Windows Server 2008 正式发布已经两年有余了,不知你的企业是否已经在升级使用或仍在考虑之中?其实从Windows Server 2008(以下简称win08)正式发布那天起,不知已经有多少朋友问起我这个话题,升还是不升?有没有必要升?Win08的安全性和可靠性到底如何?Win08是否适合我的企业?……
在这里就Win08发布两周年,windows 2008 R2(以下简称R2)发布半年之际,来谈谈我眼中的win08,众所周知,在win08中增加了很多新技术及功能,如server Core、Powershell、WFAS(高级安全防火墙)、WDS(Windows Deployment Services)、IIS7.0及增强的网络与群集技术等,而R2又在Win08的基础上,增强并改进了多项功能,如DirectAccess、BranchCache、活动目录回收站、离线加域、将II7.0升级为IIS7.5、Hyper1.0升级为2.0、改善的服务账号管理、改进的活动目录管理中心等。我今天不会一一罗列这些技术,但会从几个方面来说明win08在易用性、安全性、可靠性、可管理性等方面的增强。同时会和Linux及以前版本做相应的对比,各位从中可以看到win08的真正的强大之处,从而决定你该不该升级使用。
(一)易用性:
微软操作系统的易用性,想必已经家喻户晓了,人性化的操作界面,让你很容易的完成某个任务,这一点,相对于Linux来说,微软的操作系统有着绝对的强势。现在服务器版本到了windows 2008,易用性相比之前有了大幅的提升。下面我简列几点:
安装过程更简单,人为的参与大幅降低。以前安装windows 2003的时候,一般都要在电脑前交互式操作,因为有很多设置等都需要在安装过程中完成。而win08的安装只是在前面选择好分区等就不用管了,以前的很多设置可以在安装完操作系统后通过OOBE(初始化配置任务)完成。
通过“服务器管理器”几乎可以完成所有的管理任务。以前在进行任务管理的时候,我们一般都要调用相应任务的管理控制台,如“服务”“DNS控制台”“AD用户和计算机”等,当然为了把它们集成到一起,我们往往通过MMC来完成。现在我们可以使用“服务器管理器”集中进行任务的管理了,同时还可以进行“角色或功能”的添加或删除(这里的“角色和功能”,类似于以前的“添加和删除windows组件”)。此外,在这个管理器里针对不同的任务管理还会列出相应的资源和辅助工具。呵呵,服务器管理器可是我超级喜欢的喽,当然,如果你还是喜欢独自运行任务,也未尝不可。
操作界面布局更加合理,完全集成win7的使用习惯。如果升级为R2后,使用习惯完全同于win7,宽宽的任务栏可以放置更多的任务图标,搜索框替换了运行,矩形的开始菜单,强大的右键功能等。这里不再一一赘述。
(二)安全性和可靠性
其实作为一款服务器产品,大家更关心的应该是它的安全性和可靠性。而这点朋友们无非会和Linux及以前版本的windows作比较。那我们今天就来着重关注一下。
#p#
1. Server Core
首先推出的是微软windows Server 2008中全新的一个产品:服务器核心版。它是一个没有图形的纯字符界面的操作系统,微软对它的定位非常明确:安全稳定的小型专用服务器。这个产品由于没有图形,并且建议在这个产品上跑特定的服务,故安全性相当高,一般可以考虑放在IT管理力量薄弱的分支机构,如果同时在Server Core上跑RODC(只读域控制器,后面会有讲解),那么在保证分支机构安全的前提下,又大大提高了分支机构用户的登录速度,岂不两全齐美。而且该产品对硬件依赖性相当低,完全安装还不到3G,如果你对Linux情有独钟,不妨一试,想信Server Core会让你爱不释手的。
2. 高级安全防火墙(全新的IPSec和防火墙集成)
如果你以前比较喜欢windows2003下的防火墙和IPSec的话,也许你对二者设置冲突而导致相应的IPSEC策略不能如你所愿耿耿于怀吧?!又或许你认为微软的防火墙对入站规则太薄弱了?或者你在想,IPSEC固然好,但人性化欠缺,操作过于复杂,并且不能对用户做身份验证!那我今天就告诉你,试试WFAS(高级安全防火墙)吧,它解决了你所有疑问,而且更伟大的是可以根据你计算机的连入网络不同从而可以选择不同的网络配置文件,不同的网络配置文件又可以设置不同的策略。WFAS也是我经常推荐给客户的一个管理工具,也是我特别喜欢的一个工具。
3. VPN的增强
VPN几乎已经家喻户晓了,当今有很多企业在使用,但由于以前版本的操作系统只提供PPTP和L2TP/IPSec两种类型的VPN,使用有一定的局限性,比如需要在企业防火墙上开放相应的端口,有时为了安全用户不想开放这些端口,而世面上有很多硬件VPN,走的是443端口,很方便,但用户的控制策略又相对很差或价格昂贵,让用户两难选择。现在win08中新增加了SSTP VPN,直接走443端口,结合证书,安全可靠,实在是企业用户的一个福音。
4. NAP--提高对公司内网资源的保护
现在企业对内网资源的安全非常重视,有的企业要求用户使用EFS(加密文件系统),有的要求使用BitLocker加密计算机驱动器,使用BitLocker to GO加密移动存储,有的统一启用防火墙或IPSec等等,(其实,BitLocker和BitLocker to GO这些技术在win08中都存在)这些固然重要,但却忽略了一点,接入层的安全问题,比如用户出差通过VPN拔入网络,如果那台拔号的计算机不安全,会不会把危害带进企业网络?比如客户端计算机如果不打相应的更新补丁或安装相应的杀毒软件,有没有强制的措施让该用户无法和企业网络通信?因为如果能正常通信可能会把危害带进企业网络,等这些计算机安全了,我们可以让它自动和企业网络通信。其实win08新增的NAP(网络访问保护)功能就可以帮助企业实现这些要求,而NAP又分多种类型,从而应用到不同的场合。
5. windows 2008 R2具备win7的所有安全特性
如果你对win7特别熟悉,那么恭喜你,win7的所有安全特性同样适合于windows 2008 R2,如UAC、BitLocker、EFS、多重本地组策略、AppLocker等。
6. 联合权限管理(Federated Rights Management)
Win08拥有全面集成的 Federated Rights Management Services 解决方案,使企业能方便地扩展 Rights Management 框架,确保重要信息在合作伙伴之间安全共享,避免了维护企业外用户账户而造成的额外工作负担。如果你以前用过RMS的话,肯定会对RMS的部署有所偏见,在今天的Win08中已经集成的RMS,并且部署方便快捷。同时还集成了AD FS(AD联合服务)从而实现在合作伙伴之间的安全业务往来,从而实现真正的联合身份验证。
7. RODC(只读域控制器)
活动目录,一直以来是企业集中进行资源管理的利器,因为通过活动目录我们可以方便的管理各种软硬件资源,如用户、计算机、打印机、共享文件夹等,而且还可以方便的管理分布式应用程序,如Exchange等。同时如果你企业的应用程序很多,通过活动目录还可以实现单一登录及单一身份验证。但由于活动目录中的域控制器是多主机复制模式,也就意味着所有的域控制器身份一致,都是可以写入信息的。而如果你的企业存在分支,并在分支机构部署一台可写域控制器,安全性往往让人忧虑,因为一旦这台域控制器丢失,企业的损失无法估量。这在以前没有比较好的解决方案,有时为了安全考虑,分支不放域控制器,导致用户登录的速度很慢。现在有了win08,这个问题也就解决了,RODC就是专门为分支机构设计的,解决了上述你所有问题,相信你用过后,肯定再也没有后顾之忧了。
8. 简化企业计算机的远程连接,VPN可以被淘汰了
许多企业面临的一个常见问题就是移动用户的远程连通性问题。用户出差了,想连入企业内部网,怎么办?一个最常见的解决方案就是通过VPN进行连接。即根据VPN的种类,用户可以在他们的移动计算机上安装VPN客户端软件,然后通过公共网络创建VPN拔号并连到企业内网,从而和总部连通。而这个过程的创建需要用户有相应的专业技术,复杂又麻烦!
而在win08 R2中新增加的DirectAccess的功能能够使Windows 7客户端计算机直接连接到内部网络,不需要建立复杂的VPN连接。对用户而言,在企业内部和企业外网访问内部资源没有任何差别。
9. 分支机构用户访问总部资源,带宽受限,怎么办?
现在很多企业有自己的分支机构,而分支机构的员工经常需要访问总部资源,由于分支和总部之间带宽有限,频繁的网络访问,造成网络利用率极低,分支员工抱怨颇多。
R2中新增的BranchCache功能,可以极大的提高分支机构获得总部资源的速度并有效的提高的网络带宽利用率。举例来说,当一个用户通过远程访问到共享资源后,这些共享资源会被存储到分支特定的服务器上或这台访问的客户机上,而当另外一个用户再次访问同一内容时,就可以从分支直接获得,避免了再从远程下载。
10. 客户端需要加入域,但网络经常不稳定,R2有了解决方案
众所周知,活动目录,无疑是企业管理的最好方式,但系统管理员在把客户端加入域的过程中,经常碰到网络不稳定的情况,从而造成加域失败。以前的windows2003环境没有提供相应的解决方案。
R2中新增的离线加域功能,很好的解决了这个问题,也就是说客户端在没有接入网络或根本联系不上DC的情况下,也可以成功的加入域。 呵呵,这可是以前想都不敢想的事情!
11. 活动目录中其它增强特性
颗粒化密码是一个很实用的技术,也是我很喜欢的一个技术。我们知道在以前的域环境里只允许存在一套密码策略,如果你希望为某个部门,如财务部,单独制定一套密码策略,我们只能把这个部门创建为公司的一个子域。而在win08的域环境里可以存在多套密码策略,它可以轻松的应用到用户或全局组,使用起来特别方便。
活动目录回收站功能:在win08 R2中我们想恢复被删除的对象,如用户、组、OU等,可以像恢复文件一样变得异常容易。
12.为企业提供扎实可靠的基础平台
Win08 R2的被设计成一个企业级的操作系统,能够扩展成最大的数据中心,同时确保强大的安全性和极高可用性。Win08 R2可以创建的解决方案,能够满足您最迫切的技术需求。
如支持64位的多CPU技术,理论上R2支持256个逻辑处理器内核,同时支持更大的内存,这样就允许你的应用程序平台支持更大的工作量。降低功耗,提供更高的可靠性。
如增强应用平台的安全性。以IIS7.0为例,我们可以进行自定制模块的安装,即可以只安装你所需要的模块,从而降低其它无用模块对你应用程序的影响,更大程度提高了可靠性。
Hyper-v 2.0新增的动态迁移(Live Migration )技术,使企业服务器的可靠性有了更大的保障。
总之,除了我上面所说的众多安全方面的技术外,win08在EFS、IPSec等加密方面提供了更高级的加密并且改进了审核,如目录服务支持颗粒化审核技术,同时增强了安全启动修复工具,如利用新增加的Windows Server Backup可以进行整机备份、祼机还原等,而且还支持卷影副本机制,备份效率明显较之以前提高很多。如通过组策略可以实现BitLocker企业级别应用。在以前PKI(公钥基础结构)的基础上增强了企业PKI管理等等
(三)易管理性
相信用过Linux的朋友都知道,配置一个服务器需要写很多脚本,有时错一点都不成。同时以前的windows服务器,配置相应的服务也不是很轻松,相应的人性化提醒总是不太多。而在win08里做了相当多的改进。
比如,如果你要安装一个角色或功能,安装向导会告诉你相关联的组件,从而实现一并安装。再也不用记什么安装组件的顺序了。
再如,配置一个服务器,有时只需要点几下鼠标就安装并配置好了,如在配置故障转移群集时,有一个向导,一路下去就已经配置完了。相信用过windows 2003或以前群集技术的朋友会深有体会,那时配置起来还是很麻烦的。
同时在win08里我们可以利用Powershell实现众多任务的批量管理。这个Powershell可是命令字符下的管理利器哟,喜欢命令的朋友可以在这里一展身手了。
结束语:
相信,很快,“今天,你Window 2008了吗”会成为一句新的网络流行语。