Det har vært en lang tid siden vi har sett en ny versjon av Windows Server. Det er vanskelig å tro at det har vært fem år siden Windows Server 2003 ble utgitt. Vel i år kan vi slutte å vente. Windows Server 2008 gikk RTM denne måneden, og nå er vi alle har tilgang til de siste bitene. Det har vært en lang tid kommer, og Microsoft har satt en stor mengde arbeid i Windows Server 2008 for å gjøre det beste Windows noensinne.
Tusenvis av endringer er gjort i Windows Server 2008 sammenlignet med Windows Server 2003. Noen er meget liten, men noen er ganske betydelig. Men spørsmålet på alles sinn er det som gjør Windows Server 2008 gir for å gjøre det til en verdig oppgradering? Som er i fokus i denne artikkelen.
Det er altfor mange forandringer for meg å dekke i en enkelt artikkel, så jeg har valgt disse funksjonene og mulighetene som jeg tror gjør Windows Server 2008 en verdig oppgradering. Andre mennesker vil se på endringene i Windows Server 2008, og tror at jeg burde ha nevnt noen av de andre endringene. Som er rettferdig, men her jeg kommer til å snakke om store endringer
, de endringer som vil gjøre livet ditt bedre og forhåpentligvis også gjøre brukerne mer fornøyd.
Her er min liste over hva jeg tror gjør Windows Server 2008 stor og en verdig oppgradering fra Windows Server 2003:
- Server Manager og Advanced Event Viewer
- Server Core
- Terminal Services Gateway
- Terminal Services RemoteApps < LI> Native IPv6 støtte
- Les Only Domain Controllers
- Hyper-V
- Network Access Protection (NAP)
- Secure Sockets Tunneling Protocol (SSTP)
- Windows Advanced brannmur og Policybasert QoS < .no>
Server Manager og Advanced Event Viewer
Windows Server 2008 inkluderer et helt nytt administrasjonsgrensesnitt som kalles Server Manager. Server Manager er en one stop shop for å konfigurere, administrere og overvåke serveren. Dette er ikke som Server Manager er du kanskje har brukt i det siste; dette faktisk fungerer, og det er noe som du vil bruke hver dag når administrere Windows Server 2008 maskiner.
Figur 1
I Server Manager, kan du installere Serverroller (som DNS, DHCP, Active Directory) og rolle tjenester (for eksempel Terminal Services Gateway og RRAS). Når serveren Roller og rolletjenester er installert, blir MMC konsoller for disse tjenestene installert i Server Manager. Du trenger ikke lenger å lage dine egne MMCer!
Server Manager utsetter også den nye og forbedrede Event Viewer. Dette er ikke din fars gamle event viewer med bare System, sikkerhet og applikasjons noder. Windows Server 2008 Event Viewer gir deg Event Logger du kan bruke. Det er den vanlige Windows Event Logger: Application, Security, og System. Men nå har du muligheten til å se hendelser for alle programmer og tjenester som er installert på datamaskinen. I tillegg kan du opprette egendefinerte visninger av hendelseslogger, slik at du kan lage dine egne beholdere for arrangementer basert på filtre som du velger.
Figur 2
En av de nye hendelsesloggen funksjoner som jeg liker mest er muligheten til å abonnere på aktiviteter på andre maskiner på nettverket. Dette gjør det mulig å samle hendelsesloggen data fra andre maskiner, basert på filtre som du oppgir. På denne måten kan du konfigurere filtre for kritiske hendelser for de viktigste servere på nettverket. Mens mangler raffinementet til et fullverdig overvåking løsning som System Center Operations Manager, er det en veldig fin bygd i overvåking løsning for de bedrifter som ikke ønsker å skallet ut for SCOM.
Server Core
< P> Windows Server 2008 kan installeres på en av to måter: full installasjon eller server kjerne. Server Core-installasjonen installerer en undergruppe av binærfiler som kreves for å få kjernen operativsystemet kjører. Ingen ekstratjenester er installert eller aktivert. Det er noe brukergrensesnitt annet enn kommandolinjen. Det er ingen Windows Explorer shell, og all konfigurasjon må gjøres lokalt på kommandolinjen, eller eksternt med MMC-konsoll eller den nye Windows Remote Shell (WinRS) fjernadministrasjonsprogrammet (ligner SSH).
Målet for Server Core er ikke å gjøre det vanskeligere å håndtere (selv om det er til en viss grad, fordi mange oppgaver som må gjøres fra kommandolinjen og kan ikke gjøres eksternt fra et MMC-konsoll). Den faktiske mål for Server Core er å redusere den totale angrepsflate, og for å redusere antall nødvendige oppdateringer på serveren. Siden de fleste av Windows-sikkerhetsoppdateringer ofte innebære tjenester og programmer som du ikke engang bruke (for eksempel Windows Media Player eller Internet Explorer) på en server, trenger du ikke å oppdatere disse komponentene. Og med sterkt redusert antall applikasjoner og tjenester som kjøres på serveren kjerne, er angrepsflaten definitivt redusert.
Server kjerne kjører et begrenset antall Serverroller, så du må sørge for at serveren rollen du er interessert i er støttet av en Server Core-installasjonen. Også noen av de Serverroller ikke støttes fullt ut, slik som Web Server rollen. Server Core ikke støtter .NET forvaltet kode, og derfor vil du ikke være i stand til å kjøre IIS konsollen som en ekstern MMC. Dette skaper en alvorlig ledelse hodepine fordi alle IIS-konfigurasjonen på serveren core maskin må gjøres på kommandolinjen ved hjelp appcmd.exe
. Hvis du er en Apache admin, vil du være ganske fornøyd. Hvis du er en del tid IIS admin, vil du sannsynligvis ønske å vente på Server Core.
Server kjerne er definitivt et skritt i riktig retning. Men på dette tidspunktet ville jeg vurdere det en 1.0 utgivelse. Jeg er sikker på at målene for Server Core var å redusere angrepsflaten og redusere oppdatere krav, for ikke å gjøre det vanskelig å administrere. Jeg forventer at fremtidige oppdateringer til Windows Server 2008 vil gjøre det enklere å administrere og la den leve opp til full forventninger.
Terminal Services Gateway
En av de hindringer for fullt distribusjon av Terminal Services for fjern tilgangs brukere var det faktum at svært mange administratorer ikke stoler autentiseringssekvensen og nivået på kryptering av RDP tunneler. Et annet problem var at mange brannmurer på avsidesliggende steder ikke tillate utgående TCP 3389. Microsoft har løst disse problemene ved å innføre Terminal Services Gateway i Windows Server 2008.
Terminal Services Gateway er en type SSL VPN, på samme måte som RPC /HTTP for Outlook tilgang til Exchange Server er en SSL VPN. SSL VPN typen er at av en søknad protokoll proxy. Terminal Services Gateway jobber med klienten RDP 6.0+ å tillate innkapslede RDP tilkoblinger til TS Gateway datamaskin.
Den RDP klienten faktisk innkapsler RDP protokollen i to andre protokoller. Først blir RDP protokoll innkapslet i en RPC header, og da er det kapslet en gang ved hjelp av en kryptert HTTP header (SSL). Protokollen som brukes til å koble til TS Gateway er faktisk RDP /RPC /HTTP. Microsoft mest sannsynlig gjorde dette, slik at de kunne bruke det eksisterende RPC /HTTP koden de allerede hadde for sin RPC /HTTP proxy. Når tilkoblingen når TS Gateway maskinen, fjerner TS Gateway RPC og HTTP-hoder og videresender RDP forbindelser til den aktuelle Terminal Server eller Remote Desktop datamaskin.
Figuren nedenfor viser grensesnittet for å opprette en tilkobling Authorization politikk eller CAP. CAPS brukes til å bestemme hvilke brukere som får tilgang til ressurser gjennom denne TS Gateway datamaskin. Dialogboksen i figuren viser konfigurasjonsgrensesnittet for binding til et sertifikat i TS Gateway nettstedet slik at sikker SSL-tilkoblinger er tillatt.
Figur 3
Terminal Services Gateway støtter også smartkort autentisering og du har også muligheten til å håndheve NAP klient tilgangskontroll. Terminal Services Gateway er definitivt en av de viktigste grunnene til å oppgradere til Windows Server 2008.
Terminal Services RemoteApps
Målet for hver sikkerhet admin er å nå minst privilegium for hver bruker. Det gjelder spesielt for fjerntilgang tilkoblinger. Sikkerhets admins som meg selv mister søvn om natten tenker om å gi fulle ekstern skrivebordstilkoblinger til ikke-administrative brukere. Alt som trengs er kompromisset av ett brukerens legitimasjon av en dedikert hacker og at hacker har en full desktop miljø
under hans kontroll for å kompromittere ditt nettverk. Det er en skremmende tanke.
Men gjør brukerne virkelig trenger full tilgang til en stasjonær? Eller gjør de bare trenger tilgang til programmer på skrivebordet? Mest sannsynlig, de trenger bare tilgang til applikasjoner og data. I så fall, Windows Server 2008 gir deg en løsning kalt Terminal Services RemoteApp. Terminal Services RemoteApp kan du gi tilgang til bestemte applikasjoner over RDP kanal. På den måten kan brukerne ikke komme i trøbbel med en full desktop, og hvis en hacker kompromisser som brukerens legitimasjon, har alle hacker er et program, som har en mye lavere angrepsflaten enn en full desktop.
TS RemoteApps er svært fleksibel. Du kan kontrollere hvilke programmer brukerne kan få tilgang til og hvordan de får tilgang til apps på sine egne datamaskiner. TS Remote App sammen med TS Gateway gjøre Windows Server 2008 Terminal Server en må ha for enhver bedrift interessert i en sikker RDP basert ekstern tilgang løsning.
Figuren nedenfor viser hovedsiden i TS RemoteApp Manager-konsollen. Sette opp TS RemoteApps er ganske enkelt, og du vil være oppe og kjøre på svært kort tid.
Figur 4
Figuren nedenfor viser ikonet på skrivebordet til brukeren som vil starte RemoteApp. I Egenskaper
dialogboksen kan du se at koblingen er konfigurert til å starte en RDP-fil som lar spesifikk tilgang til programmet.
Figur 5 Anmeldelser
Native IPv6-støtte
Windows Server 2008 er den første versjonen av Windows Server som har native IPv6-støtte som en del av en enkelt IP stack. I tidligere versjoner av Windows før Vista ble IPv6-støtte gjøres parallelt med IPv4, og det var ingen integrert støtte for IPv6 inkludert i nettverksinfrastrukturtjenester som DNS og DHCP. Det er ikke lenger tilfelle, og nå IPv6 er tett vevd inn i Windows Server 2008 nettverksstakken og infrastrukturtjenester.
I figuren under kan du se at Windows Server 2008 DNS støtter nå IPv6. Du kan opprette Quad A (AAAA) registrerer og du kan også lage IPv6 omvendt oppslag soner.
Figur 6
DHCP-tjenesten har også blitt oppdatert til støtter IPv6. I figuren under kan du se at jeg har opprettet en DHCP-område for unike lokale adresser.
Figur 7
Figuren under viser at du kan konfigurere nettverksgrensesnitt å bruke statiske IPv6-adresser, eller har dem bruke DHCP for å få IP-adresser.
Figur 8
Windows Server 2008 RRAS servere fungerer som rutere kan konfigureres som IPv6 rutere og gi informasjon i rutereklamemeldinger om hva som prefiks for informasjons kunder kan bruke, og hvorvidt de bør bruke Stateful adressering informasjon fra DHCP-servere også.
Windows Server 2008 støtter også IPv6 overgangs teknologier, for eksempel ISATAP, 6to4 og Teredo. Alle Windows Server 2008-datamaskin kan konfigureres som en ISATAP ruteren ved hjelp av Netsh kommandolinjegrensesnitt.
Les Only Domain Controllers
Med spredning av avdelingskontorer i mange organisasjoner, mange anerkjente problemet om godkjenning. Avdelingskontorer er ofte klargjort med en domenekontroller som brukerne kan godkjenne en lokal DC i stedet for å måtte gå over en langsom, eller til og med skutt ned, WAN-kobling, noe som kan føre til autentiseringsfeil og manglende evne til å få tilgang til og lokale ressurser.
< P> Løsningen ble å sette domenekontrollere i avdelingskontorer. Selv om dette løste første problemet med autentisering, det innført et sikkerhetsproblem. Siden de fleste avdelinger ikke har samme nivå av IT-kompetanse som hovedkontoret, og definitivt ikke har samme nivå av fysisk sikkerhet som hovedkontoret, ble et meget svakt ledd i hele Active Directory avdelingskontoret domenekontroller infrastruktur. Endringer gjort av ukyndig brukere på avdelingskontoret kunne ha effekter i hele organisasjonen og hvis DC på avdelingskontoret ble stjålet, det kan potensielt kompromittere alle kontoer i organisasjonen.
Windows Server 2008-løsning er den Les Only Domain Controller (RODC). En RODC inneholder en skrivebeskyttet kopi av Active Directory-databasen, og den eneste kontoinformasjon lagret på RODC er for kontoer på avdelingskontoret. Siden ingen endringer i Active Directory kan gjøres på en RODC, er det ingen frykt for at en ukyndig bruker vil gjøre uønskede endringer i Active Directory. Og siden det er vanligvis ingen administrative brukere på avdelingskontoret, er det relativt liten risiko for at RODC på avdelingskontoret vil inneholde admin brukerkontoer som kan bli svekket i tilfelle at den RODC blir stjålet.
RODCs kan også konfigureres til å cache bare visse kontoer. Og i tilfelle at RODC blir stjålet, er en liste over bufrede brukerkontoer på RODC tilgjengelig for Active Directory admin på hovedkontoret. Dette gjør at Active Directory admin å deaktivere eller tilbakestille legitimasjon på disse kontoene fra hovedkontoret.
Hyper-V
Hyper-V er Windows Server 2008 hypervisor som lar deg kjøre virtuelle maskiner på Windows Server 2008 datamaskiner. Hyper-V erstatter Virtual Server 2005 og er en integrert del av operativsystemet, som kommer til deg uten ekstra kostnad. De endelige biter for Hyper-V er ennå ikke tilgjengelig, så jeg kommer til å bestille dom på Hyper-V på dette tidspunktet. Men ut fra det jeg har sett så langt, er jeg veldig imponert over hva de har gjort med Windows Server Virtualization. Hvis du er ute etter en uten kostnad virtualiseringsløsning, så en oppgradering til Windows Server 2008 er et godt valg for deg.
Network Access Protection (NAP)
Network Access Protection lar deg kontrollere tilgang fra alle datamaskiner som kobler seg til nettverket ditt. Ifølge Microsoft, Network Access Protection (NAP) er ikke så mye en sikkerhet metodikk som det er en klient helse mekanisme. NAP kan du lage regler som setter en minste klient helse før at datamaskinen får lov til å koble til andre datamaskiner på nettverket.
NAP er avhengig av en Windows Server 2008 infrastruktur. Du trenger en Windows Server 2008 Network Policy Server til å lagre dine helsepolitikk. Det er flere måter du kan styre tilgang til nettverket: IPsec restriksjoner, DHCP restriksjoner, 801.x restriksjoner og VPN-restriksjoner. Verter som ikke oppfyller kravene for sikkerhetskonfigurasjon er ikke tillatt på nettverket ved hjelp av noen av disse metodene. Men NAP tillater deg å lage karantene nettverk som de ikke-kompatible vertene kan koble til for å avhjelpe selv. Når NAP klientprogramvare oppdager at maskinen er i samsvar, kan det sende denne informasjonen til NAP server side komponenter som da vil informere NAP klient at det er OK å koble til nettverket.
NAP er en ekstremt kraftig metode for adgangskontroll til nettverket ditt, og det er noe vi har ventet på siden det ble annonsert en gang i slutten av 2003, begynnelsen av 2004. Mens det tok nesten fem år å få NAP for oss, det har vært vel verdt ventetiden. Mange nettverks admins vurdere NAP den primære årsaken til å oppgradere til Windows Server 2008. Jeg ville ha en hard tid å krangle med disse admins.
Secure Socket Tunneling Protocol (SSTP)
Secure Socket Tunneling Protocol (SSTP) er en ekte SSL VPN. Hva jeg mener med "true" SSL VPN er at SSTP gir full nettverksnivå VPN-tilgang til bedriftens nettverk på samme måte som den PPTP og L2TP /IPSec protokoller gir. Men fordelen med SSTP er at i motsetning PPTP og L2TP /IPSec, trenger du ikke å bekymre deg for brannmurer blokkerer utgående tilgang til dine SSTP-tilkoblinger.
SSTP er egentlig PPP /SSL. Fordi PPP-tilkoblinger er pakket inn i en sikker HTTP header (SSL), kan SSTP passere gjennom en brannmur eller web proxy enhet som gjør at utgående SSL. Ikke lenger må du feltet samtaler fra brukere på hoteller og konferansesentre som klager over at brannmurene i denne posisjonen ikke vil tillate dem å VPN inn i nettverket. En annen fin ting om SSTP er at du ikke trenger å tillate utgående tilgang til SSTP-tilkoblinger bare fordi du tillater utgående SSL. Det er en verdi i CONNECT linje som du kan konfigurere på ISA brannmur eller andre applikasjonslaget inspeksjon brannmur som vil tillate deg å blokkere SSTP-tilkoblinger, mens du lar andre SSL-tilkoblinger.
SSTP kommer til å gjøre livet ditt en mye enklere for fjerntilgang VPN-tilkoblinger. Jeg vil oppgradere til Windows Server 2008 bare for SSTP tilgang.
Figur 9
Windows Advanced brannmur og politikk basert QoS
Windows Vista brukere vil gjenkjenne Windows Advanced brannmur. Nå får de samme fordelene Vista-brukere har med Windows Server 2008. Hva er enda bedre er at du kan bruke gruppepolicy i Windows Server 2008 omfattende sentralisert administrasjon av Windows Advanced brannmur. Hvis du ikke har brukt Vista brannmur ennå, er du inne for en godbit. Windows Advanced brannmur som følger med Vista og Windows Server 2008 kan du finjustert innkommende og utgående tilgangskontroll. Den utgående tilgangskontroll var den manglende brikken med Windows XP brannmur. Nå har du kontroll på utgående tilkoblinger, slik at hvis du oppdaget på brannmurer at vertene er infisert med en orm rettet mot en bestemt port eller samling av porter, kan du blokkere disse portene på hver verts sentralt gjennom group policy.
Figuren under viser Ny innkommende regel Wizard
. The Wizard, som du kan bruke i Group Policy Management-konsollen, kan du veldig enkelt konfigurere innkommende regler. Det er også en utgående regel veiviser som lar deg blokkere utgående tilkoblinger, kan du styre basert på UDP eller TCP-portene, ICMP-meldingstyper, eller du kan blokkere på en per-applikasjon basis.
< BR> Figur 10
En av de mest imponerende funksjonene i Windows-brannmuren er hvordan det har forenklet etableringen av IPsec politikk. I det siste, sette opp IPsec forsikringer ble litt av en hit eller miss situasjon. Du vil gå gjennom veivisere og håper at du hadde alt satt opp riktig. Det er ikke lenger tilfelle med Windows Advanced brannmur. Figuren nedenfor viser den enkel å bruke Ny tilkobling Security regel Wizard
som gjør det til en enkel affære å lage IPsec domeneisolasjonspolitikk, autentisering unntaksreglene, server til server IPsec-tilkoblinger og IPSec tunneler. Har Windows Advanced brannmur endret sette opp IPsec-policyer fra en fryktet hendelse til noe jeg faktisk ser frem til å gjøre. Gi det en sjanse, jeg tror du vil like den.
Figur 11
En annen stor forbedring i Windows Server 2008 er sentralisert QoS politikk styring gjennom gruppe Politikk. Tidligere versjoner av Windows, inkludert en QoS-funksjonen, men siden det egentlig ikke var basert på standarder, ikke mange mennesker (hvis noen) hver brukte den. Windows Server 2008 endrer spillet ved å innføre en ny policy-basert QoS-funksjon som du faktisk vil være i stand til å bruke rett ut av boksen.
Det er to måter du kan implementere QoS politikk - du kan harde kode throughput verdier, eller du kan dra nytte av differensierte tjenester Kode Point (DSCP) verdier som er konfigurert på nettverksrutere. DSCP er en industristandard metode for å implementere QoS på bedriftens nettverk. Men selv om du ikke har DSCP aktivert rutere, eller selv om du ikke bruker DSCP, kan du fortsatt sette politikk slik at de lokale vertene håndheve båndbredde kontroller på TCP eller UDP-porter, eller om konkrete løsninger.
Figuren nedenfor viser en QoS politikk som struper SMTP-protokollen av destinasjon port TCP 25. Du kan velge hvor det arrangeres denne politikken gjelder. For eksempel, ville du ikke ønsker å bremse din SMTP-server, men for verter på nettverket, kan det være lurt å begrense hastigheten på deres SMTP-trafikk. På denne måten kan du kontrollere hvor mye spam infisert datamaskinene kan sende før du oppdager at maskinene har blitt utnyttet.
Figur 12
Konklusjon
Windows Sever 2008 inneholder hundrevis av nye funksjoner og egenskaper, noen av dem kan være det som gjør det til en verdifull oppgradering for din organisasjon. I denne artikkelen vil jeg fokusert på en liten samling av nye og forbedrede funksjoner som jeg tror vil gjøre det verdt for deg å oppgradere til Windows Server 2008. Du finner mer informasjon om Windows Server 2008 og en mer komplett liste over hva som er nytt og forbedret, sjekk ut Windows Server 2008 Teknisk bibliotek. Anmeldelser