微軟公司的Windows Server 2008即將正式發布,在發布之前,網界網合作媒體實驗室的工程師已經取得了Windows Server 2008的黃金代碼版本(即2月20日正式發布的產品),並且對其進行了測試。
工程師經過測試發現,微軟對其旗艦級服務器操作系統做了很多改進。例如,新服務器管理角色方案增加了安全性,服務器管理器程序改進了可管理性,Internet信息服務器(IIS)Web管理功能了進行了全面的改造,Active Directory更容易控制,Windows Terminal Services做了重新設計。Windows Server 2008在運行速度上也大大快於Windows Server 2003,尤其當客戶機運行Vista時。
可惜的是,寄予很高期望的Windows Server 2008特性,即Hyper-V服務器虛擬化工具,目前缺席。微軟在不同版本的Windows Server 2008中只提供一個beta版Hyper-V,而且它在今年第三季度前不會發布正式版本。
非Windows(以及老Windows)客戶機與微軟的網絡訪問保護(NAP)方案--即微軟版的NAC--之間也缺少兼容性。微軟NAP方案利用客戶端“健康證書”批准或拒絕客戶機訪問網絡。“不健康的”客戶機被引導到修補服務器,安裝必要的殺毒軟件更新或安裝補丁。
工程師測試了Windows Server 2008中的NAP現實,發現只要客戶機運行Windows XP或Vista它就能正常工作。但它不允許運行其它品牌的操作系統的客戶機訪問它的受保護的資源,因此阻礙了NAP方案的潛在成功,因為必須徹底檢查所有的客戶機類型NAC才能有效地工作。
Windows Server 2008關鍵特性
增強安全性系統缺省要求設置強管理口令、IPSec加密可以使用以前沒有的密碼算法、改進的Windows Firewall MMC插件
改進可管理性定義了18種服務器角色、更新了IIS Manager、增加無圖形界面的Server Core安裝方式
提升性能在客戶機為Vista時改進尤其明顯、支持TOE
缺乏虛擬化只有beta版Hyper-v服務器虛擬化工具,第三季度前都不會發布正式版本
重新考慮服務器角色
微軟希望不同版本的Windows Server 2008(微軟將像通常那樣發送標准版、企業版、數據中心版和Itanium專用版)管理員考慮服務器扮演某種角色。服務器角色是聚合在一起的對象,這些對象適合通常想到的服務(如打印服務、文件共享、DNS、DHCP、 Active Directory域控制器和基於IIS的Web服務)的。微軟一共定義了18種角色。
甚至所謂 Windows Server Core的最低限度安裝也可以運行不同的服務器角色(如DNS、DHCP、Active Directory組件),但不能運行應用(如 SQL Server或IIS動態網頁)。它否則是提供無界面操作(headless operations)的腳本控制的主機系統。Windows Server Core服務器沒有GUI前端,而是由命令行界面(CLI)、腳本、遠程通過系統管理器或其它支持Windows Management Instrumentation (WMI)的其它管理應用或由Remote Terminal Services來管理。它還是Hyper-V和虛擬化架構的潛在的缺少資源的底層。
運行在任何基於角色的服務器上的服務通過服務器管理器(微軟改了名的、改造過的管理應用)--通過GUI或CLI前端--來分區和啟動。與Windows 2000和2003版操作系統中的“Configure Your Server”程序相比,這是個很大的改進。一旦成功啟動後,角色可以很容易改變。CLI版允許管理員執行腳本控制的初始化或遠程角色修改。服務器管理器比以前的管理應用有了一個重要的改進:它在執行安裝、變更、刪除或其它變化前,全面檢查應用的依存關系。
當工程師安裝Windows 2008 Server時,幾乎立即嘗到了這些服務器角色提供的更高的安全性--現在系統缺省要求設置強管理口令。
Active Directory證書服務進行了重新設計,現在與組策略設置配合提供更容易的證書注冊、發現和存儲。由於證書管理(包括存儲、分發和證書審查)選擇比以前更多,因此以前在Windows 2003 Server中很難建立、監測和維護的公鑰基礎設施得到了很大的改進。
一個附帶的好處是IPSec加密可以使用以前沒有的密碼算法,如橢圓曲線Diffie-Hellman或高級加密標准,從而堵上了簡單但到此前為止困難的安全漏洞:Windows 2008可以在全網絡范圍提供全面的網絡加密服務。
除了服務管理器外,基於服務器的Windows Firewall MMC插件幫助用戶更輕松地配置和管理基於主機的安全性。運行在基於Windows 2008 Server的網絡上的Windows防火牆現在可以由Active Directory中的系統強制執行的組策略對象(GPO)來控制。在Active Directory域內執行Windows防火牆設置的能力提供一種分級執行的機制,這種機制超越本地管理員建立的分支辦事處或下屬機構服務器設置。應該說,這是個有威懾力的鐵拳政策。
GPO現在可以定義服務器IP地址准入范圍,使服務器可以忽略除特定地址之外的所有傳輸流,從而大大減少它們的被攻擊面。用於特定路由的策略被所有允許訪問Active Directory控制的網絡的客戶機和服務器所繼承,從而使可能的入侵者活動可以更容易地從一般傳輸流噪音中識別出來。
但是,單憑這種准入控制不能減少TCP SYN DOS攻擊的影響,但其它Windows Server 2008才有的TCP/IP設置可被用於減少針對TCP連接的分布式拒絕服務(DoS)攻擊的影響。
性能
工程師利用仿真的I/O和不同的傳輸流/攻擊測試,測試了網絡I/O性能,發現Windows 2008 Server性能有了改進――在客戶機為Vista時改進尤其明顯。
微軟的新客戶機和服務器TCP/IP協議棧(包括tcpip.sys和較老的Winsock API包)進行了更新。網絡互動協議棧,NDIS,也從5.6版升級為6.0版。TCP/IP協議棧包括本機的而非仿真的IPv6支持。選擇IPv4或IPv6支持是個可互換的動作,並且管理也是一模一樣的。
新協議棧由於具有動態改變TCP包窗口大小的能力(使通信信道更高效地填滿數據),還能夠動態響應網絡連接中的通信延遲。
與SMB 1不同,SMB 2.0性能有了很多改進,從而提高了速度。改進之一是在讀寫文件時提供更大的緩沖區空間。在像文件夾拷貝這樣的單一任務中還可以維持更多的打開的文件,即同時打開寫的文件數量。
在測試中,工程師發現在輕負載條件下,拷貝文件夾、傳送流媒體和加載復雜的網頁這樣的任務,在速度上的結果差別並不大,但在高負載條件下,結果大大突顯了Vista的性能。取決於I/O的混合(但在傳送流媒體和大型文件拷貝下十分顯著),Vista速度在操作時可以比Windows XP SP2快43%,在打開並發流時快18%。
這也意味著Windows 2008 Server的客戶機――Vista和其它所有客戶機,包括Windows XP SP2、MacOS (這裡使用了10.4.10和10.5.2)或其它使用SAMBA 3.0.2+ 連接方式的SAMBA客戶機――存在兩類親合關系。如果你擁有一個采用新軟件棧的客戶機,你的效率更高,因此在更高負載下速度更快,但如果你的軟件棧不是最新的,你則屬於二等公民。
Windows Vista支持並隨系統提供SMB 1.0和SMB 2.0,而XP僅支持SMB 1.0。微軟稱Vista能夠取得比XP更好的文件/文件夾拷貝速度,尤其在具有高延遲的網絡中。在工程師的試驗室中,高延遲(在Ethernet 10Base-T線路上模擬)或低延遲(同樣的網絡子段但使用千兆以太網),Vista完成文件夾拷貝的速度至少快35%,並且在全套測試中,比Windows XP SP2快71%。由於Apple的MacOS和大多數Linux客戶機的SMB仿真是基於Samba(它也是基於SMBv1的)的,因此,這些客戶機在測試時如預期那樣,當連接在Windows 2008企業版時與連接在運行在同樣硬件上的Windows 2003企業版相比,速度沒有改進。
Windows Server 2008還支持將TCP/IP處理卸載到它支持的網卡上。在這種關系中,TCP/IP卸載引擎(TOE)卡在處理TCP/IP傳輸流和協議關系請求時沒有中斷任何CPU,明顯提高了網絡吞吐量。
當工程師從Broadcom千兆以太網接口卡轉換到Intel TOE千兆以太網NIC時,對速度的影響非常明顯――甚至對於使用老SMB和非Windows TCP/IP通信協議棧的客戶機(如Macs和Linux客戶機/服務器)。
在工程師的TCP SYN分布式DoS攻擊測試中,這種改變將CPU使用率由48%減少到18%,在TCP連接測試中由峰值的61%減少為峰值的16%。工程師們表示,盡管TOE卡已經面市多年了,但一直沒有從它們身上看到鮮明的性能差異。
他們還利用模擬大量用戶的簡單test get/post測試以及通過HTTP提交靜態網頁的get/post請求,攻擊Windows 2008和IIS7的網終端。使用Windows 2008 Server時,他們能夠將gets的數量(同時使用兩條獨立的千兆以太網連接)增加到比運行在同樣硬件上的Windows Server 2003多32%。
更好的Web管理
工程師沒有運行全套的IIS 7性能測試,因為在測試工具中發現了bug。但微軟已經修改了它的Web服務器管理應用――IIS Manager,去除了過去管理上一些晦澀的東西,增加了對多站點主機的支持。Web服務器管理現在可以通過HTTP執行,因此可以從浏覽器進行遠程管理,無需開放目標服務器上的管理TCP/IP端口。
如果需要的話,IT管理員還可以把IIS控制委托給本地管理員或Web開發小組。管理員還可以“外科手術式地”鎖定特定文件,而不用不受限制地訪問配置文件或靜態網頁,這是管理上的福音。
IIS 7允許管理員只安裝必要的模塊(一共有40多種模塊),而不用缺省安裝所有特性(並且運行其中的一些模塊,即便從不使用它們)。這大大減少了IIS 7的受攻擊面。
Web服務與應用性能和錯誤現在傳送給WMI,從而保證迅速地確定錯誤和監測應用在被監測的項目不在范圍之內時(如,基於微軟 Systems Center的和其它監測應用)提供觸發器(例如即時電子郵件)的能力。
總之,IIS的控制幾乎被重新開發。
將Active Directory服務整合到3個不同的分組中――Active Directory域服務、AD證書服務和Active Directory聯邦服務――使管理員能夠利用更少的Active Directory組件和插件管理不同的網絡需要。例如,Active Directory聯邦服務改進機構之間的“外聯網”連接,機構可以以高度可定義的方式管理外部系統用戶使用機構間文件和應用服務。
Terminal Services現在可利用Transport Layer Security加密,使通信會話不會被從網絡線路上截獲和重新組裝。屏幕掃描(screen raster)尺寸可以是巨大的(只適用於Windows Vista和XP),這樣遠程桌面會話不再需要滾動經過閱讀器式的窗口。Terminal Services還可以通過HTTP傳輸顯示應用,仿佛它們就像本機應用運行在工程師的桌面上一樣(他們使用了微軟 Office)。總之,Terminal Services配置更為簡單,具有更強的控制打印功能以及前面提到的加密方式和掃描尺寸。