Windows Server 2008小组进行了特别的努力以改进网络性能和有效性。第一次,本地IPv4和IPv6支持同时具有了双IP层结构。如果你已经在Windows Server 2003服务器上配置了IPv4和IPv6,你就知道进行交互操作有多麻烦。
通过将TCP/IP的个部分更好地整合,IPsec通信安全得到了提高。硬件得到了更有效的利用并且加快了网络传输的速度。智能协调系统和优化算法有规律地运行以确保高效通信,同时APIs到网络协议栈更直接地显现,使得开发者更容易与网络协议栈进行沟通。让我们看看进行的改进。
TCP/IP网络协议栈的改进
我之前间接提到过,Windows Server 2008的很多改进是对TCP/IP网络协议栈的改变。其中一项改进是自动协调TCP窗口的大小:Windows Server 2008可以通过每个连接来自动调整接收窗口的大小,提高同一网络上服务器间大型数据传输的效率。微软公司引用了如下例子:在10 Gigabit以太网络上,信息包的规模可以达到6 Megabytes。
Windows Server 2003的失效网关检测法则只稍稍进行了改良:Windows Server 2008当前经常试图通过其所认为的失效网关来进行TCP传输。如果传输没有出现问题,Windows则将默认网关自动改变为之前检测的失效网关(现在是有有效网关)。同时Windows Server 2008支持从CPU到网络界面卡处理线路的脱机网络处理功能,这就解放了CPU,使其可以管理其他处理程序。
网络扩展也得到了改进。在之前的Windows Server版本上,一个网络接口卡(NIC)仅与单一物理处理器相连接。然而,有了正确的网络卡,Windows Server 2008支持扩展网络接口卡,同时伴随着多个CPU之间的传输——这一功能被称为接收端调节(receive-side scaling)。这实现了单一网络接口卡(位于高速下载服务器)可接收更大规模的通信量。这一功能尤其对多处理器服务器有利,因为通过增加处理器或者网络接口卡,而不用增加整台的服务器,通信量即可增加。
终端服务的改进
网络软件越来越流行。除了如下三个详细介绍的新功能,工作组也改进了核处理功能,这包括对Terminal Services功能的单一签署,监控范围的和对此功能的绝对支持,与Windows System Resource Manager整合以更好的监控执行情况和资源利用情况,以及实现TS和客户机的无缝连接。
Windows Server 2008有三个核心的新功能。第一个是Terminal Services RemoteApp。这一功能几年前是由Citrix MetaFrame提供的,Windows Server 2008将支持开箱即用功能来解释TS支持的服务器上直接运行的程序,但是在本地Windows复本内进行整合,增加了重新设置大小的应用软件窗口区域,Alt-Tab交换功能,远程组装系统tray icon组件等等。用户并不知道他们的应用软件被寄存在其他地方,除非响应经常比较慢,比如因为网络延时或者服务器超载。
Windows Server 2008的第二个核心功能是管理员创建.RDP文档——这是Terminal Services连接(用户读和用来给特定程序配置一个RDP成分)基于文本文件。他们也可创建.MSI文件,其最大的优点是.MSI文件传统上可轻松通过自动系统管理方式(例如Systems Management Server, Group Policy和IntelliMirror等等)进行配置。
第三个核心功能是终端服务网关(Terminal Services Gateway)。这一功能使得用户可以从英特网的任意一个网络入口进入存放于Terminal Services的应用软件,通过一个经过加密的HTTPS通道来保障其安全性。这一网关可以穿过防火墙发送连接,也可正常通过NAT转换环境——在过去这一技术是受阻的。
这样公司就不需要给远程用户配置VPN通路,目的仅为了访问Terminal Services服务器。其次,自从数据经HTTPS进行发送,几乎所有人(甚至在RDP协议受防火墙阻挡的地区)都可以访问这一部分。管理员可以建立连接授权政策——详细说明被允许通过TS网关服务器来访问TS的用户组。
最后的一项核心功能是TS网络访问功能(TS Web Access),这一功能使管理员可在网页上公开显示可实现的远程终端服务的程序(TS Remote Programs)。这一功能是和终端服务远程软件(Terminal Services RemoteApp)功能同时工作的。用户可以浏览他们想运行的应用软件列表,点击,然后就可以无缝嵌入这一应用软件——利用了终端服务远程程序(Terminal Services RemoteApp)的所有功能,然而保留了这一功能:在同一Web Access站点存有其他程序。这一服务可以分清由同一用户放置的多个程序应该被放置在相同的Terminal Services部分,这样资源管理会轻松一些,同时你甚至可以利用内置Web组件将SharePoint站内的TS Web Access进行整合。
Active Directory:只读域控制器
Windows Server 2008引入了只读域控制器理念,这一理念对于分公司和其他地区(服务器充当域控制器,不能采用保护数据中心其他服务器的办法进行物理保护)。只读域控制器有一个Active Directory的只读复本,这就实现了快速登录和快速获取验证,节省了网络资源,同时也有长期安全益处。没有入侵者可以对一个分公司快速访问域控制器(接着会被复制到公司主菜单)进行更改,因为这一域控制器是只读的。这一只读域控制器也可以缓存分公司用户提交的报告并通过用户的登录请求,但是只有一种提交方式可通过正轨的可写入的域控制器,然而,由于安全原因,这一缓存在Password Replication Policy中被设置成默认值。
安全性能的提高
从Windows被研发出来,安全问题就一直困扰着微软公司,但是在近几年,随着越来越多的人联网,越来越多的漏洞被发现。事实上,每月的系统补丁发布是涉及不够严密的结果。这些类型的缺陷是微软希望在Windows Server 2008系统中避免的。
你将看到Windows Server 2008进行了很多更新,包括提高了进入内核的层级数目,分开服务以降低缓冲器超载的可能,同时减少高风险特权层以减少受攻击层面的规模。
而操作系统的基础设计更改,Windows Server 2008组也设计了一些排除安全隐患和病毒入侵的功能,同时也设计了防止企业数据泄露和被夺取的功能。让我们看看这些功能改进:
操作系统文件保护
一个新的功能,确保了服务器导入处理的完整进行。Windows Server 2008创建了一个基于正在采用的内核文件的确认钥,这是你的系统和驱动器一个特定的硬件提取层,始于导入阶段。在这一密钥创建后,如果任何后期导入文件更改,操作系统将被告知并中止这一导入处理,这样你就可以进行问题纠正。
操作系统文件保护也扩展了每个磁盘驱动器上的二进制影像。这种模式的操作系统文件保护包括了一个文件系统过滤器驱动——可读下载在内存上的每一页,检查无用信息同时确认任何试图下载到保护过程的图像(一般来说对攻击最敏感)。这些杂乱信息被存放在一个特定的系统目录下,或者存放在一个嵌入驱动器上的一个安全文件X.509证明。如果任何测试结果都失败了,操作系统文件保护将中止这一处理过程以保证服务器安全。这一保护避免了疑似病毒的入侵。
BitLocker
驱动器加密需求是最近安全性保护的流行方式,同时在Windows Vista和Windows Server 2008中微软公司都增加了被称为BitLocker的功能。
BitLocker是设计在特定的环节——窃贼可能获取到硬盘物理通路。没有加密术,黑客就可以轻松导入另一个操作系统或者运行攻击工具并访问文件,这样就完全绕开了NTFS文件系统许可。Windows 2000 Server和Windows Server 2003中的加密文件系统(Encrypting File System)有了进一步的改进,通常扰乱了驱动器上的bit,但是进行文件加密的密钥不像想象中那样安全性强。有了BitLocker,密
有用
53
