论文部分内容阅读
历经5年的精心打造,微软终于将Windows Server 2008这个重量级的新一代服务器操作系统推向了市场。体系结构的变化、大量新特性的增加、管理方式的改变,一时让我们在面对这个“庞然大物”时有些不知所措。但无论怎么改变,它始终是Windows Server,那么就让我们从熟悉的上一代服务器平台Windows Server 2003出发,通过来自功能性层面的对比,将一个新平台的轮廓逐渐展现在我们的面前。
网络基础结构
NPAS(网络策略和访问服务)角色是Windows Server 2008中用于实现VPN、远程访问、802.11无线接入等网络基础设施的角色,它包括了原来Windows Server 2003中的RRAS、IAS等组件的功能,并且添加了网络访问控制方面的特性。通过NPAS可以定义网络访问的验证机制、授权和客户端健康状态,并通过定义和强制策略实现安全的网络访问。其中的NPS(网络策略服务器)组件代替了原有Windows Server 2003中的IAS(Internet验证服务)来实现RADIUS服务器或者代理的作用。
基于NPAS服务、接入设备以及客户端的一些组件在Windows Server 2008中可以实现NAP(网络访问保护),与Windows Server 2003中的网络访问隔离控制不同,NAP是Windows Server 2008中新引入的一个网络安全解决方案,通过基于策略的网络访问控制机制,可以有效保护企业网络的访问,将由于不安全计算机接入网络而带来的安全威胁降低到最小。启用了NAP的计算机能够对自身的健康状况进行持续的检测和评估,如果计算机的健康状况不符合NPS定义的策略标准,它自动被从网络中隔离,并且启动健康修复过程。当完成修复使计算机能够达到策略要求时,又会自动地解除隔离,恢复正常的网络资源访问。因为NAP本身开放性的结构,很多的安全厂商已经提供了基NAP的产品和相关解决方案。
在Windows Server 2008中的RRAS(路由和远程访问)组件除了继续支持两种已有的VPN协议之外,还提供对第3种VPN技术,SSTP(安全套接隧道协议)协议的支持。SSTP将PPP数据包封装于HTTPS之中,通过使用易于穿透防火墙的HTTPS协议来实现VPN,从而为企业更灵活地部署VPN解决方案提供了更多的选择。
相对于Windows Server 2003,Windows Server 2008的DNS除了提供对IPv6地址的支持之外,还增加了后台区域加载、全局名称区域以及全局查询阻止列表等功能来为企业网络提供更高可用性与安全的DNS服务。
Windows Server 2008中的文件服务器角色整合了众多与文件访问、文件资源管理相关的组件。DFS(分布式文件系统)中,它提供了基于访问的枚举、群集支持和新的基于域的命名空间模式,在DFS的复制方面也提供了内容更新改进、复制性能增强、传播故障排除报告等一系列新的特性。
在Windows Server 2008中与终端服务相关的功能都被组合到了终端服务器角色,除了性能方面有了巨大的提升之外,相对Windows Server 2003的终端服务,这个角色中引入了众多的新功能:其中终端服务远程应用程序是一个增强用户体验和企业应用部署的新功能,利用它用户可以将在远程服务器上运行的应用程序与客户端本地的桌面环境无缝地结合在一起,避免了用户在远程桌面和本地应用的来回切换,同时作为管理员也可以根据需要通过各种方式(包括新提供的TS Web访问特性)快速地部署和发布用户所需要的应用程序。
新增的TS网关(终端服务网关)功能,可以让用户在任意位置方便地通过位于Internet上的一个门户来访问位于企业内部的终端服务应用。所有的过程都是通过加密的HTTPS通道来完成,这一方面保证了访问过程的安全,同时也解决了以前通过远程桌面协议(RDP)进行访问时不易穿透防火墙的问题。
高可用性和扩展性技术
故障转移群集和网络负载平衡是企业级应用实现高可用性和高扩展性所使用的主要技术,在Windows Server 2008中故障转移群集和Windows Server 2003相比有了较大的改进。首先,对群集与存储通信方式的改进提高了访问SAN(存储区域网络) 或DAS(直接附加存储)时的性能。其次,对于仲裁模式的改变融合了共享节点和多节点的模式,与单一仲裁节点群集不同,所有节点现在都可以拥有仲裁数据,其中任何一个节点失效还有多数节点可以继续进行仲裁,从而使仲裁不再是有可能导致群集失败的单一故障点。此外,对底层软件基础结构以及网络和安全性的改进也进一步提高了故障转移群集的可靠性。
除了稳定性和安全方面的提升之外,Windows Server 2008的故障转移在配置和实现方面比以往更加容易,创建一个群集的过程得到了很大的简化,在新的群集管理工具中体现了以应用为中心的特点,其界面的改进使管理员可以更专注于管理群集中的应用而不是群集本身。
NLB(网络负载平衡)在Windows Server 2008中核心驱动进行了完全的重写,基于NDIS6.0完整地支持了IPv6。而对于WMI的增强使得对NLB的管理功能也更加丰富。
目录服务
在Windows Server 2008中Active Directory域服务角色包括了与基础目录服务相关的组件,相对于Windows Server 2003目录服务的改变主要是来自于安全和管理两个方面的增强。
Windows Server 2008 中新增了一种类型的域控制器,称为RODC(只读域控制器)。在RODC中只存放有活动目录数据的只读副本和少量的凭据缓存。另外还可以根据需要单独进行服务器维护权限的委派,所以利用它为分支机构提供快速活动目录访问的同时,又可以避免由于分散部署的域控制器有可能会给活动目录基础结构带来的安全威胁。
在Windows Server 2008之前,活动目录的域是一个安全策略的边界,整个域只能使用相同的密码策略,这在有些情况下给目录管理结构的设计方面带来了一些复杂性,但现在引入的Fine-Grained Password Policies(细粒度密码策略)机制允许管理员在同一个域中可以使用多个密码策略,从而使得安全管理更加的灵活。
在对Windows Server 2003以及之前的域控制器进行维护时经常需要重新启动到维护模式,完成后再启动到正常模式,现在可重启的域服务改变了这一状况:在需要进行活动目录恢复或者其它相关的维护操作时只须把域服务停止即可,而与此同时其他的进程还能够正常运行而不受影响,在维护工作完成后重新启动域服务又可以恢复到正常的运行状态。
除此之外,新的活动目录数据库管理工具使用基于快照的技术为活动目录数据库的备份恢复提供了全面的支持,同时在进行故障处理时也更加的灵活。当然管理工具中界面的改进也为提高管理效率带来了较大的便利。
Web服务
在Windows Server 2008中作为Web服务器角色的IIS7和Windows Server 2003 中的IIS6之间的变化尤为突出,无论从功能、性能、安全性和可管理性方面都有了很大的增强。IIS7的整个体系进行了重新的设计,更为彻底地实现了模块化,它将其从核心层面细分成了40多个不同功能的模块,例如像身份验证、缓存、静态页面处理等一系列的功能都被化分成独立的组件。管理员完全可以按照应用程序的需要来组合定制安装相应的功能模块。这种结构一方面使得在性能方面得到了优化,另一方面更通过减少暴露的攻击表面积提高服务器的安全性。另外,IIS7中对于管理委派的支持,让企业中大型站点的集散管理变的更加易于实现。
在IIS7中对IIS核心结构做的另一个重大变动是通过一个新的模块化请求处理管道架构来实现可扩展性。开发人员可以通过注册一个HTTP扩展模块,在任意一个HTTP请求周期的任意位置编写代码来实现特定的功能,而这些代码既可以由本机的C 代码实现,也可以通过C#这样的托管代码来实现。
IIS7中的配置基于.Net Framework的配置存储,它可以支持使用分布式的Web.config文件配置,这样可以不再使用单一位置的metabase来存放配置信息,而是将它和ASP.NET一同放在Web.config文件中,以便将站点的配置和Web应用的配置一起存储和部署。这种灵活性使得部署和管理大规模多层次的站点更为高效,而对于Web应用的开发人员也可以更容易地配置应用部署所需的环境参数。
除此之外,IIS7还提供了强有力的侦测和故障排除工具,能够帮助快速的定位并解决出现的问题,而增强的图形化与命令行管理工具更是进一步提高了在管理方面的效率。
虚拟化
Hyper-v虚拟化技术也许是Windows Server 2008中最重要的一个新增特性,它的出现使得服务器虚拟化成为操作系统的一个组成部分,并且为企业环境中的服务器虚拟化提供了完整的支持。和之前微软其它的虚拟化技术不同,Hyper-v完全采用了全新的架构体系,借助64位硬件平台的优势,在性能、可靠性、企业级特性以及扩展能力方面都有了质的飞跃。Windows Server 2008 中的Hyper-v虚拟机运行在新的架构下,提供了对更大内存、对称多处理结构(SMP)、虚拟机快照、网络负载平衡、VLAN等诸多功能的支持。这一新技术的引入将会对企业环境中应用与服务架构的众多方面都产生重大的影响。
网络基础结构
NPAS(网络策略和访问服务)角色是Windows Server 2008中用于实现VPN、远程访问、802.11无线接入等网络基础设施的角色,它包括了原来Windows Server 2003中的RRAS、IAS等组件的功能,并且添加了网络访问控制方面的特性。通过NPAS可以定义网络访问的验证机制、授权和客户端健康状态,并通过定义和强制策略实现安全的网络访问。其中的NPS(网络策略服务器)组件代替了原有Windows Server 2003中的IAS(Internet验证服务)来实现RADIUS服务器或者代理的作用。
基于NPAS服务、接入设备以及客户端的一些组件在Windows Server 2008中可以实现NAP(网络访问保护),与Windows Server 2003中的网络访问隔离控制不同,NAP是Windows Server 2008中新引入的一个网络安全解决方案,通过基于策略的网络访问控制机制,可以有效保护企业网络的访问,将由于不安全计算机接入网络而带来的安全威胁降低到最小。启用了NAP的计算机能够对自身的健康状况进行持续的检测和评估,如果计算机的健康状况不符合NPS定义的策略标准,它自动被从网络中隔离,并且启动健康修复过程。当完成修复使计算机能够达到策略要求时,又会自动地解除隔离,恢复正常的网络资源访问。因为NAP本身开放性的结构,很多的安全厂商已经提供了基NAP的产品和相关解决方案。
在Windows Server 2008中的RRAS(路由和远程访问)组件除了继续支持两种已有的VPN协议之外,还提供对第3种VPN技术,SSTP(安全套接隧道协议)协议的支持。SSTP将PPP数据包封装于HTTPS之中,通过使用易于穿透防火墙的HTTPS协议来实现VPN,从而为企业更灵活地部署VPN解决方案提供了更多的选择。
相对于Windows Server 2003,Windows Server 2008的DNS除了提供对IPv6地址的支持之外,还增加了后台区域加载、全局名称区域以及全局查询阻止列表等功能来为企业网络提供更高可用性与安全的DNS服务。
Windows Server 2008中的文件服务器角色整合了众多与文件访问、文件资源管理相关的组件。DFS(分布式文件系统)中,它提供了基于访问的枚举、群集支持和新的基于域的命名空间模式,在DFS的复制方面也提供了内容更新改进、复制性能增强、传播故障排除报告等一系列新的特性。
在Windows Server 2008中与终端服务相关的功能都被组合到了终端服务器角色,除了性能方面有了巨大的提升之外,相对Windows Server 2003的终端服务,这个角色中引入了众多的新功能:其中终端服务远程应用程序是一个增强用户体验和企业应用部署的新功能,利用它用户可以将在远程服务器上运行的应用程序与客户端本地的桌面环境无缝地结合在一起,避免了用户在远程桌面和本地应用的来回切换,同时作为管理员也可以根据需要通过各种方式(包括新提供的TS Web访问特性)快速地部署和发布用户所需要的应用程序。
新增的TS网关(终端服务网关)功能,可以让用户在任意位置方便地通过位于Internet上的一个门户来访问位于企业内部的终端服务应用。所有的过程都是通过加密的HTTPS通道来完成,这一方面保证了访问过程的安全,同时也解决了以前通过远程桌面协议(RDP)进行访问时不易穿透防火墙的问题。
高可用性和扩展性技术
故障转移群集和网络负载平衡是企业级应用实现高可用性和高扩展性所使用的主要技术,在Windows Server 2008中故障转移群集和Windows Server 2003相比有了较大的改进。首先,对群集与存储通信方式的改进提高了访问SAN(存储区域网络) 或DAS(直接附加存储)时的性能。其次,对于仲裁模式的改变融合了共享节点和多节点的模式,与单一仲裁节点群集不同,所有节点现在都可以拥有仲裁数据,其中任何一个节点失效还有多数节点可以继续进行仲裁,从而使仲裁不再是有可能导致群集失败的单一故障点。此外,对底层软件基础结构以及网络和安全性的改进也进一步提高了故障转移群集的可靠性。
除了稳定性和安全方面的提升之外,Windows Server 2008的故障转移在配置和实现方面比以往更加容易,创建一个群集的过程得到了很大的简化,在新的群集管理工具中体现了以应用为中心的特点,其界面的改进使管理员可以更专注于管理群集中的应用而不是群集本身。
NLB(网络负载平衡)在Windows Server 2008中核心驱动进行了完全的重写,基于NDIS6.0完整地支持了IPv6。而对于WMI的增强使得对NLB的管理功能也更加丰富。
目录服务
在Windows Server 2008中Active Directory域服务角色包括了与基础目录服务相关的组件,相对于Windows Server 2003目录服务的改变主要是来自于安全和管理两个方面的增强。
Windows Server 2008 中新增了一种类型的域控制器,称为RODC(只读域控制器)。在RODC中只存放有活动目录数据的只读副本和少量的凭据缓存。另外还可以根据需要单独进行服务器维护权限的委派,所以利用它为分支机构提供快速活动目录访问的同时,又可以避免由于分散部署的域控制器有可能会给活动目录基础结构带来的安全威胁。
在Windows Server 2008之前,活动目录的域是一个安全策略的边界,整个域只能使用相同的密码策略,这在有些情况下给目录管理结构的设计方面带来了一些复杂性,但现在引入的Fine-Grained Password Policies(细粒度密码策略)机制允许管理员在同一个域中可以使用多个密码策略,从而使得安全管理更加的灵活。
在对Windows Server 2003以及之前的域控制器进行维护时经常需要重新启动到维护模式,完成后再启动到正常模式,现在可重启的域服务改变了这一状况:在需要进行活动目录恢复或者其它相关的维护操作时只须把域服务停止即可,而与此同时其他的进程还能够正常运行而不受影响,在维护工作完成后重新启动域服务又可以恢复到正常的运行状态。
除此之外,新的活动目录数据库管理工具使用基于快照的技术为活动目录数据库的备份恢复提供了全面的支持,同时在进行故障处理时也更加的灵活。当然管理工具中界面的改进也为提高管理效率带来了较大的便利。
Web服务
在Windows Server 2008中作为Web服务器角色的IIS7和Windows Server 2003 中的IIS6之间的变化尤为突出,无论从功能、性能、安全性和可管理性方面都有了很大的增强。IIS7的整个体系进行了重新的设计,更为彻底地实现了模块化,它将其从核心层面细分成了40多个不同功能的模块,例如像身份验证、缓存、静态页面处理等一系列的功能都被化分成独立的组件。管理员完全可以按照应用程序的需要来组合定制安装相应的功能模块。这种结构一方面使得在性能方面得到了优化,另一方面更通过减少暴露的攻击表面积提高服务器的安全性。另外,IIS7中对于管理委派的支持,让企业中大型站点的集散管理变的更加易于实现。
在IIS7中对IIS核心结构做的另一个重大变动是通过一个新的模块化请求处理管道架构来实现可扩展性。开发人员可以通过注册一个HTTP扩展模块,在任意一个HTTP请求周期的任意位置编写代码来实现特定的功能,而这些代码既可以由本机的C 代码实现,也可以通过C#这样的托管代码来实现。
IIS7中的配置基于.Net Framework的配置存储,它可以支持使用分布式的Web.config文件配置,这样可以不再使用单一位置的metabase来存放配置信息,而是将它和ASP.NET一同放在Web.config文件中,以便将站点的配置和Web应用的配置一起存储和部署。这种灵活性使得部署和管理大规模多层次的站点更为高效,而对于Web应用的开发人员也可以更容易地配置应用部署所需的环境参数。
除此之外,IIS7还提供了强有力的侦测和故障排除工具,能够帮助快速的定位并解决出现的问题,而增强的图形化与命令行管理工具更是进一步提高了在管理方面的效率。
虚拟化
Hyper-v虚拟化技术也许是Windows Server 2008中最重要的一个新增特性,它的出现使得服务器虚拟化成为操作系统的一个组成部分,并且为企业环境中的服务器虚拟化提供了完整的支持。和之前微软其它的虚拟化技术不同,Hyper-v完全采用了全新的架构体系,借助64位硬件平台的优势,在性能、可靠性、企业级特性以及扩展能力方面都有了质的飞跃。Windows Server 2008 中的Hyper-v虚拟机运行在新的架构下,提供了对更大内存、对称多处理结构(SMP)、虚拟机快照、网络负载平衡、VLAN等诸多功能的支持。这一新技术的引入将会对企业环境中应用与服务架构的众多方面都产生重大的影响。