前言：自 Microsoft® Windows Server® 2003 推出后，計算環(huán)境已發(fā)生天翻地覆的變化。Windows Server® 2008 引入了眾多新功能并擴展了 Windows Server 2003 的功能。Windows Server 2008 旨在滿足各種新的安全挑戰(zhàn)，充分發(fā)揮新技術優(yōu)勢并提供便于輕松管理的穩(wěn)健系統(tǒng)。為幫助企業(yè)應對挑戰(zhàn)、簡化技術人員的系統(tǒng)管理工作，Windows Server 2008 引入了眾多 Windows Server 2003 R2 不具備的新功能與新技術。Windows Server 2008 在在安全性和高可用性方面為企業(yè)和 IT 工作人員帶來各種豐富優(yōu)勢。
 

安全性：通過改進眾多現有功能與增加新功能，Windows Server 2008 的安全性顯著提高。網絡訪問保護 (NAP)、Windows® BitLocker™ 驅動器加密、服務器核心、下一代加密技術(CNG)、只讀域控制器(RODC) 以及具備高級安全性的 Windows防火墻等功能提供了安全增強。
 

高可用性：Windows Server 2008 針對企業(yè)各種工作負載與應用要求提供可靠的功能強大的 Windows 平臺，并為管理員提供強大的新腳本、管理、配置與部署功能，其中包括： Windows Server 2008 的Server Manager、Windows PowerShell 以及 Windows Deployment Service

提高安全性

由于改進了眾多現有功能并增加了新功能，Windows Server 2008 的安全性得以顯著增強。Windows Server 2008 僅安裝服務器執(zhí)行角色所需要的服務。增強的審計、Windows® BitLocker™驅動器加密以及事件轉發(fā)正是有助于企業(yè)遵守當前嚴格 IT 合規(guī)標準的部分技術。企業(yè)能確保數據安全并控制對 Windows Server 2008 的網絡訪問。網絡訪問保護 (NAP) 和網絡策略與訪問服務 (NPAS) 角色有助于調控網絡訪問，而具備高級安全性的 Windows防火墻、只讀域控制器 (RODC)、BitLocker驅動器加密及下一代加密技術(CNG) 功能則可有助于確保數據的安全性。Windows Server 2008 Active Directory® Rights Management Services (AD RMS) — 曾經的 Windows RMS — 是保護敏感信息的關鍵功能。
網絡訪問保護 (NAP)

當今，企業(yè)擁有眾多需在不同地點間使用移動計算機（如：膝上型電腦）的移動用戶或需要在家中接入網絡的用戶?，F場攜帶或在不受控制環(huán)境中聯網的計算機會產生傳播病毒或造成違規(guī)的風險。由于可以保證聯網的所有計算機都符合企業(yè)的健康系統(tǒng)策略，因此網絡訪問保護 (NAP) 可幫助企業(yè)保護其網絡免受上述危險。
NAP 是 Windows Server 2008、Windows® XP SP3 和 Windows Vista® 包含的一系列新的操作系統(tǒng)組件，其提供一個策略執(zhí)行平臺，有助于確保專用網中的客戶端計算機符合管理員定義的系統(tǒng)健康要求。在系統(tǒng)健康方面執(zhí)行自動檢查，如：核實是否安裝了最新的防病毒軟件以及操作系統(tǒng)是否按要求更新。

NAP 通過監(jiān)控和評估試圖聯網或在網絡中通信的客戶端計算機的健康狀況來實施健康要求。認定不符合健康要求的客戶端計算機會被安置于受限網絡，該網絡包含用于修補和更新客戶端系統(tǒng)、使其符合健康策略的資源。管理員和技術人員可利用 NAP 完成以下任務：
•確保專用網的客戶端計算機符合管理員定義的系統(tǒng)健康要求；
•通過四種強制類型連接對漫游移動計算機實施健康要求，這四種類型包括 802.1X 驗證設備、IPsec（如：服務器和域隔離）、VPN 網關以及 DHCP；
•通過撥號上網或 VPN 方式檢驗不受管理的家用電腦的健康狀況；
•驗證來訪者和合作伙伴移動計算機的健康狀況；
•針對不符合系統(tǒng)健康要求的計算機強制執(zhí)行阻止訪問策略，如：禁止訪問、限制訪問或延遲執(zhí)行/無限制的訪問；
•啟用持續(xù)網絡與客戶端健康監(jiān)控。
NAP 還包含一個應用程序接口 (API)，供開發(fā)商和廠商開發(fā)用于網絡策略驗證、持續(xù)合規(guī)性和網絡隔離的自有組件。許多廠商已參與對 NAP 的支持，包括思科和 ICG-TNC。 

Windows Server 2003 支持網絡訪問隔離控制功能，其允許管理員隔離 VPN 和遠程訪問服務 (RAS)用戶。Windows Server 2008 的全新網絡訪問保護(NAP)功能是建立在上述功能基礎上的，同時還增加了豐富的集中式管理、基于策略的控制功能，且具有真正的網絡隔離和系統(tǒng)補救功能。這些全新功能同時適用于遠程用戶和本地用戶。企業(yè)可利用 NAP 來確保所有聯網計算機符合企業(yè)的策略要求，從而保護其網絡免受病毒與其他惡意軟件侵害。NAP 功能限制不符合預定義策略的計算機訪問網絡，同時提供使違規(guī)計算機恢復健康狀態(tài)的補救服務。另外，它還提供持續(xù)合規(guī)性檢查和補救違規(guī)計算機。

網絡策略與訪問服務 (NPAS) 角色

Windows Server 2008 的網絡策略與訪問服務 (NPAS) 提供使企業(yè)能夠部署 VPN、撥號上網和 802.11 保護無線接入的技術。管理員可利用網絡策略服務器(NPS) 定義和執(zhí)行有關網絡訪問驗證、授權和客戶端健康的策略。IT 工作人員可以把 NPS部署為遠程用戶撥號認證服務(RADIUS) 服務器和代理以及網絡訪問保護(NAP) 策略服務器。
路由與遠程訪問 (RRAS) 策略存在于 Windows Server 早期的版本中。RRAS 策略允許管理員設置讓哪一級用戶通過 RRAS 和 VPN 接入網絡。管理員還可以控制安全套接字隧道協(xié)議(SSTP) 的設置以及配置隔離。Windows Server 2008 建立在上述功能基礎上，可為連接到網絡的任一計算機提供此類基于策略的控制。
網絡策略與訪問服務 (NPAS) 替代了路由與遠程訪問 (RRAS) 策略。NPAS 為用戶提供本地及遠程網絡連接，連接網絡分段，并為網絡管理員提供集中管理網絡訪問與客戶端健康策略的更好方式。企業(yè)還可以部署RADIUS 服務器和代理服務器，并利用 Connection Manager Administration Kit 創(chuàng)建允許客戶端計算機接入網絡的遠程訪問配置文件。

服務器核心（Server Core）

采用 Windows Server 2008，管理員可選擇安裝一個最小環(huán)境，以便降低管理工作量、控制安全風險并減少服務器角色的受攻擊面。這種安裝稱為 Server Core 安裝。利用 Server Core 還可以減少管理員在服務器維護與管理方面花費的時間。Server Core 安裝為運行以下服務器角色提供一個優(yōu)化環(huán)境：
Active Directory目錄服務(AD DS)
Active Directory 輕量級目錄服務(AD LDS)
DHCP 服務器
DNS 服務器
文件服務和打印服務器
Windows Media® Services
終端服務（輕松打印、TS RemoteApp 和 TS Gateway）
IIS 7.0（有某些限制）

Windows Server 2008 內置 Hyper-V 虛擬化

Server Core 是 Windows Server 2008 的新增功能。利用 Server Core 可以提高安全性，縮小操作系統(tǒng)的規(guī)模，減少維護并減小服務器受攻擊面。由于 Server Core 安裝只安裝指定角色（如：DHCP 服務器、文件服務、打印服務器、DNS 服務器、AD LDS 或 AD DS）所需要的組件，因此所需要的服務少于 Windows Server 2008 完整安裝。 Server Core 的安裝無需完整的 Windows圖形用戶界面，并且可以利用 Microsoft管理控制臺(MMC) 管理單元進行遠程管理或者利用命令行工具進行本地管理。 Server Core 需要的磁盤和內存更小，這可以提高性能，尤其是在虛擬環(huán)境或者在老硬件中。 Server Core 安裝選項適用于專用基礎架構、遠程基礎架構以及為靜態(tài)頁面提供服務的 Web 服務器。
Hyper-V 與 Server Core 是一個功能強大的組合。在 Server Core 主機操作系統(tǒng)中運行的 Hyper-V 需要更少的修補，從而可以提高虛擬主機的正常運行時間。用作賓客操作系統(tǒng)的 Server Core 可以產生乘數效應好處。 Server Core 對于執(zhí)行集中基礎架構角色的虛擬機而言是一種更清潔、開銷更低的系統(tǒng)，這樣使 IT專業(yè)人員能夠提高 Hyper-V 服務器的 VM 密度。

具備高級安全性的 Windows Firewall

具備高級安全性的 Windows Firewall 可在運行 Windows Vista 或 Windows Server 2008 的計算機上提供以下功能：
過濾所有進出計算機的 IPv4 和 IPv6 流量。在默認情況下，可以阻止所有進入流量，除非是對計算機先前傳出的流出請求進行響應（請求流量），另外可以根據創(chuàng)建的規(guī)則特別允許特定流量。
可利用 Ipsec 協(xié)議檢驗網絡流量的完整性，驗證收發(fā)計算機或用戶的身份以及隨意地加密流量以提供保密保護，進而保護進出計算機的網絡流量。
從 Windows Vista 和 Windows Server 2008 開始，Windows Firewall和 Ipsec 的配置集成到了單個工具，即具備高級安全性的 Windows Firewall 的 Microsoft管理控制臺(MMC) 管理單元。Windows 仍然含有舊版的 IPsec 管理單元，可用于管理運行 Microsoft Windows Server® 2003、Windows® XP 或 Windows® 2000 的客戶端計算機。Windows Server 2003 中的防火墻只過濾進入流量。
企業(yè)需要防止系統(tǒng)遭受安全威脅。具備高級安全性的 Windows Firewall更便于配置用于保護服務器和數據的有效防火墻和 Ipsec 策略。組合界面可以減少干擾 Ipsec 功能的防火墻規(guī)則配置次數。新 Windows Firewall所擁有的更全面的流量過濾功能可以更好地防范病毒、惡意軟件和其他網絡攻擊，而且能夠有助于預防威脅擴散。
只讀域控制器 (RODC)
遠程管理服務器、服務和安全性一直是 IT 人員面臨的挑戰(zhàn)。Windows Server 2008 利用針對 Active Directory 的增強功能（包括只讀域控制器和管理角色分隔）來簡化遠程地點服務器的管理工作。
只讀域控制器(RODC) 是一種新的域控制器，主要針對遠程地點。在默認情況下，RODC不保存任何密碼。這樣的話，如果 RODC 受到安全危害，管理員無需擔心入侵者利用此服務器保存的信息訪問整個網絡。這樣可以彌補遠程站點物理安全性的潛在不足。RODC提供以下優(yōu)勢：
提高安全性
與 Windows Server 2003 完整域控制器相比登錄時間更快
網絡資源訪問效率高于 Windows Server 2003 域控制器
可以更安全地委派遠程辦公室的管理工作
在發(fā)布 Windows Server 2008 之前，遠程地點的域控制器安裝是個難題。只讀域控制器(RODC) 是 Windows Server® 2008 操作系統(tǒng)中的一個新的域控制器，其允許在需要快速、可靠的驗證服務、但是無法確?？蓪懹蚩刂破魑锢戆踩缘牡攸c上更安全地部署域控制器。RODC 提供以下好處：
利用 RODC，企業(yè)可以輕松在之前利用遠程站點配置部署 Active Directory 的地點部署域控制器，從而加快登錄處理。
RODC 允許本地支持人員登錄到 RODC 像更新驅動程序那樣執(zhí)行管理更新，無需擁有對相關域的管理權限。
遠程地點往往無法充分提供可寫域控制器需要的物理安全性。此外，遠程站點在接入網絡集線器站點時網絡帶寬較低，從而會增加登錄時間和其他域功能。RODC 可以同時改善遠程站點的安全性和管理。
如果系統(tǒng)受到侵害，允許管理員利用 Windows Server 2008 中的刪除域控制器向導輕松刪除域控制器從而提高安全性。

下一代加密技術(CNG)

下一代加密技術(CNG)是 Windows Server 2008 的最新加密工具。下一代加密技術(CNG) 包含一套新的技術、組件及 API，提供一個靈活的加密開發(fā)平臺，使企業(yè)能夠在加密相關應用中創(chuàng)建、更新和使用定制加密算法，如：Active Directory證書服務(AD CS)、安全套接層(SSL) 及 Internet 協(xié)議安全 (IPsec)。CNG 符合最新加密標準并且執(zhí)行美國政府 Suite B 加密算法，其包括用于加密、數字簽名、密鑰交換和散列法的算法。
Windows Server 2003 中由 CryptoAPI 提供加密。Windows Server 2008 的 CNG 擴展了 CryptoAPI 的功能，同時簡化了軟件中的密碼使用。
CNG 為 IT 人員提供安全執(zhí)行符合政府通用標準密鑰保存要求的密碼運算的工具。IT 人員可以利用 CNG：
安裝和使用附加加密提供商；
執(zhí)行基本密碼運算，如：散列法創(chuàng)建以及數據加密／解密；
創(chuàng)建、保存及恢復密鑰。
Windows BitLocker 驅動器加密
信息的丟失會造成慘痛損失。由于越來越多的業(yè)務和服務采用在線模式，數據更易受到攻擊。與此同時，用戶對數據保護的需求也在日益提高。《薩班斯—奧克斯利法案》 (SOX) 以及《健康保險便利及責任性法案》 (HIPAA) 等新的州及全國性法規(guī)促進了對數據保護的需求。Windows BitLocker驅動器加密(BitLocker) 是Windows Server 2008 中的一個完整新安全功能，可以保護遠程服務器。BitLocker 可為企業(yè)提供解決方案來保護敏感數據從而實現各種應用。BitLocker 是Windows Vista 和 Windows Server 2008 操作系統(tǒng)的安全功能，能夠保護計算機的操作系統(tǒng)和操作系統(tǒng)卷保存的數據。BitLocker 執(zhí)行以下兩種功能：
加密 Windows 操作系統(tǒng)卷（和配置數據卷）保存的全部數據。其中包括 Windows 操作系統(tǒng)、休眠與分頁文件、應用及其使用的數據。
默認情況下，使用可信任平臺模塊  (TPM)來幫助確保前期啟動組件（啟動過程前期使用的組件）的完整性，同時可以“鎖定”任何 BitLocker 保護卷 – 即使在操作系統(tǒng)離線時也能防止計算機被篡改。
Windows BitLocker Drive Encryption 是 Windows Server 2008 中的新功能，可與Encrypting File System (EFS)一起加密服務器的所有操作系統(tǒng)及用戶數據。
Windows BitLocker Drive Encryption 功能通過加密完整卷以及檢查前期啟動組件的完整性來保護丟失、被盜或不適當使用計算機中的數據。只有相關組件得到成功驗證并且加密驅動器位于原始計算機情況下才能使數據解密。完整性檢查需要兼容的 Trusted Platform Module (TPM)。


加密文件系統(tǒng)（EFS）

加密文件系統(tǒng)(EFS) 提供核心文件加密技術，用于在 NTFS 文件系統(tǒng)卷保存加密文件。在使用之前用戶無需手動解密已加密的文件；可以像通常那樣打開和修改文件。
EFS 的增強功能包括在智能卡保存加密證書的功能、按用戶加密客戶端緩存的文件、附加分組策略選項、以及新的密碼更新向導。
通過避免對已經打開、但未修改的文件進行不必要的重新加密，EFS 的性能得到增強。
聯合權限管理與Active Directory權限管理服務
Windows Server 2008 允許采用新的方式保護可以更全面、更簡便管理的敏感信息。與Windows Server 2003 中的操作一樣，Active Directory聯合服務(AD FS) 允許企業(yè)設置對另一個機構的聯合信任。通過身份與權限聯合，用戶只需一次本地域登錄，然后即可獲得對合作域的訪問權限。
由于 Active Directory權限管理服務 (AD RMS)已經與Windows Server 2008 中的 AD FS 相集成，因此聯合信任現在允許 AD RMS 對外部用戶授予適當 RMS 權限，無需該用戶在本地登錄，也無需其擁有自己的 AD RMS 服務器。對于 Windows Server 2008，Active Directory權限管理服務(AD RMS)包含 Microsoft Windows權限管理服務(RMS) 未提供的多項新功能。這些新功能旨在降低 AD RMS 的管理開銷以及把其使用擴展到企業(yè)外部。這些新功能包括：
在 Windows Server 2008 中作為一個服務器角色配置 AD RMS；
通過 Microsoft 管理控制臺(MMC) 進行管理；
與 Active Directory聯合服務(AD FS) 相集成；
AD RMS 服務器自動注冊；
能夠根據新的 AD RMS 管理角色分配職責。
利用 Windows Server 2008 和 RMS，企業(yè)可以獲得所需的協(xié)作平臺和工具，使同事和信任的合作伙伴跨企業(yè)邊界高效地共享信息和開展合作。此外，企業(yè)還可以更好地利用在 Microsoft Office 中的投資，因為 RMS 功能是微軟生產率產品的內置功能。

加強高可用性

高可用性為關鍵性的應用程序、服務和資料提供高可用性，是成功 IT 部門的主要目標。災難發(fā)生時，保護并保持對其數據的訪問和業(yè)務的連續(xù)性對企業(yè)來說至關重要。Windows Server 2008 的故障轉移群集、Windows 服務器備份、自我修復 NTFS 和網絡負載均衡等功能可用于保障業(yè)務的連續(xù)性。
•Windows Server 2008 的 Windows 服務器備份功能提供了用于解決日常備份和恢復需求的完整解決方案。IT 人員可以利用 Windows 服務器備份功能對服務器進行有效、可靠地保護，而無需考慮備份與恢復的技術細節(jié)。
•自我修復NTFS 可以有效、可靠地保護文件系統(tǒng)。自我修復 NTFS 可以嘗試聯機糾正 NTFS 文件系統(tǒng)的崩潰，而無需運行Chkdsk.exe。IT人員可以利用自我修復NTFS 保護文件系統(tǒng)，而不必考慮文件系統(tǒng)的技術細節(jié)。大部分自我修復進程通過默認實現。如果文件系統(tǒng)發(fā)生嚴重問題，自我修復NTFS 可以報告發(fā)現的問題并提供潛在的解決方案。
•網絡負載均衡(NLB) 采用TCP/IP網絡協(xié)議在多臺服務器之間分配流量。此外，NLB 可以與 Hyper-V 結合在一起實現高可用性服務器解決方案。
•作為Windows Server 2008的內核事務技術，事務NTFS文件系統(tǒng)與事務注冊表已經得到增強，可通過事務協(xié)調其操作。


故障轉移群集

Windows Server 2008 的故障轉移群集提供新的功能，企業(yè)可以利用這些新功能執(zhí)行高可用性戰(zhàn)略，使群集服務器成為企業(yè)的明智商業(yè)選擇。主要價值建議包括：
•新管理界面降低了復雜性，為用戶提供用于創(chuàng)建、管理和使用群集服務器的簡便界面。
•新工具減少了前端配置問題，可降低支持成本并減少實現時間。
•新功能允許地理分散環(huán)境中的實現，從而使該技術能夠適應客戶環(huán)境。

Windows Server 2008 增強了故障轉移群集（此前稱為服務器群集）。在推出 Windows Server 2008 和增加自我修復 NTFS 之前，技術人員必須使用 Chkdsk.exe 工具修復磁盤中 NTFS 文件系統(tǒng)卷的崩潰。而對于Windows Server 2008，只有在極端情況下才需要使用 Chkdsk.exe。
用于文件系統(tǒng)或注冊表的事務可以與任何其他事務資源協(xié)調，如 SQL Server® 或 MSMQ。利用Transact 命令擴展了命令行，以采用事務實現簡單的命令行腳本。
可以采用新的群集驗證向導執(zhí)行測試，以確定系統(tǒng)、存儲器和網絡配置是否適用于群集。群集設置向導已進行了簡化，以便更易于通過一步操作設置群集。群集設置也完全可腳本化，從而使管理員能夠實現自動群集部署。利用群集移植工具可以從運行 Windows Server 2003 的群集采集資源分組設置，然后應用到運行Windows Server 2008 的群集。在 Windows Server 2008 中，管理員可以配置群集，使仲裁資源在使用混合仲裁資源模型時不構成單點故障。新功能允許地理分散環(huán)境中的實現，從而使該技術能夠適應客戶的環(huán)境。

Windows Server 2008 對多站點群集進行了修改。管理員現在可以把群集服務器布置到不同的 IP 子網中，從而減少對地理分散群集的需求并降低為核心群集應用提供站點彈性的復雜性。多數節(jié)點集 (MNS) 群集目前是默認群集；它是 Windows Server 2003 中的 SPI 熱修復插件。
Windows Server 2008 使企業(yè)更易于實現和維護高可用性服務器解決方案。故障轉移群集能夠優(yōu)化群集服務器的設置與管理。Windows 服務器備份與自我修復 NTFS 能夠可靠地保護企業(yè)的數據與文件系統(tǒng)。Network Load Balancing 尤其適用于確保無狀態(tài)應用（如運行 IIS 7.0 的 Web 服務器），隨著負載的增加，通過添加附加服務器得到擴展。
Windows Server 2008 簡化了初始群集部署及其日常管理，同時能夠提高服務器的性能與可靠性。Windows Server 2008 另外還降低了管理器配置與部署群集時出錯的機會，從而提高 IT 效率。配備客戶機群集的Hyper-V 主機群集為 IT 人員提供了實現高可用性服務器解決方案所需的工具。由于降低了管理需求并提高了可靠性，Windows Server 2008 的故障轉移群集成為確保業(yè)務連續(xù)性所需要的高可用性方案的關鍵組件。


網絡負載平衡（NLB）

網絡負載平衡（NLB）讓您可將 TCP／IP 請求分散至多部系統(tǒng)，以便將資源運用最佳化、減少運算時間以及確保系統(tǒng)可用性。Windows Server 2008 的 NLB 已進行過改善的內容，包括：
•下一代 TCP／IP
TCP／IP 通訊協(xié)定套裝已針對 Windows Server 2008 徹底重新設計，而且 Windows Server 2008 亦已提供原始支持給網際網絡通訊協(xié)定第 4 版（IPv4）以及網際網絡通訊協(xié)定第6版（IPv6），此外，NLB 也已將對 IPv6 的完整支持延伸至所有的通訊，并繼續(xù)維持對 IPv4 的支持。
•多重 IP 位址支持
目前 NLB 群集中的每一個節(jié)點都可以擁有多重專屬 IP 位址。
•Microsoft ISA Server 整合
由于 Microsoft ISA Server 允許每一個使用 IPv4 與 IPv6 用戶端的 NLB 節(jié)點，可擁有多重 IP 位址，因而可支持混用 IPv4 與 IPv6 的基礎架構，此外 ISA Server 還可提供入侵偵測服務，保護您的 NLB 群集。

Windows Server Backup

Windows Server 2008 中的 Windows Server Backup（無需另外付費）可為其所在的服務器，提供一個基本的備份與修復解決方案，因此您可以使用此項功能管理遠端服務器上的備份作業(yè)。
新版的 Windows Server Backup 可協(xié)助您有效率且可靠地保護整部服務器，所以您再也無需為備份與修復技術的細節(jié)感到擔心。簡易的精靈會引導您設置自動備份計劃、必要時建立手動備份，以及在硬盤故障等災難發(fā)生時，快速修復資料項目或整個磁盤區(qū)。

【編輯推薦】

1. Windows Server 2008 R2 與UNIX環(huán)境整合之SUA
2. 優(yōu)秀的接班人——Windows Server 2008
3. Windows Server 2008 R2虛擬化有效幫助企業(yè)降低運營成本
4. Windows Server 2008組策略安全實踐手冊
5. IIS7在Windows Server 2008 R2中的技術革新