或脱机查看受保护驱动器中存储的文件。 BitLocker 将系统卷加密和早期启动组件的完整性检查这两大次级功能结合在一起,极大增强数据保护性能。包括调换文件和休眠文件在内的整个系统卷都进行了加密,从而提高了分支机构中远程服务器的安全性。BitLocker 能避免因 PC 丢失、失窃或不当停用情况下造成的数据丢失或暴露威胁。这对分支机构方案非常重要,因为我们很难保证其服务器的物理安全性。
Windows Server 2008 TDM Paper – Condensed Version
Page #26
服务器核心
从 Windows Server 2008 开始,管理员就可选择 Windows Server 的最小安装方式,只安装特定的功能,而不必安装暂不需要的某些功能。服务器核心就为运行以下一种或几种服务器角色提供了适当的环境,而这也是分支机构办公环境中所常见的:
动态主机配置协议 (DHCP) 服务器; 域名系统 (DNS) 服务器; 文件服务器 AD DS;
活动目录轻量目录服务 (AD LDS); Windows Media Services; 打印管理;
Windows Server 虚拟化。
在分支机构方案中,服务器核心具有以下几项关键优势:
降低软件维护:通过小型化的服务器核心安装方式,可减少更新与修补数量,节约分支机
构服务器的 WAN 带宽使用,并缩短 IT 员工的维护工作时间。 减少攻击面:管理员只需为分支办公设置安装必需的指定服务,确保受攻击的风险降到最
低。 减少必需的重启次数,降低磁盘占用:采用最小化服务器核心安装方式可减少安装需要更
新与修补的组件,所需的重启次数也就随之减少。采取服务器核心安装方式,只需安装所需功能性必须的最少文件数量,这样也就减少了分支机构服务器上的磁盘占用率。
活动目录的增强型可管理性
Windows Server 2008 改善了活动目录域服务,简化了域服务管理,并为管理员提供了更高的灵活性,以实现更好满足分支机构需要的目的。有关管理增强功能主要包括:
更新版 AD DS 安装向导;
修改了用于管理 AD DS 的 Microsoft Management Console 组件; 为域控制器提供了新的安装选项; 更新版安装向导简化 AD DS 安装; 改进 AD DS 的界面与管理选项;
改进查找企业中域控制器的工具。
利用新式安装向导,所有相关功能性立即都归类在一起,优化工作进程,节约部署所需的时间。Windows Server 2008 的无人值守根本不需要回答任何用户界面问题,进一步简化了远程安装,同时这也支持 AD DS 服务器核心安装方式。为了确保新安装的 DNS 服务器正确工作,DNS 自动根据所选安装选项配置为 DNS 客户端设置、转发器以及根提示等。
Windows Server 2008 TDM Paper – Condensed Version
Page #27
Windows Server 2008 提供的上述 AD DS 界面改进优化了初始部署,简化了分支机构的服务器管理,从而有助于缩短 IT 管理时间。
高可用性
引言
确保任务关键型应用的正常运行是 IT 部门重要的工作任务,而高可用性是 Windows Server 2008 提供诸多增强功能的核心主题之一。Windows Server 2008 中的故障转移群集、网络负载均衡以及新型备份与恢复功能相结合,为企业提供了一款高可用性解决方案,确保所有用户随时都能使用任务关键型应用、服务和信息。
故障转移群集(Failover Clustering)
故障切换群集(此前称作服务器群集)是一组独立的计算机,它们协同工作,来大幅提高应用和服务的可用性。群集的服务器称作节点,是通过物理电缆和软件相连接的。如果某个群集节点出现故障,可通过故障转移机制,让群集中的另一个节点替代故障节点的工作,从而尽可能减小对用户服务体验的影响。IT 专业人士采用故障转移群集来提高任务关键型服务和应用的高可用性。 在 Windows Server 2008 中,故障转移群集的改进功能旨在简化群集,提高其安全性与稳定性。 Windows Server 2008 采用新型验证向导简化群集设置和配置工作,帮助用户确认系统、存储以及网络配置是否符合群集要求。新型验证向导执行以下检测:
节点测试:确认服务器运行的操作系统版本相同,软件更新相同。
网络测试:明确计划的群集网络是否符合特定的要求,如是否具备至少两个网络子网冗余
性。 存储测试:分析存储设备是否正确配置,确保所有群集节点都能访问所有共享磁盘,并满
足指定的要求。
Windows Server 2008 在群集存储设备中支持全局唯一标识符或 GUID 分区表(GPT)磁盘。与主引导记录 (MBR)磁盘不同,GPT 磁盘的分区可以大于 2TB,内置冗余性。GPT 提供比MBR 分区更多的功能,每个磁盘可支持多达 128 个分区,还支持容量高达 18 EB 的卷及主分区表和备份分区表冗余性,并支持唯一的磁盘和分区 ID。
管理界面得到改进,简化了群集管理,这样管理员就能集中精力管理应用和数据,而不再被群集问题困扰。基于任务的新型界面更加直观易用,而且提供向导支持,可以帮助管理员一步步完成以前复杂的操作。
Windows Server 2008 故障转移群集比前版服务器群集的功能更强大和性能可靠性。关键增强功能包括:
Windows Server 2008 TDM Paper – Condensed Version
Page #28
动态添加磁盘资源:可在资源在线情况下修改资源依存关系,这就意味着管理员能在不中
断使用资源应用的情况下添加更多磁盘存储空间。
提高数据存储性能和稳定性:故障转移群集与存储局域网 (SAN) 或直连存储设备 (DAS) 通
信时,使用的命令尽可能避免影响正常工作,减少了 SCSI 总线重设次数。磁盘决不会处于不受保护的状态,这样磁盘卷损坏的可能性就得以降低。故障转移群集还支持更好的磁盘发现和恢复技术。故障转移群集共支持三种类型的存储连接,分别为:串行连接 SCSI (SAS)、iSCSI 以及光纤通道 (Fibre Channel)。 磁盘维护更轻松:显著改善维护模式,这样管理员就能更轻松地运行工具来检查、修复、
备份或恢复磁盘,对群集正常工作的影响得以降低。
就管理员使用群集来提高可用性解决方案而言,Windows Server 2008 极大简化群集的部署和管理工作,提高性能和可靠性。
网络负载均衡
网络负载均衡 (NLB) 是指NLB 群集中多个服务器均衡分配网络客户端和服务器应用负载的功能。如果企业希望在一组服务器中分配客户端请求的话,那么 NLB 就是一项非常重要的技术。随着工作负载的增大,通过添加更多服务器来确保实现运行在 Internet Information Services (IIS) 上的基于 Web 应用等无状态应用的扩展是非常有用的。NLB 还允许用户在服务器出现故障时,轻松替换服务器,从而确保可靠性。Windows Server 2008 对 NLB 的增强功能主要包括:
支持 IPv6:NLB 全面支持所有通信模式下的 IPv6。
支持 NDIS 6.0:NLB 驱动程序经过完全重写,采用新型 NDIS 6.0 轻量过滤模型。NDIS 6.0保
留了早期 NDIS 版本的向后兼容性。NDIS 6.0 在设计上的增强包括:增强型驱动程序性能及可扩展性,简化的 NDIS 驱动程序模型。
WMI 增强功能:MicrosoftNLB 命名空间的 WMI 增强功能适用 IPv6 的要求,也支持多个专
用 IP 地址。 MicrosoftNLB 命名空间类别:除 IPv4 地址之外,支持 IPv6 地址。
MicrosoftNLB_NodeSetting 类:通过在 DedicatedIPAddresses 和 DedicatedNetMasks 中指定
多个专用 IP 地址来实现对其的支持 ISA 服务器提供增强型功能:ISA 服务器可为每个 NLB 节点配置多个专用 IP 地址,满足客
户端同时需要 IPv4 及 IPv6 流量的要求。IPv4 和 IPv6 客户端需要访问特定的 ISA 服务器来管理流量。ISA 还为 NLB 提供 SYN 攻击和计时器饥饿 (starvation) 通知 (如果计算机负载超重或被因特网病毒感染,就会出现这种状况)。
支持每个节点采用多个专 IP 地址:NLB 全面支持为每个节点定义超过一个专用 IP 地址
(此前仅支持每个节点一个专用 IP 地址),这样 NLB 群集就能同时为多个应用提供主机服务,满足不同应用需要不同专用 IP 地址的需求。
上述功能可支持新型业界标准,大幅提高性能,增强互用性,加强安全性及灵活性,满足应用部署和整合的需求。
Windows Server 2008 TDM Paper – Condensed Version
Page #29
Windows 备份
备份是 Windows Server 2008 面向提升服务高可用性而推出的第三大关键组件。备份功能是支持服务器所安装的备份和恢复,其采用了新型备份和恢复技术,替代了 Windows 操作系统早期版本所提供的早期备份功能。
备份功能可用于高效保护整个服务器,可靠性极高,而不必担心备份及恢复技术的复杂性。简单的向导指引用户完成自动备份计划设置,还可根据需要进行手动备份,并支持恢复某些项目备份或恢复整个磁盘卷备份。我们可用 Windows Server 2008备份功能对整个服务器或选定的某些磁盘卷进行备份。
备份使用 Volume Shadow Copy Service 和块级备份技术,可高效备份与恢复操作系统、文件、文件夹及磁盘卷等。首次完全备份后,备份可自动进行增量备份,只保存上次备份后发生变化的数据。与上代版本不同的是,管理员不再被手动完全备份和增量备份而困扰了。
Windows Server 2008 改进和简化了备份恢复工作。我们可从备份中选择需要恢复的项目进行恢复,也可恢复具体文件或文件夹下的所有内容。就增量备份而言,以前,如果某个项目存在于增量备份上,那么就必须手动从多个备份中恢复,而现在,用户只需选择具体备份日期,即可恢复指定项目。
Windows Server 2008 提供了必要的备份与恢复解决方案,来满足高可用性解决方案的需求,既能保护企业网络服务器中的数据与操作系统,又能减轻管理员的工作负担,确保任务关键型数据的适当备份,加速数据恢复。
总结
Microsoft Windows Server 2008 是新一代 Windows Server 技术的代表。Windows Server 2008 帮助 IT 专业人士最大限度地控制服务器和网络基础架构,为业务工作负荷提供了坚实的技术基础。它加强操作系统的健壮性,保护网络环境,进一步提升了安全。它还为 IT 专业人士提供高度灵活性,加速 IT 系统的部署和维护,极大简化服务器的整合与虚拟工作,使应用更为简便,并带来了直观、易用的管理工具。Windows Server 2008 为企业提供高效、丰富的 Web 使用体验,不愧为一款功能强大的 Web 应用和服务平台。Windows Server 2008 为所有企业的服务器与网络基础架构提供最佳技术后盾。
Windows Server 2008 TDM Paper – Condensed Version
Page #30
因篇幅问题不能全部显示,请点此查看更多更全内容