在Windows Server 2008:更快,更易于管理和安全,但仍然失踪的虚拟链路
微软期待已久的Windows Server 2008在速度,安全性和管理的进步,但它的虚拟化和NAC功能上来短。
微软的期待已久的Windows Server 2008提供的进步速度,安全和管理,但其虚拟化和网络访问控制功能上来短。
在我们的Windows Server 2008的黄金代码测试 - 产品上周三正式发布 - 我们发现,微软已经做出了一些改进其旗舰服务器操作系统。
例如,新的服务器管理角色方案提高安全性,服务器管理器程序提高可管理性,Internet信息服务器(IIS)的Web管理功能翻新,Active Directory是比较容易控制,和Windows终端服务进行了重新设计。Windows Server 2008是也显著快于Windows Server 2003中,特别是当客户机运行的是Vista。
5个事我们都爱有关Windows 2008服务器
不幸的是,Windows Server 2008中的Hyper-V的服务器虚拟化工具的备受期待的功能,缺少。包括微软的Hyper-V测试版与Windows Server 2008个版本,但不会发布最终的代码,直到今年第三季度完成。
也不翼而飞是在非Windows(和老版本的Windows)客户端和微软的网络接入保护(NAP)方案,微软的NAC版本之间的兼容性。
Microsoft NAP方案使用客户端“健康证书”给予或拒绝客户端对网络的访问,而“不健康”的客户端会根据需要被引导到修复服务器杀毒更新或保安修补程式(比较南京汽车产品)。
我们测试的NAP计划在Windows Server 2008中实现,并发现它的工作原理,只要在客户端运行的是Windows XP或Vista。(见边栏。),但它不让运行任何其他品牌操作系统的客户端访问它的受保护资源,从而阻碍了NAP计划的潜在成功,因为所有类型的客户端都必须经过审查,以确保NAC有效工作。
重新考虑服务器角色
微软希望Windows Server 2008版本(它将提供标准、企业、数据中心和特定于itanien的代码)的管理员认为服务器扮演着特定的角色。雷竞技电脑网站服务器角色是适合通常考虑的服务的聚合对象,如打印服务、文件共享、DNS、DHCP、Active Directory域控制器和基于iis的Web服务。微软总共定义了18个角色。
甚至还有一个名为Windows服务器核心安装无华,可以运行各种服务器角色(如DNS,DHCP,Active Directory组件),而不是应用程序(如SQL Server或IIS动态网页)。这否则无头操作的脚本主机系统。有没有GUI前端到Windows Server芯盒,但它是一个命令行界面(CLI)管理,脚本,远程通过系统管理器或其他管理应用程序,支持Windows管理规范(WMI),或通过远程终端服务。这也是为Hyper-V和虚拟化架构的潜在资源瘦身基板。
任何基于角色的服务器上运行的服务进行划分,并通过服务器管理器,微软的更名,改组行政应用程序启用 - 无论是通过GUI或CLI前端。这是一个巨大的进步在“配置您的服务器”程序在Windows 2000和2003版本中发现。一旦成功启用,角色可以很容易地改变。CLI版本允许脚本为管理员初始或远程角色的变化。服务器管理器增加了对现有管理应用程序的一个重要改进:它彻底检查应用程序依赖它会影响安装,修改,删除或其他更改之前。
我们得到了更高的安全性的一个立竿见影的味道,这些服务器角色允许,当我们安装了Windows 2008服务器 - 强大的管理密码,现在需要为默认值。
Active Directory证书服务进行了重新设计,现在用组策略设置加入到可以更容易地证书注册,发现和存储。公共密钥基础设施,这是以前很难建立,监测和Windows 2003 Server的版本保持为证书管理选项(包括存储,发行和审核证书)有了大幅的提升比以往任何时候都大。
附带的好处是,IPSec加密可以与一些以前没有的加密方法,如椭圆曲线的Diffie-Hellman或高级加密标准的选择使用,允许简单,但迄今难以安全漏洞打补丁:Windows 2008中可以提供全面的网络加密服务,网络范围内。
除了服务器管理器,基于服务器的Windows防火墙MMC管理单元帮助我们配置和更轻松地管理基于主机的安全性。Windows防火墙在Windows 2008基于服务器的网络可以通过系统来控制,现在执行的组策略在Active Directory中的对象(GPO)。到Active Directory域中执行Windows防火墙设置的能力提供一个分层强制执行机制,障碍分支机构或附属服务器设置由本地管理员进行。这是有牙齿的铁腕政策,我们真的很喜欢这一点。
将GPO现在可以定义服务器IP地址准入,使服务器能够简单地从所有,但具体地址无视交通,减少其攻击面显着。特定路由策略被录取到Active Directory控制的网络,然后允许入侵者可能活动从一般交通噪音更容易辨别所有客户端和服务器继承。
然而,这种准入控制本身并不能减少TCP SYN DOS攻击的影响,但是只有Windows Server 2008附带的其他TCP/IP设置可以用来减少TCP连接为中心的分布式拒绝服务(DOS)攻击的影响。
性能
我们使用模拟I/O和各种流量/攻击测试(看我们怎么做的),发现Windows 2008 Server的性能有所提高 - 尤其是在改善Vista的客户端。
微软新的客户端和服务器TCP/IP栈,包括tcpip。sys和旧的Winsock API工具包已经更新。网络交互栈,NDIS,也从版本5.6升级到6.0。TCP/IP栈包含本机的,而不是模拟的IPv6支持。要么选择IPv4或IPv6载体是可互换的动作,和管理都是相同的。
新的堆栈也有能力来动态响应中的网络连接到通信等待时间他们拥有的能力来动态变化的TCP数据包的窗口大小,这允许通信信道与数据被更有效地塞入。
与SMB 1不同,SMB 2.0具有性能增强,旨在实现更高的速度。其中一项增强允许在读写文件时使用更大的缓冲区。更多打开的文件也可以在单个练习中维持,比如文件文件夹复制,或者同时打开并写的文件数量。
在我们的测试中,我们发现,在轻载时,像拷贝文件夹,传送流媒体和加载复杂的网页任务的速度方面的效果并不强烈表现出来,但在重负载下的效果,然而,有利于性能的Vista,强烈。根据I / O的混合物(但在流媒体和重型文件复制显着),Vista中可以比Windows XP SP2速度高达43%,在复制操作和18%的速度在打开并发流。
这也意味着Windows 2008服务器版本的客户端有两类关联——Vista和其他所有人,包括Windows XP SP2、MacOS(我们使用10.4.10和10.5.2)或其他使用SAMBA 3.0.2+连接方法的SAMBA客户端。如果您的客户机具有新的堆栈,那么您的效率更高,因此在更高的负载下速度更快,但是如果您的堆栈不是最新的,那么您就是二等公民。
Windows Vista中支持并附带两个SMB 1.0和SMB 2.0,而XP仅支持SMB 1.0。微软声称Vista的应该能获得更好的文件/文件夹复制速度超过XP,特别是在高延迟网络。在我们的实验室,高延迟(仿真以太网10BASE-T)或低延迟(同一网络的子部分千兆以太网),Vista的完成文件夹拷贝至少35%的速度,并在测试一个来看,71%的速度比Windows XP SP2。作为SMB仿真苹果的MacOS和最Linux的客户端基于Samba,这也是基于SMBv1,这些客户端进行测试,如市场预期,当在相同的硬件连接到Windows 2008企业版通过Windows 2003企业版的显示速度没有改善。
在Windows Server 2008还支持TCP / IP处理卸载到支持的网卡。在这样的关系中,TCP / IP卸载引擎(TOE)卡不中断任何CPU服务的TCP / IP通信和协议关系的请求,显然是加快了网络吞吐量。
当我们从Broadcom千兆以太网接口卡英特尔TOE千兆以太网NIC交换,速度的影响变得非常显而易见的 - 即使对于使用旧SMB和非Windows TCP / IP通信协议栈(如Mac和Linux客户端的客户端/服务器)。
我们的TCP SYN期间这种改变切口的CPU利用率(通过性能监视器所测量)分布式DoS攻击测试从48%至18%,并且在我们的TCP连接从61%测试在峰值至16%在峰值。尽管TOE卡已经好几年了,我们还没有看到从他们的表现迥然不同。
我们还对Windows 2008和IIS7的网络端进行了攻击,使用了一个简单的get/post测试,模拟了通过http发送静态页面的get/post请求的大量用户。在Windows Server 2003上,在Windows 2008服务器上,我们能够将get的数量(同时使用两个独立的千兆以太网连接)增加32%。
增加网络管理
因为我们发现,在我们的测试工具的错误,我们没跑了一套完整的IIS 7的性能测试。但是,微软已经更新了其Web服务器管理应用 - IIS管理器,删除过去的行政晦涩和添加多个网站托管支持。Web服务器管理现在可以通过HTTP来进行,从而使远程管理可以从浏览器来完成,而无需在目标服务器上打开管理的TCP / IP端口。
如果需要,IT经理还可以将IIS控件委托给本地管理员或web开发团队。管理员也可以“像手术一样”锁定特定文件,而不是提供对配置文件或静态页面配置的全面访问,这是一种管理上的便利。
IIS 7并没有默认安装所有的特性(即使从未使用过,其中一些特性也需要运行),而是只允许管理员安装必要的模块(有40多个模块)。这大大减少了IIS 7的攻击配置。
Web服务和应用程序的性能和错误,现在管道输送到WMI,允许误差的快速识别和监控应用提供触发(例如即时电子邮件)的能力时,监测项目范围(认为微软系统中心 - 中掉出来基于和其他监视应用程序)。
总之,对于IIS控制已几乎脱胎换骨。
将Active Directory服务合并为三个不同的组——Active Directory域服务、AD证书服务和Active Directory联邦服务——使管理员能够使用更少的Active Directory组件和插件来管理各种网络需求。例如,Microsoft AD Federated Services改善了组织之间的“外联网”关系,可以以高度可定义的方式管理外部系统用户,以便在组织之间使用文件和应用程序服务。
终端服务现在可以通过传输层安全加密,这样对话就不会从网络线路捕获并重新组装。屏幕光栅的大小可以很大(仅限Windows Vista和XP),这样远程桌面会话就不再需要在类似于视图的窗口中滚动。终端服务还可以通过http传输将应用程序呈现为本地应用程序(我们使用的是Microsoft Office)。终端服务配置更简单,有更多的能力控制打印,以及前面提到的加密方法和栅格大小,总体而言。
亨德森和德沃夏克也是网络世界实验室联盟(Network World Lab Allianc有个足球雷竞技appe)的成员,该联盟由网络行业顶尖的评论家组成,他们在每次评论中都有多年的实践经验。欲了解更多实验室联盟信息,包括成为会员需要什么条件,请访问m.amiribrahem.com/alliance。
了解有关此主题的更多信息
©2008Raybet2