(1)ServerCore模式
如果你是Unix和Linux管理员,可能会对在受保护环境中扮演DHCP和DNS服务器角色的、无图形界面、只需一个终端字符界面管理的服务器系统非常熟悉,但Windows也可以这么做了。作为服务器操作系统,Windows Server一直以来颇为诟病的地方就是,作为服务器,管理员可能根本不需要安装图形驱动、DirectX、ADO、OLE等东西。Server Core没有图形用户界面,可以选择安装指定功能的Windows Server最小化安装,而无须安装不必要的特性。, 专为拥有多个服务器的企业而设,企业中有些服务器仅需要执行指定任务,或在高安全需求的环境中要求对服务器的攻击为最小。
Server Core的主要优点
Server Core 为分支机构提供下列关键优点:
• 减少软件维护:Server Core仅是管理服务器运行所必需的安装,所以服务器需要更少的软件维护,如安装更新。
• 减少攻击表面:由于安装了更少文件以及在服务器上运行,因此更少的攻击面暴露在网络中,攻击表面也相应减少。此外,如果在没有安装在本地服务器上的文件中发现安全缺陷,更新也不必进行。这样就极大地减少了风险,同时增强了可靠性。
• 减少管理:由于更少文件安装在基于Server Core的服务器中,也就不存在对不需要的成份进行管理与更新。
• 所需磁盘空间更少。Server Core仅使用大约1GB的磁盘空间进行安装。
Windows Server 2008通过Server Core安装来满足分支机构中服务器的制定功能,从而减少安全风险,简化对远程服务器的管理。
(2) IIS 7.0
Windows Server 2008 可为 Web 发布提供统一平台,高度集成了 Internet Information Services 7.0 (IIS7)、ASP.NET、Windows Communication Foundation和Microsoft Windows SharePoint® Services 等。IIS7是对现有旧版本的 IIS Web 服务器的重大升级,并在集成 Web 平台技术方面发挥着关键作用。IIS7 的关键优势包括:更高效的管理特性、更高安全性以及更低的支持成本等。上述各方面特性的强势结合打造了一款统一平台,能够为 Web 解决方案提供集中而高度一致的开发和管理模型。
• 模块化设计
IIS 7.0核心Web服务器包括对IIS 6.0所做的一些基本变更。在IIS以前的版本中,所有的功能都是内置式的功能。IIS 7.0则由40多个独立的模块组成。其中只有一半的模块是默认设置,并且管理员可以选择安装或移除任何模块。这种模块化的设计方法可以使管理员只安装他们所需要的选项,因而减少了需要进行管理及更新的内容,从而节省时间。
在处理方式上也有一些变化。无论是本机代码及托管代码都通过相同的请求管道进行处理。新工作者处理Web核心还提供在请求管道中的所有通知事件的访问。高水平的集成能够让现有的ASP.NET功能(如表格认证或URL认证)适用于所有类型的网络内容。
这些改进由于避免了不必要软件的运行而使受攻击面减少,使延展性获得提高,并通过创建管理代码模块增强了对扩展的IIS7.0核心功能的支持。
• 分布式配置
IIS 6的集中配置存储,即metabase已经成为了过去。IIS 7.0所具备的一个新特征就是基于分布式的XML配置文件层级的分步式配置系统。分布式配置使IIS配置能够存储在web.config文件当中,从而使Xcopy更加易于在多个网络服务器之间进行应用复制,而从避免了高成本以及易错的复制,并免去了手动的同步化操作,以及额外的配置任务。这使站点或应用配置更加容易从一台计算机复制到另一台计算机,应用也更容易从开发步入到测试阶段,并最终进入到生产阶段。Xcopy部署意味着应用开发人员无需机器管理员的参与便能够对他们的应用配置进行修改,这样便减少了整个TCO。轻松的Xcopy部署还意味着机器管理员可以方便地在机器之间移动站点。
(3) 终端服务的改进和增强
其中新增加的三个特性值得企业高度关注:
第一个特性是终端服务远程应用(Terminal Services RemoteApp),也就是能够在支持终端服务的机器上定义将要运行的程序。用户不需要知道他们现在使用的应用程序是在哪台机器上运行的,除非是出现了明显的、因网络延时或者服务器过载而引起的较长延时。
第二个特性是终端服务网关(Terminal Services Gateway),也就是允许用户通过任何一个Web门户网站访问终端服务的应用程序,其传输方式是通过一种加密过的https通道。而且,该网关能够通过防火墙发送连接,并完成NAT转换。
第三个特性是终端服务Web访问(TS Web Access),这个特性能够让服务器管理员公开地在Web页面上发布可用的终端服务远程程序。用户能够在网页上浏览他们希望运行的应用程序,点击之后便能把它嵌入到自己的应用程序中来。
(4)Hyper-V技术
虚拟服务器技术, Windows Server 2008虚拟机是基于平台底层来实现的, 2008虚拟机主要设计意图是打算在一台很多芯片和很大内存的类似小型机级别的服务器上,同时提供几十台不同用途的虚拟服务器。这样从根本上解决企业网络信息化对各种服务器的需求,并降低管理成本和总体投入成本。以前你的企业可能需要:VPN路由服务器、数据库服务器、DHCP服务器、AD服务器、Exchange服务器等等多台电脑,而且你为了预留一些负载潜力而购买远高于目前需求的服务器设备。Windows Server 2008时代就不需要这么做了,服务器你可以先买一台,然后里面实际运行了3、4个虚拟服务器,将来需要扩容了,简单的再加一台服务器,把几个虚拟机导出,再导入新的服务器,极少的时间,你就扩容完毕了。虚拟服务器方面,Windows Server 2008真的开启了一个新的时代。事实上,虚拟化的思想不仅仅在于消除机器的重叠和节省成本,还在于与未虚拟化的服务器相比,在服务上有更高的可用性。在这种背景下,Hyper-V还支持多客户机的集群。其可以将多个运行于Hyper-V组件的物理机组成集群,这样万一主机发生某种故障,虚拟化实例可以将故障转移到另一个主机上;还可以将虚拟机从一个物理主机移植到另一个物理主机,而不会发生停机,并且简化服务、计划和重组的过程,从而大大地减少了服务所带来的负面影响。
在Windows Server 2008 R2中,微软的服务器虚拟化工具Hyper-v 得到增强,新增了Live Migration(实时迁移)技术,在几毫秒就可以实现对物理主机和虚拟机之间的实时迁移,而不会造成服务或用户链接的中断。数据中心也实现了真正的虚拟化,从很大程度上脱离了对软件和硬件的管理,所有的操作都在单一的操作系统框架内完成。Hyper-V 2.0虚拟机对逻辑处理器和内存支持上得到增强,目前的Hyper-V 可以支持24个逻辑处理器,而Hyper-V 2.0中每个虚拟机可以支持32个逻辑处理器和最高64GB 的内存。
(5)网络访问保护 (NAP)
简单的说,网络访问保护(NAP) 可以防止不健康的计算机访问企业网络并危及网络的安全。大多数企业可创建网络策略,用以指定部署于网络上软硬件类型。这样策略通常包括客户端计算机在连接到网络之前如何配置的规则。例如,许多企业要求客户端计算机必须运行安装有最近更新的防病毒软件,也就是说客户端计算机必须安装一个软件防火墙,且在连接到企业网络之前启用将该软件防火墙。根据企业网络策略进行配置的客户端计算机可以看作是与健康策略相符合的,而没有根据企业网络策略进行配置的计算机可以看作是不符合与健康策略的。 利用NAP 来配置、强制客户端的健康请求,并在连接到企业网络之前,更新或者纠正不符合的客户端计算机。NAP 也提供了一套 API,允许企业而不是微软将他们的软件整合到NAP平台。使用NAP APIS,软件开发商和供应商可提供端到端解决方案,其可验证健康的客户端并及时纠正不符合的客户端。
(6) 可重新启动的活动目录域服务(AD DS)
管理员可以使用Microsoft管理控制台单元或者命令行,停止并重启Windows Server 2008中活动目录域服务(AD DS)。以前要维护域控服务器可真是头痛的事情,即便是有辅助域控制器,但从没有一次能顺利完成维修的,一停机肯定有电话过来。现在可重新启动的活动目录域服务(AD DS),可重启的AD DS减少了执行某些操作的时间,如更新服务器。管理员可以停止AD DS以便执行任务,如脱机对活动目录数据库进行磁盘碎片整理,而无须重新启动域控制器。其他运行在服务器上以及不依赖于AD DS进行查找的服务,如动态主机配置协议(Dynamic Host Configuration Protocol ,DHCP),在AD DS关闭时依然可以满足客户请求。
(7) Read-Only Domain Controller (RODC)
RODC这是 Windows Server 2008 操作系统中的一种新型域控制器配置,使组织能够在域控制器安全性无法保证的位置轻松部署域控制器。RODC 维护给定域中 Active Directory 目录服务数据库的只读副本。在此版本之前,当用户必须使用域控制器进行身份验证,但其所在的分支办公室无法为域控制器提供足够物理安全性时,必须通过广域网 (WAN) 进行身份验证。在很多情况下,这不是一个有效的解决方案。通过将只读 Active Directory 数据库副本放置在更接近分支办公室用户的地方,这些用户可以更快地登录,并能更有效地访问网络上的身份验证资源,即使身处没有足够物理安全性来部署传统域控制器的环境。