Windows Server 2008 正式發(fā)布已經(jīng)兩年有余了，不知你的企業(yè)是否已經(jīng)在升級使用或仍在考慮之中？其實從Windows Server 2008（以下簡稱win08）正式發(fā)布那天起，不知已經(jīng)有多少朋友問起我這個話題，升還是不升？有沒有必要升？Win08的安全性和可靠性到底如何？Win08是否適合我的企業(yè)？……

在這里就Win08發(fā)布兩周年，windows 2008 R2（以下簡稱R2）發(fā)布半年之際，來談談我眼中的win08，眾所周知，在win08中增加了很多新技術(shù)及功能，如server Core、Powershell、WFAS（高級安全防火墻）、WDS（Windows Deployment Services)、IIS7.0及增強的網(wǎng)絡(luò)與群集技術(shù)等，而R2又在Win08的基礎(chǔ)上，增強并改進了多項功能，如DirectAccess、BranchCache、活動目錄回收站、離線加域、將II7.0升級為IIS7.5、Hyper1.0升級為2.0、改善的服務賬號管理、改進的活動目錄管理中心等。我今天不會一一羅列這些技術(shù)，但會從幾個方面來說明win08在易用性、安全性、可靠性、可管理性等方面的增強。同時會和Linux及以前版本做相應的對比，各位從中可以看到win08的真正的強大之處，從而決定你該不該升級使用。

（一）易用性：

微軟操作系統(tǒng)的易用性，想必已經(jīng)家喻戶曉了，人性化的操作界面，讓你很容易的完成某個任務，這一點，相對于Linux來說，微軟的操作系統(tǒng)有著絕對的強勢?，F(xiàn)在服務器版本到了windows 2008，易用性相比之前有了大幅的提升。下面我簡列幾點：

安裝過程更簡單，人為的參與大幅降低。以前安裝windows 2003的時候，一般都要在電腦前交互式操作，因為有很多設(shè)置等都需要在安裝過程中完成。而win08的安裝只是在前面選擇好分區(qū)等就不用管了，以前的很多設(shè)置可以在安裝完操作系統(tǒng)后通過OOBE（初始化配置任務）完成。

通過“服務器管理器”幾乎可以完成所有的管理任務。以前在進行任務管理的時候，我們一般都要調(diào)用相應任務的管理控制臺，如“服務”“DNS控制臺”“AD用戶和計算機”等，當然為了把它們集成到一起，我們往往通過MMC來完成?，F(xiàn)在我們可以使用“服務器管理器”集中進行任務的管理了，同時還可以進行“角色或功能”的添加或刪除（這里的“角色和功能”，類似于以前的“添加和刪除windows組件”）。此外，在這個管理器里針對不同的任務管理還會列出相應的資源和輔助工具。呵呵，服務器管理器可是我超級喜歡的嘍，當然，如果你還是喜歡獨自運行任務，也未嘗不可。

操作界面布局更加合理，完全集成win7的使用習慣。如果升級為R2后，使用習慣完全同于win7，寬寬的任務欄可以放置更多的任務圖標，搜索框替換了運行，矩形的開始菜單，強大的右鍵功能等。這里不再一一贅述。

（二）安全性和可靠性

其實作為一款服務器產(chǎn)品，大家更關(guān)心的應該是它的安全性和可靠性。而這點朋友們無非會和Linux及以前版本的windows作比較。那我們今天就來著重關(guān)注一下。

#p#

1. Server Core

首先推出的是微軟windows Server 2008中全新的一個產(chǎn)品：服務器核心版。它是一個沒有圖形的純字符界面的操作系統(tǒng)，微軟對它的定位非常明確：安全穩(wěn)定的小型專用服務器。這個產(chǎn)品由于沒有圖形，并且建議在這個產(chǎn)品上跑特定的服務，故安全性相當高，一般可以考慮放在IT管理力量薄弱的分支機構(gòu)，如果同時在Server Core上跑RODC（只讀域控制器，后面會有講解），那么在保證分支機構(gòu)安全的前提下，又大大提高了分支機構(gòu)用戶的登錄速度，豈不兩全齊美。而且該產(chǎn)品對硬件依賴性相當?shù)?，完全安裝還不到3G，如果你對Linux情有獨鐘，不妨一試，想信Server Core會讓你愛不釋手的。

2. 高級安全防火墻（全新的IPSec和防火墻集成）

如果你以前比較喜歡windows2003下的防火墻和IPSec的話，也許你對二者設(shè)置沖突而導致相應的IPSEC策略不能如你所愿耿耿于懷吧？！又或許你認為微軟的防火墻對入站規(guī)則太薄弱了？或者你在想，IPSEC固然好，但人性化欠缺，操作過于復雜，并且不能對用戶做身份驗證！那我今天就告訴你，試試WFAS（高級安全防火墻）吧，它解決了你所有疑問，而且更偉大的是可以根據(jù)你計算機的連入網(wǎng)絡(luò)不同從而可以選擇不同的網(wǎng)絡(luò)配置文件，不同的網(wǎng)絡(luò)配置文件又可以設(shè)置不同的策略。WFAS也是我經(jīng)常推薦給客戶的一個管理工具，也是我特別喜歡的一個工具。

3. VPN的增強

VPN幾乎已經(jīng)家喻戶曉了，當今有很多企業(yè)在使用，但由于以前版本的操作系統(tǒng)只提供PPTP和L2TP/IPSec兩種類型的VPN，使用有一定的局限性，比如需要在企業(yè)防火墻上開放相應的端口，有時為了安全用戶不想開放這些端口，而世面上有很多硬件VPN，走的是443端口，很方便，但用戶的控制策略又相對很差或價格昂貴，讓用戶兩難選擇?，F(xiàn)在win08中新增加了SSTP VPN，直接走443端口，結(jié)合證書，安全可靠，實在是企業(yè)用戶的一個福音。

4. NAP--提高對公司內(nèi)網(wǎng)資源的保護

現(xiàn)在企業(yè)對內(nèi)網(wǎng)資源的安全非常重視，有的企業(yè)要求用戶使用EFS（加密文件系統(tǒng)），有的要求使用BitLocker加密計算機驅(qū)動器，使用BitLocker to GO加密移動存儲，有的統(tǒng)一啟用防火墻或IPSec等等，（其實，BitLocker和BitLocker to GO這些技術(shù)在win08中都存在）這些固然重要，但卻忽略了一點，接入層的安全問題，比如用戶出差通過VPN拔入網(wǎng)絡(luò)，如果那臺拔號的計算機不安全，會不會把危害帶進企業(yè)網(wǎng)絡(luò)？比如客戶端計算機如果不打相應的更新補丁或安裝相應的殺毒軟件，有沒有強制的措施讓該用戶無法和企業(yè)網(wǎng)絡(luò)通信？因為如果能正常通信可能會把危害帶進企業(yè)網(wǎng)絡(luò)，等這些計算機安全了，我們可以讓它自動和企業(yè)網(wǎng)絡(luò)通信。其實win08新增的NAP（網(wǎng)絡(luò)訪問保護）功能就可以幫助企業(yè)實現(xiàn)這些要求，而NAP又分多種類型，從而應用到不同的場合。

5. windows 2008 R2具備win7的所有安全特性

如果你對win7特別熟悉，那么恭喜你，win7的所有安全特性同樣適合于windows 2008 R2，如UAC、BitLocker、EFS、多重本地組策略、AppLocker等。

6. 聯(lián)合權(quán)限管理(Federated Rights Management)

Win08擁有全面集成的 Federated Rights Management Services 解決方案，使企業(yè)能方便地擴展 Rights Management 框架，確保重要信息在合作伙伴之間安全共享，避免了維護企業(yè)外用戶賬戶而造成的額外工作負擔。如果你以前用過RMS的話，肯定會對RMS的部署有所偏見，在今天的Win08中已經(jīng)集成的RMS，并且部署方便快捷。同時還集成了AD FS（AD聯(lián)合服務）從而實現(xiàn)在合作伙伴之間的安全業(yè)務往來，從而實現(xiàn)真正的聯(lián)合身份驗證。

7. RODC（只讀域控制器）

活動目錄，一直以來是企業(yè)集中進行資源管理的利器，因為通過活動目錄我們可以方便的管理各種軟硬件資源，如用戶、計算機、打印機、共享文件夾等，而且還可以方便的管理分布式應用程序，如Exchange等。同時如果你企業(yè)的應用程序很多，通過活動目錄還可以實現(xiàn)單一登錄及單一身份驗證。但由于活動目錄中的域控制器是多主機復制模式，也就意味著所有的域控制器身份一致，都是可以寫入信息的。而如果你的企業(yè)存在分支，并在分支機構(gòu)部署一臺可寫域控制器，安全性往往讓人憂慮，因為一旦這臺域控制器丟失，企業(yè)的損失無法估量。這在以前沒有比較好的解決方案，有時為了安全考慮，分支不放域控制器，導致用戶登錄的速度很慢?，F(xiàn)在有了win08，這個問題也就解決了，RODC就是專門為分支機構(gòu)設(shè)計的，解決了上述你所有問題，相信你用過后，肯定再也沒有后顧之憂了。

8. 簡化企業(yè)計算機的遠程連接，VPN可以被淘汰了

許多企業(yè)面臨的一個常見問題就是移動用戶的遠程連通性問題。用戶出差了，想連入企業(yè)內(nèi)部網(wǎng)，怎么辦？一個最常見的解決方案就是通過VPN進行連接。即根據(jù)VPN的種類，用戶可以在他們的移動計算機上安裝VPN客戶端軟件，然后通過公共網(wǎng)絡(luò)創(chuàng)建VPN拔號并連到企業(yè)內(nèi)網(wǎng)，從而和總部連通。而這個過程的創(chuàng)建需要用戶有相應的專業(yè)技術(shù)，復雜又麻煩！

而在win08 R2中新增加的DirectAccess的功能能夠使Windows 7客戶端計算機直接連接到內(nèi)部網(wǎng)絡(luò)，不需要建立復雜的VPN連接。對用戶而言，在企業(yè)內(nèi)部和企業(yè)外網(wǎng)訪問內(nèi)部資源沒有任何差別。

9. 分支機構(gòu)用戶訪問總部資源，帶寬受限，怎么辦？

現(xiàn)在很多企業(yè)有自己的分支機構(gòu)，而分支機構(gòu)的員工經(jīng)常需要訪問總部資源，由于分支和總部之間帶寬有限，頻繁的網(wǎng)絡(luò)訪問，造成網(wǎng)絡(luò)利用率極低，分支員工抱怨頗多。

R2中新增的BranchCache功能，可以極大的提高分支機構(gòu)獲得總部資源的速度并有效的提高的網(wǎng)絡(luò)帶寬利用率。舉例來說，當一個用戶通過遠程訪問到共享資源后，這些共享資源會被存儲到分支特定的服務器上或這臺訪問的客戶機上，而當另外一個用戶再次訪問同一內(nèi)容時，就可以從分支直接獲得，避免了再從遠程下載。

10. 客戶端需要加入域，但網(wǎng)絡(luò)經(jīng)常不穩(wěn)定，R2有了解決方案

眾所周知，活動目錄，無疑是企業(yè)管理的最好方式，但系統(tǒng)管理員在把客戶端加入域的過程中，經(jīng)常碰到網(wǎng)絡(luò)不穩(wěn)定的情況，從而造成加域失敗。以前的windows2003環(huán)境沒有提供相應的解決方案。

R2中新增的離線加域功能，很好的解決了這個問題，也就是說客戶端在沒有接入網(wǎng)絡(luò)或根本聯(lián)系不上DC的情況下，也可以成功的加入域。 呵呵，這可是以前想都不敢想的事情！

11. 活動目錄中其它增強特性

顆?；艽a是一個很實用的技術(shù)，也是我很喜歡的一個技術(shù)。我們知道在以前的域環(huán)境里只允許存在一套密碼策略，如果你希望為某個部門，如財務部，單獨制定一套密碼策略，我們只能把這個部門創(chuàng)建為公司的一個子域。而在win08的域環(huán)境里可以存在多套密碼策略，它可以輕松的應用到用戶或全局組，使用起來特別方便。

活動目錄回收站功能：在win08 R2中我們想恢復被刪除的對象，如用戶、組、OU等，可以像恢復文件一樣變得異常容易。

12.為企業(yè)提供扎實可靠的基礎(chǔ)平臺

Win08 R2的被設(shè)計成一個企業(yè)級的操作系統(tǒng)，能夠擴展成最大的數(shù)據(jù)中心，同時確保強大的安全性和極高可用性。Win08 R2可以創(chuàng)建的解決方案，能夠滿足您最迫切的技術(shù)需求。

如支持64位的多CPU技術(shù)，理論上R2支持256個邏輯處理器內(nèi)核，同時支持更大的內(nèi)存，這樣就允許你的應用程序平臺支持更大的工作量。降低功耗，提供更高的可靠性。

如增強應用平臺的安全性。以IIS7.0為例，我們可以進行自定制模塊的安裝，即可以只安裝你所需要的模塊，從而降低其它無用模塊對你應用程序的影響，更大程度提高了可靠性。

Hyper-v 2.0新增的動態(tài)遷移（Live Migration ）技術(shù)，使企業(yè)服務器的可靠性有了更大的保障。

總之，除了我上面所說的眾多安全方面的技術(shù)外，win08在EFS、IPSec等加密方面提供了更高級的加密并且改進了審核，如目錄服務支持顆?；瘜徍思夹g(shù)，同時增強了安全啟動修復工具，如利用新增加的Windows Server Backup可以進行整機備份、祼機還原等，而且還支持卷影副本機制，備份效率明顯較之以前提高很多。如通過組策略可以實現(xiàn)BitLocker企業(yè)級別應用。在以前PKI（公鑰基礎(chǔ)結(jié)構(gòu)）的基礎(chǔ)上增強了企業(yè)PKI管理等等

（三）易管理性

相信用過Linux的朋友都知道，配置一個服務器需要寫很多腳本，有時錯一點都不成。同時以前的windows服務器，配置相應的服務也不是很輕松，相應的人性化提醒總是不太多。而在win08里做了相當多的改進。

比如，如果你要安裝一個角色或功能，安裝向?qū)嬖V你相關(guān)聯(lián)的組件，從而實現(xiàn)一并安裝。再也不用記什么安裝組件的順序了。

再如，配置一個服務器，有時只需要點幾下鼠標就安裝并配置好了，如在配置故障轉(zhuǎn)移群集時，有一個向?qū)?，一路下去就已?jīng)配置完了。相信用過windows 2003或以前群集技術(shù)的朋友會深有體會，那時配置起來還是很麻煩的。

同時在win08里我們可以利用Powershell實現(xiàn)眾多任務的批量管理。這個Powershell可是命令字符下的管理利器喲，喜歡命令的朋友可以在這里一展身手了。

結(jié)束語：

相信，很快，“今天，你Window 2008了嗎”會成為一句新的網(wǎng)絡(luò)流行語。