今天,你Window 2008了嗎?
---高金良
Windows Server 2008 正式發佈已經兩年有餘了,不知你的企業是否已經在升級使用或仍在考慮之中?其實從Windows Server 2008(以下簡稱win08)正式發佈那天起,不知已經有多少朋友問起我這個話題,升還是不升?有沒有必要升?Win08的安全性和可靠性到底如何?Win08是否適合我的企業?……
在這裏就Win08發佈兩週年,windows 2008 R2(以下簡稱R2)發佈半年之際,來談談我眼中的win08,衆所周知,在win08中增加了很多新技術及功能,如server Core、Powershell、WFAS(高級安全防火牆)、WDS(Windows Deployment Services)、IIS7.0及增強的網絡與羣集技術等,而R2又在Win08的基礎上,增強並改進了多項功能,如DirectAccess、BranchCache、活動目錄回收站、離線加域、將II7.0升級爲IIS7.5、Hyper1.0升級爲2.0、改善的服務賬號管理、改進的活動目錄管理中心等。我今天不會一一羅列這些技術,但會從幾個方面來說明win08在易用性、安全性、可靠性、可管理性等方面的增強。同時會和Linux及以前版本做相應的對比,各位從中可以看到win08的真正的強大之處,從而決定你該不該升級使用。
(一)易用性:
微軟操作系統的易用性,想必已經家喻戶曉了,人性化的操作界面,讓你很容易的完成某個任務,這一點,相對於Linux來說,微軟的操作系統有着絕對的強勢。現在服務器版本到了windows 2008,易用性相比之前有了大幅的提升。下面我簡列幾點:
1. 安裝過程更簡單,人爲的參與大幅降低。
以前安裝windows 2003的時候,一般都要在電腦前交互式操作,因爲有很多設置等都需要在安裝過程中完成。而win08的安裝只是在前面選擇好分區等就不用管了,以前的很多設置可以在安裝完操作系統後通過OOBE(初始化配置任務)完成。
2. 通過“服務器管理器”幾乎可以完成所有的管理任務。
以前在進行任務管理的時候,我們一般都要調用相應任務的管理控制檯,如“服務”“DNS控制檯”“AD用戶和計算機”等,當然爲了把它們集成到一起,我們往往通過MMC來完成。現在我們可以使用“服務器管理器”集中進行任務的管理了,同時還可以進行“角色或功能”的添加或刪除(這裏的“角色和功能”,類似於以前的“添加和刪除windows組件”)。此外,在這個管理器裏針對不同的任務管理還會列出相應的資源和輔助工具。呵呵,服務器管理器可是我超級喜歡的嘍,當然,如果你還是喜歡獨自運行任務,也未嘗不可。
3. 操作界面佈局更加合理,完全集成win7的使用習慣。
如果升級爲R2後,使用習慣完全同於win7,寬寬的任務欄可以放置更多的任務圖標,搜索框替換了運行,矩形的開始菜單,強大的右鍵功能等。這裏不再一一贅述。
4. ……
(二)安全性和可靠性
其實作爲一款服務器產品,大家更關心的應該是它的安全性和可靠性。而這點朋友們無非會和Linux及以前版本的windows作比較。那我們今天就來着重關注一下。
1. Server Core
首先推出的是微軟windows Server 2008中全新的一個產品:服務器核心版。它是一個沒有圖形的純字符界面的操作系統,微軟對它的定位非常明確:安全穩定的小型專用服務器。這個產品由於沒有圖形,並且建議在這個產品上跑特定的服務,故安全性相當高,一般可以考慮放在IT管理力量薄弱的分支機構,如果同時在Server Core上跑RODC(只讀域控制器,後面會有講解),那麼在保證分支機構安全的前提下,又大大提高了分支機構用戶的登錄速度,豈不兩全齊美。而且該產品對硬件依賴性相當低,完全安裝還不到3G,如果你對Linux情有獨鍾,不妨一試,想信Server Core會讓你愛不釋手的。
2. 高級安全防火牆(全新的IPSec和防火牆集成)
如果你以前比較喜歡windows2003下的防火牆和IPSec的話,也許你對二者設置衝突而導致相應的IPSEC策略不能如你所願耿耿於懷吧?!又或許你認爲微軟的防火牆對入站規則太薄弱了?或者你在想,IPSEC固然好,但人性化欠缺,操作過於複雜,並且不能對用戶做身份驗證!那我今天就告訴你,試試WFAS(高級安全防火牆)吧,它解決了你所有疑問,而且更偉大的是可以根據你計算機的連入網絡不同從而可以選擇不同的網絡配置文件,不同的網絡配置文件又可以設置不同的策略。WFAS也是我經常推薦給客戶的一個管理工具,也是我特別喜歡的一個工具。
3. ***的增強
***幾乎已經家喻戶曉了,當今有很多企業在使用,但由於以前版本的操作系統只提供PPTP和L2TP/IPSec兩種類型的***,使用有一定的侷限性,比如需要在企業防火牆上開放相應的端口,有時爲了安全用戶不想開放這些端口,而世面上有很多硬件***,走的是443端口,很方便,但用戶的控制策略又相對很差或價格昂貴,讓用戶兩難選擇。現在win08中新增加了SSTP ***,直接走443端口,結合證書,安全可靠,實在是企業用戶的一個福音。
4. NAP--提高對公司內網資源的保護
現在企業對內網資源的安全非常重視,有的企業要求用戶使用EFS(加密文件系統),有的要求使用BitLocker加密計算機驅動器,使用BitLocker to GO加密移動存儲,有的統一啓用防火牆或IPSec等等,(其實,BitLocker和BitLocker to GO這些技術在win08中都存在)這些固然重要,但卻忽略了一點,接入層的安全問題,比如用戶出差通過***拔入網絡,如果那臺拔號的計算機不安全,會不會把危害帶進企業網絡?比如客戶端計算機如果不打相應的更新補丁或安裝相應的殺毒軟件,有沒有強制的措施讓該用戶無法和企業網絡通信?因爲如果能正常通信可能會把危害帶進企業網絡,等這些計算機安全了,我們可以讓它自動和企業網絡通信。其實win08新增的NAP(網絡訪問保護)功能就可以幫助企業實現這些要求,而NAP又分多種類型,從而應用到不同的場合。
5. windows 2008 R2具備win7的所有安全特性
如果你對win7特別熟悉,那麼恭喜你,win7的所有安全特性同樣適合於windows 2008 R2,如UAC、BitLocker、EFS、多重本地組策略、AppLocker等。
6. 聯合權限管理(Federated Rights Management)
Win08擁有全面集成的 Federated Rights Management Services 解決方案,使企業能方便地擴展 Rights Management 框架,確保重要信息在合作伙伴之間安全共享,避免了維護企業外用戶賬戶而造成的額外工作負擔。如果你以前用過RMS的話,肯定會對RMS的部署有所偏見,在今天的Win08中已經集成的RMS,並且部署方便快捷。同時還集成了AD FS(AD聯合服務)從而實現在合作伙伴之間的安全業務往來,從而實現真正的聯合身份驗證。
7. RODC(只讀域控制器)
活動目錄,一直以來是企業集中進行資源管理的利器,因爲通過活動目錄我們可以方便的管理各種軟硬件資源,如用戶、計算機、打印機、共享文件夾等,而且還可以方便的管理分佈式應用程序,如Exchange等。同時如果你企業的應用程序很多,通過活動目錄還可以實現單一登錄及單一身份驗證。但由於活動目錄中的域控制器是多主機複製模式,也就意味着所有的域控制器身份一致,都是可以寫入信息的。而如果你的企業存在分支,並在分支機構部署一臺可寫域控制器,安全性往往讓人憂慮,因爲一旦這臺域控制器丟失,企業的損失無法估量。這在以前沒有比較好的解決方案,有時爲了安全考慮,分支不放域控制器,導致用戶登錄的速度很慢。現在有了win08,這個問題也就解決了,RODC就是專門爲分支機構設計的,解決了上述你所有問題,相信你用過後,肯定再也沒有後顧之憂了。
8. 簡化企業計算機的遠程連接,***可以被淘汰了
許多企業面臨的一個常見問題就是移動用戶的遠程連通性問題。用戶出差了,想連入企業內部網,怎麼辦?一個最常見的解決方案就是通過***進行連接。即根據***的種類,用戶可以在他們的移動計算機上安裝***客戶端軟件,然後通過公共網絡創建***拔號並連到企業內網,從而和總部連通。而這個過程的創建需要用戶有相應的專業技術,複雜又麻煩!
而在win08 R2中新增加的DirectAccess的功能能夠使Windows 7客戶端計算機直接連接到內部網絡,不需要建立複雜的***連接。對用戶而言,在企業內部和企業外網訪問內部資源沒有任何差別。
9. 分支機構用戶訪問總部資源,帶寬受限,怎麼辦?
現在很多企業有自己的分支機構,而分支機構的員工經常需要訪問總部資源,由於分支和總部之間帶寬有限,頻繁的網絡訪問,造成網絡利用率極低,分支員工抱怨頗多。
R2中新增的BranchCache功能,可以極大的提高分支機構獲得總部資源的速度並有效的提高的網絡帶寬利用率。舉例來說,當一個用戶通過遠程訪問到共享資源後,這些共享資源會被存儲到分支特定的服務器上或這臺訪問的客戶機上,而當另外一個用戶再次訪問同一內容時,就可以從分支直接獲得,避免了再從遠程下載。
10. 客戶端需要加入域,但網絡經常不穩定,R2有了解決方案
衆所周知,活動目錄,無疑是企業管理的最好方式,但系統管理員在把客戶端加入域的過程中,經常碰到網絡不穩定的情況,從而造成加域失敗。以前的windows2003環境沒有提供相應的解決方案。
R2中新增的離線加域功能,很好的解決了這個問題,也就是說客戶端在沒有接入網絡或根本聯繫不上DC的情況下,也可以成功的加入域。 呵呵,這可是以前想都不敢想的事情!
11. 活動目錄中其它增強特性
顆粒化密碼是一個很實用的技術,也是我很喜歡的一個技術。我們知道在以前的域環境裏只允許存在一套密碼策略,如果你希望爲某個部門,如財務部,單獨制定一套密碼策略,我們只能把這個部門創建爲公司的一個子域。而在win08的域環境裏可以存在多套密碼策略,它可以輕鬆的應用到用戶或全局組,使用起來特別方便。
活動目錄回收站功能:在win08 R2中我們想恢復被刪除的對象,如用戶、組、OU等,可以像恢復文件一樣變得異常容易。
12.爲企業提供紮實可靠的基礎平臺
Win08 R2的被設計成一個企業級的操作系統,能夠擴展成最大的數據中心,同時確保強大的安全性和極高可用性。Win08 R2可以創建的解決方案,能夠滿足您最迫切的技術需求。
如支持64位的多CPU技術,理論上R2支持256個邏輯處理器內核,同時支持更大的內存,這樣就允許你的應用程序平臺支持更大的工作量。降低功耗,提供更高的可靠性。
如增強應用平臺的安全性。以IIS7.0爲例,我們可以進行自定製模塊的安裝,即可以只安裝你所需要的模塊,從而降低其它無用模塊對你應用程序的影響,更大程度提高了可靠性。
Hyper-v 2.0新增的動態遷移(Live Migration )技術,使企業服務器的可靠性有了更大的保障。
總之,除了我上面所說的衆多安全方面的技術外,win08在EFS、IPSec等加密方面提供了更高級的加密並且改進了審覈,如目錄服務支持顆粒化審核技術,同時增強了安全啓動修復工具,如利用新增加的Windows Server Backup可以進行整機備份、祼機還原等,而且還支持卷影副本機制,備份效率明顯較之以前提高很多。如通過組策略可以實現BitLocker企業級別應用。在以前PKI(公鑰基礎結構)的基礎上增強了企業PKI管理等等
(三)易管理性
相信用過Linux的朋友都知道,配置一個服務器需要寫很多腳本,有時錯一點都不成。同時以前的windows服務器,配置相應的服務也不是很輕鬆,相應的人性化提醒總是不太多。而在win08裏做了相當多的改進。
比如,如果你要安裝一個角色或功能,安裝嚮導會告訴你相關聯的組件,從而實現一併安裝。再也不用記什麼安裝組件的順序了。
再如,配置一個服務器,有時只需要點幾下鼠標就安裝並配置好了,如在配置故障轉移羣集時,有一個嚮導,一路下去就已經配置完了。相信用過windows 2003或以前羣集技術的朋友會深有體會,那時配置起來還是很麻煩的。
同時在win08裏我們可以利用Powershell實現衆多任務的批量管理。這個Powershell可是命令字符下的管理利器喲,喜歡命令的朋友可以在這裏一展身手了。
結束語:
相信,很快,“今天,你Window 2008了嗎”會成爲一句新的網絡流行語。