Windows Server 2008 是新一代 Windows Server 技術的代表，為業(yè)務工作負荷提供了堅實的技術基礎。Windows Server 2008是迄今最靈活、最強健的Windows服務器操作系統，帶有新的技術和特點。如Server Core、PowerShell、Windows Deployment Services以及增強的網絡與群集技術，因此Windows Server 2008為所有工作和應用要求提供了最全面與可靠的Windows平臺。

WindowsServer2008提供了一系列新的和改進的安全技術，借助網絡訪問保護(NAP)、只讀域控制器(RODC)、公鑰基礎結構(PKI)增強功能、Windows服務強化、新的雙向Windows防火墻和新一代加密支持，WindowsServer2008操作系統中的安全性也得到了增強。這些技術增強了對操作系統的保護，為企業(yè)的運營和發(fā)展奠定了堅實的基礎，因而使服務器環(huán)境更安全、更穩(wěn)定。

一. Windows 和Linux在操作系統層面的對比

眾所周知，Linux經過了10多年的發(fā)展，其在桌面端的應用始終未能形成氣候，所以在提到Linux應用的時候，某些Linux的粉絲總會用Linux在服務器端的應用來證明Linux比windows穩(wěn)定性好，安全性高， 成本低。那么事實果真是這樣嗎？其實這里面存在著一些誤區(qū)。

其一， 業(yè)內認為Linux在服務器端應用的穩(wěn)定性好。因為服務器一般都是企業(yè)級的應用，所以系統的安全性無論是對于企業(yè)應用的系統還是企業(yè)的業(yè)務來說都至關重要。但有一點大家忽視了，那就是企業(yè)級的應用一般跑的程序都相對的單一。

例如有的企業(yè)服務器專門來跑ERP，有的只跑數據庫，這是Linux的特點所決定的。與之相反，基于Windows的服務器往往通過虛擬化會跑多個應用，既然是跑多個應用，與只跑單一應用的Linux相比，其出現的問題的幾率就相對要大一些。所以說的Linux的穩(wěn)定性, 只是因為應用相對單一和簡單。而反過來證明，Windows功能強大， 它的許多功能特性， linux并不具備或者說未被廣泛使用。 比如服務器虛擬化。

據IDC統計，美國企業(yè)已經在根本用不到的處理器資源上浪費了千百億美元，但這并不是他們的錯，而是操作系統的管理問題導致最多85%的CPU資源就經常被閑置。Windows Server2008 內置的新一代 64 位虛擬化技術，使企業(yè)無需購買第三方軟件即可充分利用虛擬化的優(yōu)勢，幫助企業(yè)客戶解決常見問題：服務器整合、業(yè)務連續(xù)性／災難恢復管理、測試與開發(fā)以及動態(tài)數據中心。

其二就是通常會誤認為Linux的安全性要高，受到外部攻擊要少。其實這有兩個問題要說明：

（1）Linux在服務器領域的應用并不占有絕對的優(yōu)勢，這從Windows受到的外部攻擊要遠遠多于Linux可見一斑。

（2）Windows Server 2008 是迄今最安全的Windows服務器操作系統。經過加固的操作系統以及眾多安全創(chuàng)新技術，如 Network Access Protection、聯合權限管理 (Federated Rights Management) 和只讀域控制器 (Read-Only Domain Controller) 等，為企業(yè)的數據提供了前所未有的保護級別。

第三就是通常會誤認為Linux在企業(yè)級服務器的部署成本要低于微軟的Windows。眾所周知，企業(yè)級服務器系統的所有成本包括硬件、軟件和支持費用。雖然Linux軟件的部署成本相對于Windows較為便宜，但對于企業(yè)來說，部署之后的服務至關重要，甚至要超出部署系統本身。但在服務方面，顯然Linux要高于Windows。IDC在統計了北美104家公司對各自Linux和Windows服務器系統總開支后得出結論稱，運行Linux服務器軟件管理計算機網絡所需要的維護和修理費用遠遠超過免費獲得軟件所得到的實惠，最終導致成本升高。由此可見，Linux初期低廉的軟件采購成本的掩蓋了其后續(xù)的支持服務的費用，所以說，所謂的Linux在服務器應用中較微軟的Windows成本更低也相對的。

二. Windows Server2008自身相對老操作系統windows2000/2003的提高

我這里僅列舉7點，我個人認為最重要的方面， 其實還有很多方面

（1）ServerCore模式

如果你是Unix和Linux管理員，可能會對在受保護環(huán)境中扮演DHCP和DNS服務器角色的、無圖形界面、只需一個終端字符界面管理的服務器系統非常熟悉，但Windows也可以這么做了。作為服務器操作系統，Windows Server一直以來頗為詬病的地方就是，作為服務器，管理員可能根本不需要安裝圖形驅動、DirectX、ADO、OLE等東西。Server Core沒有圖形用戶界面，可以選擇安裝指定功能的Windows Server最小化安裝，而無須安裝不必要的特性。, 專為擁有多個服務器的企業(yè)而設，企業(yè)中有些服務器僅需要執(zhí)行指定任務，或在高安全需求的環(huán)境中要求對服務器的攻擊為最小。

Server Core的主要優(yōu)點

Server Core 為分支機構提供下列關鍵優(yōu)點：

減少軟件維護：Server Core僅是管理服務器運行所必需的安裝，所以服務器需要更少的軟件維護，如安裝更新。

減少攻擊表面：由于安裝了更少文件以及在服務器上運行，因此更少的攻擊面暴露在網絡中，攻擊表面也相應減少。此外，如果在沒有安裝在本地服務器上的文件中發(fā)現安全缺陷，更新也不必進行。這樣就極大地減少了風險，同時增強了可靠性。

減少管理：由于更少文件安裝在基于Server Core的服務器中，也就不存在對不需要的成份進行管理與更新。

所需磁盤空間更少。Server Core僅使用大約1GB的磁盤空間進行安裝。

Windows Server 2008通過Server Core安裝來滿足分支機構中服務器的制定功能，從而減少安全風險，簡化對遠程服務器的管理。

(2) IIS 7.0

Windows Server 2008 可為 Web 發(fā)布提供統一平臺，高度集成了 Internet Information Services 7.0 (IIS7)、ASP.NET、Windows Communication Foundation和Microsoft Windows SharePoint® Services 等。IIS7是對現有舊版本的 IIS Web 服務器的重大升級，并在集成 Web 平臺技術方面發(fā)揮著關鍵作用。IIS7 的關鍵優(yōu)勢包括：更高效的管理特性、更高安全性以及更低的支持成本等。上述各方面特性的強勢結合打造了一款統一平臺，能夠為 Web 解決方案提供集中而高度一致的開發(fā)和管理模型。

模塊化設計

IIS 7.0核心Web服務器包括對IIS 6.0所做的一些基本變更。在IIS以前的版本中，所有的功能都是內置式的功能。IIS 7.0則由40多個獨立的模塊組成。其中只有一半的模塊是默認設置，并且管理員可以選擇安裝或移除任何模塊。這種模塊化的設計方法可以使管理員只安裝他們所需要的選項，因而減少了需要進行管理及更新的內容,從而節(jié)省時間。

在處理方式上也有一些變化。無論是本機代碼及托管代碼都通過相同的請求管道進行處理。新工作者處理Web核心還提供在請求管道中的所有通知事件的訪問。高水平的集成能夠讓現有的ASP.NET功能（如表格認證或URL認證）適用于所有類型的網絡內容。

這些改進由于避免了不必要軟件的運行而使受攻擊面減少，使延展性獲得提高，并通過創(chuàng)建管理代碼模塊增強了對擴展的IIS7.0核心功能的支持。

分布式配置

IIS 6的集中配置存儲，即metabase已經成為了過去。IIS 7.0所具備的一個新特征就是基于分布式的XML配置文件層級的分步式配置系統。分布式配置使IIS配置能夠存儲在web.config文件當中，從而使Xcopy更加易于在多個網絡服務器之間進行應用復制，而從避免了高成本以及易錯的復制，并免去了手動的同步化操作，以及額外的配置任務。

這使站點或應用配置更加容易從一臺計算機復制到另一臺計算機，應用也更容易從開發(fā)步入到測試階段，并最終進入到生產階段。Xcopy部署意味著應用開發(fā)人員無需機器管理員的參與便能夠對他們的應用配置進行修改，這樣便減少了整個TCO。輕松的Xcopy部署還意味著機器管理員可以方便地在機器之間移動站點。

(3) 終端服務的改進和增強

其中新增加的三個特性值得企業(yè)高度關注：

第一個特性是終端服務遠程應用(Terminal Services RemoteApp)，也就是能夠在支持終端服務的機器上定義將要運行的程序。用戶不需要知道他們現在使用的應用程序是在哪臺機器上運行的，除非是出現了明顯的、因網絡延時或者服務器過載而引起的較長延時。

第二個特性是終端服務網關(Terminal Services Gateway)，也就是允許用戶通過任何一個Web門戶網站訪問終端服務的應用程序，其傳輸方式是通過一種加密過的https通道。而且，該網關能夠通過防火墻發(fā)送連接，并完成NAT轉換。

第三個特性是終端服務Web訪問(TS Web Access)，這個特性能夠讓服務器管理員公開地在Web頁面上發(fā)布可用的終端服務遠程程序。用戶能夠在網頁上瀏覽他們希望運行的應用程序，點擊之后便能把它嵌入到自己的應用程序中來。

（4）Hyper-V技術

虛擬服務器技術， Windows Server 2008虛擬機是基于平臺底層來實現的， 2008虛擬機主要設計意圖是打算在一臺很多芯片和很大內存的類似小型機級別的服務器上，同時提供幾十臺不同用途的虛擬服務器。這樣從根本上解決企業(yè)網絡信息化對各種服務器的需求，并降低管理成本和總體投入成本。以前你的企業(yè)可能需要：VPN路由服務器、數據庫服務器、DHCP服務器、AD服務器、Exchange服務器等等多臺電腦，而且你為了預留一些負載潛力而購買遠高于目前需求的服務器設備。

Windows Server 2008時代就不需要這么做了，服務器你可以先買一臺，然后里面實際運行了3、4個虛擬服務器，將來需要擴容了，簡單的再加一臺服務器，把幾個虛擬機導出，再導入新的服務器，極少的時間，你就擴容完畢了。虛擬服務器方面，Windows Server 2008真的開啟了一個新的時代。事實上，虛擬化的思想不僅僅在于消除機器的重疊和節(jié)省成本，還在于與未虛擬化的服務器相比，在服務上有更高的可用性。在這種背景下，Hyper-V還支持多客戶機的集群。

其可以將多個運行于Hyper-V組件的物理機組成集群，這樣萬一主機發(fā)生某種故障，虛擬化實例可以將故障轉移到另一個主機上;還可以將虛擬機從一個物理主機移植到另一個物理主機，而不會發(fā)生停機，并且簡化服務、計劃和重組的過程，從而大大地減少了服務所帶來的負面影響。

在Windows Server 2008 R2中，微軟的服務器虛擬化工具Hyper-v 得到增強，新增了Live Migration(實時遷移)技術，在幾毫秒就可以實現對物理主機和虛擬機之間的實時遷移，而不會造成服務或用戶鏈接的中斷。數據中心也實現了真正的虛擬化，從很大程度上脫離了對軟件和硬件的管理，所有的操作都在單一的操作系統框架內完成。Hyper-V 2.0虛擬機對邏輯處理器和內存支持上得到增強，目前的Hyper-V 可以支持24個邏輯處理器，而Hyper-V 2.0中每個虛擬機可以支持32個邏輯處理器和最高64GB 的內存。

（5）網絡訪問保護 (NAP)

簡單的說，網絡訪問保護(NAP) 可以防止不健康的計算機訪問企業(yè)網絡并危及網絡的安全。大多數企業(yè)可創(chuàng)建網絡策略，用以指定部署于網絡上軟硬件類型。這樣策略通常包括客戶端計算機在連接到網絡之前如何配置的規(guī)則。

例如，許多企業(yè)要求客戶端計算機必須運行安裝有最近更新的防病毒軟件，也就是說客戶端計算機必須安裝一個軟件防火墻，且在連接到企業(yè)網絡之前啟用將該軟件防火墻。根據企業(yè)網絡策略進行配置的客戶端計算機可以看作是與健康策略相符合的，而沒有根據企業(yè)網絡策略進行配置的計算機可以看作是不符合與健康策略的。 利用NAP 來配置、強制客戶端的健康請求，并在連接到企業(yè)網絡之前，更新或者糾正不符合的客戶端計算機。

NAP 也提供了一套 API，允許企業(yè)而不是微軟將他們的軟件整合到NAP平臺。使用NAP APIS，軟件開發(fā)商和供應商可提供端到端解決方案，其可驗證健康的客戶端并及時糾正不符合的客戶端。

(6) 可重新啟動的活動目錄域服務(AD DS)

管理員可以使用Microsoft管理控制臺單元或者命令行，停止并重啟Windows Server 2008中活動目錄域服務（AD DS）。以前要維護域控服務器可真是頭痛的事情，即便是有輔助域控制器，但從沒有一次能順利完成維修的，一停機肯定有電話過來。

現在可重新啟動的活動目錄域服務(AD DS)，可重啟的AD DS減少了執(zhí)行某些操作的時間，如更新服務器。管理員可以停止AD DS以便執(zhí)行任務，如脫機對活動目錄數據庫進行磁盤碎片整理，而無須重新啟動域控制器。其他運行在服務器上以及不依賴于AD DS進行查找的服務，如動態(tài)主機配置協議（Dynamic Host Configuration Protocol ，DHCP），在AD DS關閉時依然可以滿足客戶請求。

(7) Read-Only Domain Controller (RODC)

RODC這是 Windows Server 2008 操作系統中的一種新型域控制器配置，使組織能夠在域控制器安全性無法保證的位置輕松部署域控制器。RODC 維護給定域中 Active Directory 目錄服務數據庫的只讀副本。在此版本之前，當用戶必須使用域控制器進行身份驗證，但其所在的分支辦公室無法為域控制器提供足夠物理安全性時，必須通過廣域網 (WAN) 進行身份驗證。

在很多情況下，這不是一個有效的解決方案。通過將只讀 Active Directory 數據庫副本放置在更接近分支辦公室用戶的地方，這些用戶可以更快地登錄，并能更有效地訪問網絡上的身份驗證資源，即使身處沒有足夠物理安全性來部署傳統域控制器的環(huán)境。

【編輯推薦】

1. 漫談Windows Server 2008的網絡特性
2. Windows Server 2008四方面增強全面評估
3. Windows Server 2008 R2中ServerCore模式配置介紹
4. Windows Server 2008網絡鏈接與遠程測試
5. Windows Server 2008 R2托管賬號的設置方法