Windows Server“Longhorn”和 Windows Vista 中的新增网络功能
注意:本文中所述功能可能会有变动。由于市场、技术或其他原因,某些功能可能不包含在最终产品中。本文还包含指向英文网页的链接。
本页内容
 | 摘要 |
| 简介 |
| 协议和核心网络组件 |
| 无线连接和基于 802.1X 的有线连接 |
| 网络基础结构 |
| 弃用的技术 |
| 总结 |
| 相关链接 |
摘要
Microsoft® Windows Server® 代码名“Longhorn”(现处于 beta 测试阶段)和 Windows Vista™(现处于 beta 测试阶段)在网络技术方面进行了许多改动和增强。本文介绍了 Windows Server“Longhorn”的 Beta 2 版和 Windows Vista 的 Release Candidate 1 版中对协议和核心网络组件、无线技术和经 802.1X 身份验证的有线技术,以及网络基础结构组件和服务的改动。
简介
要应对全球市场的竞争挑战,网络和通信对各组织来说至关重要。无论员工在什么位置,都需要从任何设备连接到网络。合作伙伴、供应商和网络外部的其他人员都需要与关键资源进行有效交互,同时安全性变得比以往任何时候都更加重要。
本文从技术角度概述了 Windows Server“Longhorn”和 Windows Vista 为解决连接性、易用性、可管理性、可靠性和安全性方面的问题而在网络及通信技术方面增强的功能。凭借 Windows Server“Longhorn”和 Windows Vista,IT 管理员可以有更大、更灵活的选择空间来管理网络基础结构、保护其所在网络(通过要求计算机证明其系统的健康状态)、部署经过身份验证的无线和有线连接(通过组策略和脚本),以及部署受保护的通信场景。
协议和核心网络组件
Windows Server“Longhorn”和 Windows Vista 中包含了对下列协议和核心网络组件进行的改动和增强功能:
| • | 下一代 TCP/IP 堆栈 |
| • | 基于策略的服务质量 |
| • | 服务器消息块 2.0 |
| • | Http.sys 增强功能 |
| • | WinINet 增强功能 |
| • | Windows 套接字增强功能 |
| • | NDIS 6.0 |
| • | 网络感知 |
| • | Windows 对等网络增强功能 |
| • | Windows 防火墙增强功能 |
| • | IPsec 的改进功能 |
下一代 TCP/IP 堆栈
Windows Server“Longhorn”和 Windows Vista 包含了 TCP/IP 协议堆栈的一个新实现,称为“下一代 TCP/IP 堆栈”。下一代 TCP/IP 堆栈是对 Internet 协议版本 4 (IPv4) 和 Internet 协议版本 6 (IPv6) 的 TCP/IP 功能的全新设计,可满足当今各种网络环境和技术对连接性及性能的要求。
接收窗口自动调节
TCP 接收窗口大小是 TCP 接收端在必须等待确认之前允许 TCP 发送端发送的数据量。为根据当前网络状况正确确定某连接的接收窗口大小的最大值,下一代 TCP/IP 堆栈支持“接收窗口自动调节”功能。“接收窗口自动调节”功能持续通过测定带宽延迟乘积(带宽乘以连接延迟)和应用程序检索速率来确定每个连接的最佳接收窗口大小,然后随着运行过程不断自动调整最大的接收窗口大小。
随着 TCP 对等端之间吞吐量的提升,数据传送过程中网络带宽的利用率也会得以提高。如果所有应用程序都针对 TCP 数据接收进行了优化,则可以显著改善网络的整体利用率,从而使“服务质量”(QoS) 的运用对于满负荷或接近满负荷运行的网络更加重要。有关详细信息,请参阅本白皮书中的“服务质量”。
有关“接收窗口自动调节”的详细信息,请参阅下一代 TCP/IP 堆栈中的性能改进。
复合 TCP
对于接收窗口大小较大和带宽延迟乘积(连接的带宽乘以其延迟时间)较大的 TCP 连接,下一代 TCP/IP 堆栈中的“复合 TCP”(CTCP) 会通过监控带宽延迟乘积、延迟变化和数据包丢失来大幅增加每次发送的数据量。CTCP 也会确保其行为不会对其他 TCP 连接造成负面影响。在 Microsoft 内部执行的测试中,对于传输速率为每秒 1 千兆位、往返行程时间为 50 亳秒的连接,大文件的备份时间几乎缩减了一半。带宽延迟乘积较大的连接可具有更好的性能。
“接收窗口自动调节”优化了接收端吞吐量,而 CTCP 优化了发送端吞吐量。通过两者的配合,可以提高链路利用率并大幅提升带宽延迟乘积较大的连接的性能。
ECN 支持
当某 TCP 数据段丢失时,TCP 会假定该数据段丢失是由于路由器拥塞而造成,并执行拥塞控制,这会显著降低 TCP 发送端的传输速率。借助两个 TCP 对等端和路由基础结构中的“显式拥塞通知”(ECN) 支持,处于拥塞状态的路由器会在转发数据包时对它们进行标记。接收已标记数据包的 TCP 对等端会降低其传输速度来减轻拥塞状况和防止数据段丢失。在发生数据包丢失之前检测到拥塞状况会提高 TCP 对等端之间的总体吞吐量。Windows Vista 的 Release Candidate 1 版支持 ECN,但默认情况下将此功能禁用。可以使用 netsh interface tcp set global ecncapability=enabled 命令来启用 ECN 支持。
RFC 3168 中对 ECN 进行了说明。
针对高丢失率环境的增强功能
下一代 TCP/IP 堆栈支持以下 RFC 以优化高丢失率环境中的吞吐量:
| • | RFC 2582:The NewReno Modification to TCP's Fast Recovery Algorithm(TCP 快速恢复算法 NewReno 修正) 当数据窗口中的多个数据段丢失且发送端收到部分确认(仅针对已成功接收的那部分数据的确认)时,NewReno 算法通过更改发送端可以用来提高其发送速率的方式来实现更大的吞吐量。 |
| • | RFC 2883:An Extension to the Selective Acknowledgement (SACK) Option for TCP(TCP 选择性确认 (SACK) 选项扩展) RFC 2018 中定义的 SACK 允许接收端最多指明接收数据的四个非邻接块。RFC 2883 定义了另一种使用 SACK TCP 选项中的字段来确认重复数据包的方式。这使包含 SACK 选项的 TCP 数据段的接收端可以确定何时不必要地重新传输了某个数据段并调整其行为以防今后再重新传输。重新传输情况越少,总体吞吐量就越高。 |
| • | RFC 3517:A Conservative Selective Acknowledgment (SACK)-based Loss Recovery Algorithm for TCP(TCP 的基于保守选择性确认 (SACK) 的丢失恢复算法) Windows Server 2003 和 Windows® XP 中的 TCP/IP 实现仅使用 SACK 信息来确定哪些 TCP 数据段还未到达目标。RFC 3517 定义了在收到重复确认后使用 SACK 信息执行丢失恢复的方法,从而替代了在连接启用 SACK 时所使用的快速恢复算法。下一代 TCP/IP 堆栈将对每个连接都记录 SACK 信息并监控传入的确认和重复确认,以在目标未收到多个数据段时更快速地进行恢复。 |
| • | RFC 4138:Forward RTO-Recovery (F-RTO):An Algorithm for Detecting Spurious Retransmission Timeouts with TCP and the Stream Control Transmission Protocol (SCTP)(F-RTO:使用 TCP 和流控制传输协议 (SCTP) 探测伪重传超时设定的算法) RTT 突然临时增加时,可能会出现 TCP 数据段的伪重传现象。F-RTO 算法可防止发生 TCP 数据段的伪重传:F-RTO 算法的结果是,对于 RTT 突然临时增加的环境(例如,当无线客户端从一个无线 AP 漫游到另一个无线 AP 时),F-RTO 可防止不必要的数据段重传并更快地恢复到其正常发送速率。 |
有关这些增强功能的详细信息,请参阅下一代 TCP/IP 堆栈中的性能改进。
IPv4 的邻居不可达检测
“邻居不可达检测”是 IPv6 的一项功能,允许节点跟踪邻近节点是否可以到达,从而在节点突然不可用时提供更好的错误检测和恢复。下一代 TCP/IP 堆栈还通过跟踪 IPv4 路由缓存中的 IPv4 邻居的可到达状态对 IPv4 通信的“邻居不可达检测”提供支持。“IPv4 邻居不可达检测”通过单播“地址解析协议 (ARP) 请求”和“ARP 应答”消息的交换或依靠上层协议(如 TCP)来确定可达性。利用“IPv4 邻居不可达检测”,基于 IPv4 的通信可通过确定邻近节点(包括路由器)何时不再可到达并报告相关情况而受益。
有关“IPv4 的邻居不可达检测”的详细信息,请参阅下一代 TCP/IP 堆栈中的性能改进。
失效网关检测功能的变化
Windows Server 2003 和 Windows XP 的 TC/IP 中的失效网关检测提供的是一项故障转移功能,而不是故障回复功能(即失效网关再次尝试确定自己是否已变为可用状态)。下一代 TCP/IP 堆栈通过定期尝试通过先前检测到的失效网关发送 TCP 通信来为失效网关提供故障回复功能。如果经由失效网关发送的 TCP 通信成功,则下一代 TCP/IP 堆栈会将默认网关切换到先前检测到的失效网关。对主默认网关的故障回复支持可通过经由子网上的主默认网关发送通信而获得更大的吞吐量。
PMTU 黑洞路由器检测功能的变化
RFC 1191 中定义的路径最大传输单元 (PMTU) 发现依赖于从包含下一链路 MTU 的路由器接收的 Internet 控制消息协议 (ICMP) Destination Unreachable-Fragmentation Needed 和 Don't Fragment (DF) Set 消息。但在某些情况下,中间路由器会在不给出提示的情况下,丢弃无法分段的数据包。这种类型的路由器称为黑洞 PMTU 路由器。另外,中间路由器还可能因已配置的防火墙规则而丢掉 ICMP 消息。这会导致 TCP 连接超时并终止,因为中间路由器在不给出提示的情况下,丢弃了较大的 TCP 数据段、重新传输的这些数据段以及 PMTU 发现的 ICMP 错误消息。
PTMU 黑洞路由器检测会感知到何时重新传输较大的 TCP 数据段,并自动针对连接调节 PMTU,而不依赖于接收 ICMP Destination Unreachable-Fragmentation Needed 和 DF Set 消息。对于 Windows Server 2003 和 Windows XP 中的 TCP/IP,PMTU 黑洞路由器检测在默认情况下禁用,因为如果启用的话,会增大对给定数据段执行的最大重传次数。
然而,由于对路由器应用防火墙规则来丢弃 ICMP 通信的情况越来越多,因此下一代 TCP/IP 堆栈在默认情况下启用 PMTU 黑洞路由器检测,以防止 TCP 连接终止。当 TCP 连接开始重新传输带有 DF 标记集的实际大小的数据段时,就会触发 PMTU 黑洞路由器检测。TCP 将连接的 PTMU 重新设置为 536 字节,并重新传输已清除了 DF 标记的数据段。这将保持 TCP 连接,虽然 PMTU 可能会小于实际连接的 PMTU。
路由隔间
为防止虚拟专用网 (VPN) 配置接口间不必要的通信转发,下一代 TCP/IP 堆栈支持路由隔间。路由隔间是具有登录会话的一组接口的组合,登录会话又有自己的 IP 路由表。一台计算机可以有多个相互独立的路由隔间。每个接口只能属于单个隔间。
例如,当用户通过 Windows XP 中的 TCP/IP 实现在 Internet 上启动 VPN 连接时,用户的计算机通过操纵 IPv4 路由表中的条目来实现与 Internet 和专用 Intranet 的局部连接。某些情况下,来自 Internet 的通信量可能会通过 VPN 连接被转发到专用 Intranet。对于支持路由隔间的 VPN 客户端,下一代 TCP/IP 堆栈通过不同的 IP 路由表将 Internet 连接与专用 Intranet 连接隔离。
网络诊断框架支持
网络诊断框架是一种可扩展的体系结构,可帮助用户针对网络连接故障执行恢复和故障排除操作。对于基于 TCP/IP 的通信,网络诊断框架可为用户提示一系列选项,以排除可能的原因,直到最终确定问题的根源或排除所有的可能性。网络诊断框架可诊断的与 TCP/IP 相关的具体问题如下:
| • | IP 地址不正确 |
| • | 默认网关(路由器)不可用 |
| • | 默认网关不正确 |
| • | TCP/IP (NetBT) 上的网络基本输入/输出系统 (NetBIOS) 名称解析失败 |
| • | DNS 设置不正确 |
| • | 本地端口已被占用 |
| • | DHCP 客户端服务未运行 |
| • | 不存在远程侦听器 |
| • | 媒体已断开连接 |
| • | 本地端口被阻止 |
| • | 内存不足 |
有关详细信息,请参阅 Network Diagnostics Framework in Windows Vista(英文)。
ESTATS 支持
下一代 TCP/IP 堆栈支持“TCP Extended Statistics MIB”Internet 草案 (draft-ietf-tsvwg-tcp-mib-extension-08.txt),该草案规定了 TCP 的扩展性能统计。通过分析连接的 ESTATS,可以确定连接的性能瓶颈是发送应用程序、接收应用程序,还是网络。默认情况下会禁用 ESTATS,并可针对各个连接启用 ESTATS。通过 ESTATS,第三方独立软件供应商 (ISV) 可创建强大的诊断和网络吞吐量分析应用程序。
Windows 过滤平台上新的数据包过滤模型
Windows 过滤平台 (WFP) 是下一代 TCP/IP 堆栈中的新体系结构,它可提供 API,从而使第三方 ISV 可以参与在 TCP/IP 协议堆栈中的若干层和整个操作系统中进行的过滤决策。该平台还集成并支持下一代防火墙功能,例如,经身份验证的通信以及基于应用程序对 Windows Sockets API(基于应用程序的策略)的应用的动态防火墙配置。ISV 可以创建防火墙、防病毒软件、诊断软件以及其他类型的应用程序和服务。Windows Server“Longhorn”和 Windows Vista 中的 Windows 防火墙和 IPsec 使用 WFP API。
有关详细信息,请参阅 Windows Filtering Platform(英文)。
IPv6 增强功能
下一代 TCP/IP 堆栈支持 IPv6 的以下增强功能:
| • | 双重 IP 堆栈 下一代 TCP/IP 堆栈支持双重 IP 层体系结构,在该体系结构中,IPv4 和 IPv6 实现共享公共的传输层(包含 TCP 和 UDP)和分帧层。下一代 TCP/IP 堆栈在默认情况下同时启用了 IPv4 和 IPv6。无需另外安装单独的组件即可获得 IPv6 支持。 |
| • | 默认情况下启用 在 Windows Server“Longhorn”和 Windows Vista 中,默认情况下安装并启用 IPv6。通过 Internet 协议版本 6 (TCP/IPv6) 组件的属性和 netsh interface ipv6 上下文中的命令来配置 IPv6 设置。 Windows Server“Longhorn”和 Windows Vista 中的 IPv6 不可卸载,但可以禁用。有关详细信息,请参阅 Configuring IPv6 with Windows Vista(英文)。 |
| • | 基于 GUI 的配置 Windows Server“Longhorn”和 Windows Vista 现在允许用户在 Network Connections(网络连接)文件夹中,通过一组对话框手动配置 IPv6 设置(类似手动配置 IPv4 设置的方式)。 有关详细信息,请参阅 Configuring IPv6 with Windows Vista(英文)。 |
| • | Teredo 的增强功能 Windows Vista 中的 Teredo 客户端在默认情况下启用,但处于非活动状态。要将其激活,用户必须安装需要使用 Teredo 的应用程序,或选择更改防火墙设置以允许应用程序使用 Teredo。 域成员计算机启用了 Teredo,现在只要在一个或多个对称网络地址转换器 (NAT) 后存在一个 Teredo 客户端,Teredo 就可以工作了。对称 NAT 会将同一个内部(专用)地址和端口号映射到不同的外部(公用)地址和端口,具体取决于外部目标地址(对于出站通信)。这种新行为允许 Teredo 在更大的一组连接到 Internet 的主机之间工作。 有关 IPv6 和 Teredo 的详细信息,请参阅 Using IPv6 and Teredo(英文)。 |
| • | 集成的 IPsec 支持 在 Windows Server“Longhorn”和 Windows Vista 中,IPsec 对 IPv6 通信的支持与对 IPv4 的支持相同,其中包括对“Internet 密钥交换”(IKE) 和数据加密的支持。带有高级安全和 IP 安全策略管理单元的 Windows 防火墙现在支持以对 IPv4 通信相同的方式为 IPv6 通信配置 IPsec 策略。例如,如果现在要在 IP 安全策略管理单元中将某个 IP 过滤器配置为 IP 过滤器列表的一部分,则可以在指定特定的源或目标 IP 地址时,指定 IPv6 地址和地址前缀。 有关详细信息,请参阅 Windows Vista 和 Windows Server“Longhorn”中的新 Windows 防火墙。 |
| • | MLDv2 多播侦听者发现版本 2 (MLDv2)(在 RFC 3810 中有具体的说明)提供了对特定于源地址的多播通信的支持。MLDv2 相当于 IPv4 的 Internet 组管理协议版本 3 (IGMPv3)。 |
| • | LLMNR 链路局部多播名称解析 (LLMNR) 使单个子网上的各个 IPv6 主机可以在没有 DNS 服务器的情况下互相解析彼此的名称。这项功能对于单子网家庭网络和特定的无线网络非常重要。 |
| • | PPP 上的 IPv6 如 RFC 2472 中所定义,内置的远程访问客户端如今支持“点对点协议 (PPP) 上的 IPv6”(PPPv6)。现在可以通过基于 PPP 的连接来发送本地 IPv6 通信量。例如,PPPv6 支持使用户可以通过拨号连接或可用于宽带 Internet 接入的“以太网上的 PPP”(PPPoE) 连接与基于 IPv6 的 Internet 服务提供商 (ISP) 相连。 |
| • | IPv6 地址的随机接口 ID 为防止根据网络适配器制造商的已知公司 ID 进行 IPv6 地址扫描,Windows Server“Longhorn”和 Windows Vista 在默认情况下会为自动配置的非临时 IPv6 地址(包括公共地址和链路本地地址)生成随机接口 ID。Windows XP 和 Windows Server 2003 将基于“64 位扩展的唯一标识符 (EUI)”的接口 ID 用于自动配置的 IPv6 地址。 |
| • | DHCPv6 支持 Windows Server“Longhorn”和 Windows Vista 包含一个支持 DHCPv6 的 DHCP 客户端,它可同 DHCPv6 服务器一起执行状态地址自动配置。 |
有关 Windows Server“Longhorn”和 Windows Vista 中 IPv6 改动的详细信息,请参阅对 Windows Vista 和 Windows Server“Longhorn”中 IPv6 的更改。
基于策略的服务质量
Windows Server 2003 和 Windows XP 通过常规服务质量 (GQoS) API 为应用程序提供服务质量 (QoS) 功能。使用 GQoS API 的应用程序可以访问优先的传递函数。在 Windows Server“Longhorn”和 Windows Vista 中,有一些新工具可用于管理企业和家庭的网络通信。
适用于企业网络的基于策略的 QoS
Windows Server“Longhorn”和 Windows Vista 中的 QoS 策略使 IT 工作人员可以对传出网络通信的发送速率进行优先排序或管理,并可局限于特定应用程序、特定源 IP 地址和目标 IP 地址以及特定的源和目标 TCP 或 UDP 端口。QoS 策略设置属于用户配置或计算机配置组策略的一部分,通过组策略对象编辑器进行配置,并通过组策略管理控制台链接到 Active Directory® 目录服务容器(域、站点和组织单元)。QoS 策略可应用于隶属于某个域、站点或组织单元的用户或计算机。
要管理带宽的使用,可以对 QoS 策略配置一个出站通信节流率。通过节流,QoS 策略会将聚合的传出网络通信限制在一个指定的速率内。为指定优先排序的传送,通信被标上了已配置的“差分服务代码点”(DSCP) 值。网络基础结构中的路由器可将标有 DSCP 的数据包放置在差分传送的不同队列中。可同时运用 DSCP 标记和节流功能进行有效的通信管理。由于节流和优先级标记是在网络层上执行的,因此不必修改应用程序。
“基于高级策略的 QoS”设置允许您通过指定 TCP 接收窗口大小的最大值(默认大小为 16 MB)来间接控制传入的 TCP 数据,并允许您指定应用程序是否可以设置 DSCP 值(默认情况下允许)。
有关基于策略的 QoS 的详细信息,请参阅 Quality of Service in Windows Server "Longhorn" and Windows Vista(英文)。有关基于策略的 QoS 的体系结构的信息,请参阅 Windows Server“Longhorn”和 Windows Vista 中基于策略的 QoS 体系结构。
家庭网络的 qWave
由于家庭网络正在日益被数据和音频/视频 (A/V) 两种应用程序所共享,因而需要一种 QoS 解决方案,以用于在处理数据通信之前先优先处理随时间变化的 A/V 通信。另外,越来越多的家庭网络实现了无线连接,从而增加了对延迟和带宽敏感的应用程序方面的复杂性。Windows Vista 支持“优质 Windows 音频/视频体验”(qWave),这是一套与 QoS 相关的软件模块,可应对 A/V 应用程序和无线网络带来的网络难题。qWave 作为 QoS 子系统的一部分集成在网络堆栈中,与多个网络和数据链路层数据包优先级技术配合使用以同时支持家庭网络上的多个 A/V 流(需要 QoS 的实时流量)和数据流(best-effort 流量,如电子邮件或文件传输),同时提供高质量的用户体验。
这套 qWave 技术可检测并监控 LAN 带宽、发现家庭网络的 QoS 能力,并提供分布式许可控制以保证网络带宽使用的合理性和一致性。这些技术启用了先进的 AV 流方法,以便应用程序可以动态地适应易变的网络情况。
有关 qWave 的详细信息,请参阅 Quality Windows Audio-Video Experience - qWave(英文)。
服务器消息块 2.0
服务器消息块 (SMB) 也称为“通用 Internet 文件系统”(CIFS),是基于 Windows 的计算机默认使用的文件共享协议。Windows 包括 SMB 客户端(通过网络连接的属性安装的 Microsoft Windows 组件的客户端)和 SMB 服务器(通过网络连接的属性安装的 Microsoft Windows 组件的文件和打印机共享)。Windows Server“Longhorn”和 Windows Vista 之前的 Windows 版本中的 SMB(称为 SMB 1.0)最初在 15 年前针对早期的基于 Windows 的网络操作系统(如 Microsoft LAN Manager 和 Windows for Workgroups)而设计,并一直延续着其最初设计的局限性。
Windows Server“Longhorn”和 Windows Vista 中的 SMB 还支持 SMB 2.0,这是针对当今网络环境和下一代文件服务器的要求重新设计的新版 SMB。SMB 2.0 具有下列增强功能:
| • | 支持在同一数据包内发送多个 SMB 命令。这会减少在 SMB 客户端和服务器之间发送的数据包数量,而这正是对 SMB 1.0 普遍提出的一个需要改善之处。 |
| • | 与 SMB 1.0 相比,支持的缓冲区大小明显增加。 |
| • | 增大了协议设计中的限制性常量,以实现可伸缩性。例如,增加了服务器上并发打开的文件句柄的数量以及服务器可具有的文件共享数量。 |
| • | 支持可经受网络可用性短时中断的持久性句柄。 |
| • | 支持符号链接。 |
运行 Windows Server“Longhorn”或 Windows Vista 的计算机既支持 SMB 1.0,也支持 SMB 2.0。用于文件共享操作的 SMB 版本在 SMB 会话协商期间确定。下表显示了用于客户端和服务器计算机各种组合的 SMB 版本。
| 客户端 | 服务器 | 使用的 SMB 版本 |
Windows Server“Longhorn”或 Windows Vista | Windows Server“Longhorn”或 Windows Vista | SMB 2.0 |
Windows Server“Longhorn”或 Windows Vista | Windows XP、Windows Server 2003 或 Windows 2000 | SMB 1.0 |
Windows XP、Windows Server 2003 或 Windows 2000 | Windows Server“Longhorn”或 Windows Vista | SMB 1.0 |
Windows XP、Windows Server 2003 或 Windows 2000 | Windows XP、Windows Server 2003 或 Windows 2000 | SMB 1.0 |
Http.sys 增强功能
Windows Server“Longhorn”和 Windows Vista 在以下几方面增强了 Http.sys(即伺服“超文本传输协议”(HTTP) 通信的内核模式驱动程序)的功能:
| • | HTTP Server API 2.0 |
| • | 服务器端身份验证 |
| • | 日志记录 |
| • | HTTP 事件的 ETW 跟踪 |
| • | Netsh 命令 |
| • | 性能计数器 |
HTTP Server API 2.0
HTTP Server API 是内核模式 HTTP 协议驱动程序,它可通过 Httpapi.dll 获得用户模式 API。HTTP Server API 使服务器应用程序能够注册 HTTP URL、接收请求和为响应服务。HTTP Server API 包括以下内容:
| • | Windows 上对本机和托管 Windows .NET 应用程序都易于使用的 HTTP 侦听器功能。 |
| • | 应用程序可使用 HTTP Server API 与 Internet Information Services (IIS) 6.0 共存和共享 TCP 端口。这样,只要基于 HTTP Server API 的应用程序和 IIS 6.0 应用程序服务于 URL 命名空间的不同部分,便可同时使用流行的 Web 通信 TCP 端口,例如 80 和 443。 |
| • | 在与 HTTP/1.1 兼容的 Windows 操作系统上运行的计算机的本机 HTTP 堆栈。 |
| • | 用于配置 HTTP 服务器的新 API:身份验证、带宽限制、日志记录、连接限制、服务器状态、503 响应、请求队列、响应缓存和 SSL 证书绑定。有关详细信息,请参阅 Using the HTTP Server Version 2.0 API(英文)。 |
服务器端身份验证
Http.sys 现在执行服务器端身份验证。以前,服务器应用程序执行其自己的身份验证。Http.sys 提供服务器端身份验证具有下列优点:
| • | 服务器应用程序可使用权限较低的帐户运行。 |
| • | 服务器应用程序可在不同帐户之下,因为现在 Http.sys 代表它们执行服务主体名称 (SPN) 身份验证。 |
| • | 无缝 NTLM 身份验证握手不会重新启动握手进程。 |
日志记录
Http.sys 现在提供集中式万维网联盟 (W3C) 日志记录,单独一个日志文件即可存储服务器应用程序(例如 IIS)的所有站点条目。在集中式日志文件中,站点 ID 字段标识日志条目所属的站点。
HTTP 事件的 ETW 跟踪
Windows 事件跟踪 (ETW) 是一项 Windows 功能,它获取通常写到日志文件中的有关组件和事件的信息。ETW 日志文件可使解决问题更加容易。跟踪也可以诊断端到端问题,其中活动 ID 指示操作之间的数据流。Http.sys 支持下列类别的跟踪:
| • | HTTP 请求和响应 |
| • | SSL 和身份验证事务 |
| • | 日志记录事件 |
| • | 连接和连接定时器 |
| • | 缓存 |
| • | 服务或应用程序安装;设置或删除属性 |
| • | 基于活动 ID,包括跨其他启用 ETW 的组件 |
对于每个跟踪类别,Http.sys 都支持四个级别的信息:错误、警告、提示信息和详细信息。Http.sys 跟踪可作为高级故障排除工具来使用,以获取关于 Http.sys 进程和行为的信息。
要启动 Http.sys 的 ETW 跟踪会话,请执行下列操作:
1. | 创建一个文件夹以存储跟踪文件。在此文件夹中,创建一个包含下列内容的名为 Httptrace.txt 的文件: "Microsoft-Windows-HttpService" 0xFFFF |
2. | 使用下列命令启动跟踪: logman start "http trace" -pf httptrace.txt -o httptrace.etl -ets |
3. | 执行需要跟踪的步骤或测试。 |
要停止 Http.sys 的 ETW 跟踪会话,请使用下列命令:
logman stop "http trace" -ets
现在文件夹中应出现一个 Httptrace.etl 跟踪文件。此文件可使用 Tracerpt.exe 工具转换为 XML 格式、HTML 或 CSV 文件。例如,要将 Httptrace.etl 文件的内容转换为 CSV 文件,请使用下列命令:
tracerpt httptrace.etl -y -o httptrace.csv
然后即可在文本编辑器或电子表格应用程序中查看 CSV 文件。
Http.sys 的 Netsh 命令
现在可以通过 netsh http 上下文中的一组命令为 Http.sys 管理配置设置和控制诊断。Netsh 是一个命令行工具,由许多其他 Windows 网络服务(例如 IPsec 以及路由和远程访问)使用。使用这个新的支持,可在 Windows 命令提示下执行下列操作:
| • | 配置 SSL 证书绑定、URL 保留、IP 侦听列表或全局超时 |
| • | 删除或刷新 HTTP 缓存或日志记录缓冲区 |
| • | 显示 Http.sys 服务或缓存状态 |
Http.sys 的性能计数器
Http.sys 现在具有下列性能指标计数器,可帮助您对 Web 服务器进行监视、诊断和功能规划:
| • | HTTP 服务计数器
| ||||
| • | HTTP 服务 URL 组
| ||||
| • | HTTP 服务请求队列
|
使用这些新性能计数器,可通过诊断控制台插件查看指标或通过 Performance Counters API(英文)获得指标。
WinINet 增强功能
Windows Server“Longhorn”和 Windows Vista 中的 WinINet API 增强功能包括如下内容:
| • | 支持 IPv6 文字和范围 ID |
| • | 支持 HTTP 解压缩 |
| • | 支持国际化域名 |
| • | 支持 ETW 跟踪 |
| • | Web 代理自动发现脚本中的 IPv6 支持 |
支持 IPv6 文字和范围 ID
WinINet 现在支持 RFC 2732 和在 URL 中使用 IPv6 常量地址。例如,要连接到 IPv6 地址为 2001:db8:100:2a5f::1 的 Web 服务器,使用基于 WinINet 的 Web 浏览器(例如 Internet Explorer)的用户可以键入 http://[2001:db8:100:2a5f::1] 作为地址。尽管通常用户可能不使用 IPv6 常量地址,但在 URL 中指定 IPv6 地址的能力对应用程序开发人员、软件测试人员和网络故障排除人员非常有价值。WinINet 也支持将 IPv6 范围 ID(也称为区域 ID)作为地址的一部分进行编码,以允许用户指定 IPv6 目标的范围。有关详细信息,请参阅 IP Version 6 Support(英文)。
支持 HTTP 解压缩
WinINet 现在包括对 gzip 和 deflate 内容编码方案的内置支持。在 WinINet 内进行解压缩处理会在通过减少网页下载时间使性能得到提高的同时,减少 Web 浏览器和 Web 服务器之间的数据压缩/解压缩问题。这对低带宽连接用户(例如拨号 Internet 用户)极其有益。有关详细信息,请参阅 Content Encoding(英文)。
支持国际化域名
现在,当使用 WinINet API 的 Unicode 版本时,WinINet 遵循主机名的国际化域名 (IDN) 标准 (RFC 3490)。此项新的支持功能确保了应用程序可使用包含非 ASCII 字符的域名正确工作,而无需 Web 应用程序内的 IDN 支持、安装第三方插件或网络通信路径中的中间节点。有关详细信息,请参阅 IDN Support in WinINet(英文)。
支持 ETW 跟踪
WinINet 现在支持 ETW 跟踪,该功能允许 IT 帮助台和专业支持人员获取关于 WinINet 进程和事件的详细信息,以帮助确定协议起源或应用程序问题的根源。通过包含所有 WinINet 事件的标识符,可使用这些标识符关联相邻网络层的跟踪,以构建跨越整个网络堆栈的一系列 ETW 跟踪。有关 ETW 跟踪的详细信息,请参阅 Event Tracing(英文)。
Web 代理自动发现脚本中的 IPv6 支持
WinINet 提供的 Web 代理自动发现 (WPAD) 脚本助手功能已进行更新,可支持 IPv6 地址和子网前缀。使用 dnsResolve()、myIpAddress()、isInNet() 和 isResolvable() 代理助手 API 的 WPAD 脚本现在可以从 WinINet 获取 IPv6 信息。有关 WPAD 的详细信息,请参阅 WinHTTP AutoProxy Support(英文)。
WinHTTP 增强功能
Windows Server“Longhorn”和 Windows Vista 中 WinHTTP 5.1 API 的更新包括以下方面:
| • | 支持 4 GB 以上的数据上传 |
| • | 支持分块传输编码 |
| • | 支持检索发行者列表以用于基于安全套接字层的客户端身份验证 |
| • | 支持可选客户端证书请求 |
| • | 支持四元组连接信息指示 |
| • | SSL 客户端身份验证的新错误代码 |
| • | WPAD 脚本中的 IPv6 支持 |
支持 4 GB 以上的数据上传
WinHTTP 现在允许应用程序添加一个“内容长度”标头,以指定高达 264 字节的数据长度。
支持分块传输编码
WinHTTP 现在允许应用程序为其数据执行“分块”传输编码,并使用 WinHttpWriteData() API 发送数据。WinHTTP 将检测“传输编码”标头是否存在,并进行内部调整,以确保传输符合 HTTP 1.1 规范。
支持检索发行者列表以用于基于安全套接字层的客户端身份验证
WinHTTP 现在允许应用程序检索与客户端身份验证质询相关联的发行者列表。发行者列表指定服务器授权的认证机构 (CA) 列表,以颁发客户端证书。WinHTTP 应用程序可使用此项新支持功能确定正确的客户端证书,以供客户端身份验证使用。
支持可选客户端证书请求
某些安全的 HTTP 站点会请求客户端证书,但并不是一定要有客户端证书。如果客户端没有客户端证书以响应请求,服务器可以使用其他类型的 HTTP 身份验证,或者允许匿名访问。为支持与这样的服务器配置的互操作,WinHTTP 现在允许应用程序提供 NULL 客户端证书,以向服务器表明它没有用于安全套接字层 (SSL) 身份验证的客户端证书。
支持四元组连接信息指示
现在,在完成 WinHttpReceiveResponse() API 后,WinHTTP 允许应用程序查询与引发响应的 HTTP 请求相关联的源 IP/端口和目标 IP/端口。
SSL 客户端身份验证的新错误代码
WinHTTP 现在包括 SSL 客户端身份验证中下列常见错误的错误代码:
| • | 客户端证书没有关联私钥,原因通常是导入了不含私钥的客户端证书。 |
| • | 调用 WinHttpSendRequest() 或 WinHttpReceiveResponse() 的应用程序线程无权访问与所提供的客户端证书相关联的私钥。验证私钥的访问控制列表 (ACL) 是否允许应用程序访问它。 |
WPAD 脚本中的 IPv6 支持
WinHTTP 提供的 WPAD 脚本助手功能已经过更新,包含了对 IPv6 地址和子网前缀的支持。使用 dnsResolve()、myIpAddress()、isInNet() 和 isResolvable() 代理助手 API 的 WPAD 脚本现在可以从 WinHTTP 获取 IPv6 信息。有关 WPAD 的详细信息,请参阅 WinHTTP AutoProxy Support(英文)。
有关 Windows Server“Longhorn”和 Windows Vista 中的 WinHTTP 增强功能的信息,请参阅 What's New in Windows Longhorn(英文)和 SSL in WinHTTP(英文)。
Windows 套接字增强功能
Windows 套接字 (Winsock) 支持在以下几个方面得到了更新:
| • | 新 Winsock API |
| • | Winsock 事件的 ETW 跟踪 |
| • | 分层服务提供程序的增强功能 |
| • | Winsock 网络诊断框架模块 |
| • | 新内核模式套接字 API |
新 Winsock API
Windows Server“Longhorn”和 Windows Vista 包括下列新 Winsock API:
| • | WSAConnectByName() 创建与指定目标的连接(给定目标主机名称)。WSAConnectByName() 取得名称解析返回的所有目标地址和所有本地地址,并用成功率最高的地址对来尝试连接。传输提供的最优配对算法决定地址对的顺序。WSAConnectByName() 确保在最短时间内建立连接(如果可能)。 |
| • | WSAConnectByList() 创建与指定目标的连接(给定目标 IP 地址列表)。WSAConnectByList 取得 M 个地址和本地计算机的 N 个地址列表,并使用多达 M x N 种地址组合尝试连接。 |
Winsock 事件的 ETW 跟踪
| • | 下面是一些可使用 ETW 跟踪进行跟踪的 Winsock 事件: |
| • | 创建套接字 |
| • | 绑定 |
| • | 连接 |
| • | 接受 |
| • | 发送 |
| • | 接收 |
| • | 中止指示 |
可使用下列工具启用 Winsock 事件的 ETW 跟踪:
| • | 事件查看器管理单元 |
| • | Logman.exe 和 Tracerpt.exe 工具 |
要使用事件查看器管理单元启用 Winsock 事件的 ETW 跟踪,请执行下列操作:
1. | 运行“Administrative Tools”(管理工具)文件夹中的“Event Viewer”(事件查看器)工具。 |
2. | 在“Event Viewer”(事件查看器)管理单元树中,依次打开“Application Logs”(应用程序日志)和“Microsoft-Windows-Winsock-AFD”。 |
3. | 单击“Winsock/AFD”项。 |
4. | 在“Action”(操作)窗格中,单击“Log Properties”(日志属性)。 |
5. | 在“Log Properties”(日志属性)对话框中,单击“Enable Logging”(启用日志记录),然后单击“OK”(确定)。 |
要查看事件,请在“Action”(操作)窗格中单击“Refresh”(刷新)。要禁用日志记录,请清除“Winsock/AFD”项“Log Properties”(日志属性)对话框中的“Enable Logging”(启用日志记录)复选框。
根据所要查看的事件的数量,可能需要增加日志的大小。
若要使用 Logman.exe 工具对 Winsock 事件启用 ETW 跟踪,请使用下列命令:
logman create trace afdlog –o LogFileLocation logman update afdlog –p “Microsoft-Windows-Winsock-AFD” logman start afdlog
一个二进制日志文件将被写入 LogFileLocation。若要将使用 Logman.exe 工具编写的二进制文件转换为可读本文,请使用 Tracerpt.exe 工具。例如,使用下列命令:
tracerpt.exe c:\afdlog.etl –o afdlog.txt
要停止日志记录,请使用下列命令:
logman stop afdlog
分层服务提供程序的增强功能
Windows Server“Longhorn”和 Windows Vista 中的 WinINet 分层服务提供程序 (LSP) 支持在以下方面得到增强:
| • | LSP 的安装和删除均记录在系统事件日志中,以帮助确定哪些应用程序正在安装 LSP,并排除失败的 LSP 安装的故障。要在控制台窗口查看已记录的事件,可使用“netsh winsock audit trail”命令。 |
| • | 提供了一个新安装 API (WSCInstallProviderAndChains),软件供应商可用来将 LSP 安装在 Winsock 目录下。可使用一系列 Winsock 函数手动安装 LSP,但是如果安装不正确,则会使 Winsock LSP 目录处于不一致状态。使用这个新的 API 可使开发 LSP 的软件供应商少编写数百行的代码。 |
| • | 提供一些新工具,可用来将 LSP 分类并从系统关键服务的处理路径中删除多数 LSP。这些新工具为 Windows 提供了更高的稳定性,从而防止系统关键服务中存在设计有误的 LSP。 |
| • | 提供一个用于网络诊断框架的 Winsock 特定诊断模块,它允许用户通过只删除那些引起故障的 LSP 有选择地修复 Winsock 目录。 有关网络诊断框架的详细信息,请参阅 Network Diagnostics Framework in Windows Vista(英文)。 |
新内核模式套接字 API
Windows Server“Longhorn”和 Windows Vista 的网络体系结构中包含一个称为 Winsock 内核 (WSK) 的新接口。WSK 是一种新型与传输无关的内核模式网络编程接口 (NPI),用于 TDI 客户端。通过 WSK,内核模式的软件模块可使用与用户模式 Windows Sockets 2 API 所支持的编程语义相似的类套接字编程语义执行网络通信。尽管 Windows Vista 支持 TDI 以实现向后兼容,但 TDI 客户端应得到更新,以使用 WSK 来获得最佳性能。
相关背景信息,请参阅 WSK 简介和内核模式与用户模式。有关 WSK API 的信息,请参阅内核中的 Windows Sockets。
NDIS 6.0
Windows Server“Longhorn”和 Windows Vista 包括网络驱动程序接口规范 (NDIS) 6.0。NDIS 规定了内核模式驱动器与操作系统间的标准接口。NDIS 还规定了分层网络驱动程序间的标准接口,以便从高级驱动程序(例如:网络传输)提取管理硬件的低级驱动程序。有关 NDIS 6.0 的详细信息,请参阅 NDIS - Network Driver Interface Specification(英文)。
NDIS 6.0 包括以下功能:
| • | 全新的卸载支持 |
| • | 支持轻型筛选器驱动程序 |
| • | 接收端伸缩 |
全新的卸载支持
NDIS 6.0 为将网络通信处理函数卸载到网络适配器提供了以下全新支持:
| • | 卸载 IPv6 通信 Windows Server 2003 和 Windows XP 中的 NDIS 5.1 已支持卸载 IPv4 通信处理。NDIS 6.0 目前支持卸载 IPv6 通信处理。 |
| • | 校验和卸载支持 IPv6 现已支持卸载 IPv6 通信流的校验和计算。 |
| • | 大量发送卸载版本 2 NDIS 5.1 已支持大型分段卸载 (LSO),它可为大小高达 64 KB 的数据块卸载 TCP 数据分段。NDIS 6.0 中的大量发送卸载版本 2 (LSOv2) 可以为大小超过 64 KB 的数据块卸载 TCP 数据分段。 |
支持轻型筛选器驱动程序
在 NDIS 6.0 中,中间筛选器驱动程序已被轻型筛选器 (LWF) 驱动程序取代,后者是 NDIS 中间驱动程序和微端口驱动程序的组合。LWF 驱动程序包括以下优点:
| • | 不再需要编写单独的协议和微端口。所有功能均包含在一个驱动程序中。 |
| • | 可以在不断开现有连接的情况下,在堆栈中添加或删除 LWF 驱动程序。 |
| • | 改进了性能。 |
| • | 旁路模式允许 LWF 驱动程序只检查所选的控制和数据路径。 |
已转换为 LWF 驱动程序的中间筛选器驱动程序的示例为 Pacer.sys(以前称为 Psched.sys)。它具有相同的功能,但利用了 NDIS 6.0 在性能方面的改进。有关详细信息(包括示例),请参阅 Windows 驱动程序工具包。
接收端伸缩
在运行 Windows Server 2003 或 Windows XP 的多处理器计算机的体系结构中,网络适配器与一个单独的处理器相关联。无论是否有其他可用处理器,单个处理器都必须处理网络适配器接收的全部通信量。对于高容量服务器(例如面向 Internet 的 Web 服务器或企业文件服务器),这种体系结构所带来的后果就是与网络适配器相关联的处理器所能处理的传入通信量和连接数量都有限。如果与网络适配器相关联的处理器不能以足够快的速度处理传入通信量,网络适配器会丢弃通信量,从而导致重传和性能降低。
在 Windows Server“Longhorn”和 Windows Vista 中,网络适配器不与单个处理器相关联。取而代之的是,传入通信量由计算机上的多个处理器共同处理。这一新功能称为接收端伸缩,允许高容量服务器上的网络适配器接收更多的通信量。现在,一台多处理器计算机不必增加服务器即可处理更多传入通信,从而降低成本。要利用这项新功能,必须安装能够运用 Windows Server“Longhorn”和 Windows Vista 中的这种新体系结构并与接收端伸缩兼容的网络适配器。可从许多网络适配器供应商那里获得与接收端伸缩兼容的网络适配器。
有关详细信息,请参阅 Scalable Networking with RSS(英文)。
网络感知
对于开发人员而言,创建可自动适应变化的网络条件的应用程序一直以来都是很困难的事情。Windows Vista 中的网络感知 API 允许应用程序执行以下任务:
| • | 向 Windows Vista 注册,以便当计算机所连接的网络发生变化时,可得到通知。 例如,一位用户在工作时将便携式计算机置于备用模式,然后在无线热点将其打开。Windows Vista 一旦察觉到网络变化,应用程序就可自动进行自配置或以不同方式运转,以提供更多无缝用户体验。 | ||||||
| • | 查询 Windows Vista 获取当前所连接的网络的特征,以确定应用程序的设置和运行。特征包括以下内容:
|
开发人员可为不同类型的连通性、连接和网络位置类型来增强 Windows Vista 应用程序性能,而无需构建自己的网络检测组件。网络感知 API 可使开发人员专注于一些使网络连通性对用户透明的功能,而不是低级网络确定的细节。
有关网络位置识别 API 的详细信息,请参阅 Network Awareness(英文)。
Windows 对等网络增强功能
Windows 对等网络(最初随 Windows XP 高级网络包一同引入)是 Windows Vista 中的一种操作系统平台和 API,可用以开发点对点 (P2P) 应用程序。Windows Vista 在以下几个方面增强了 Windows 对等网络:
| • | 易用的新型 API 在 Windows Vista 中,用于访问 Windows 对等网络功能(比如:名称解析、组创建和安全性)的 API 得到了极大的简化,可更加便利地为 Windows 创建 P2P 应用程序。 |
| • | 新版本 PNRP Windows Vista 带有对等名解析协议 (PNRP) 第 2 版。该版本具有更高的可伸缩性,并使用更少的网络带宽。对于 Windows Vista 中的 PNRP v2,Windows 对等网络应用程序可通过简化的 PNRP API 访问 PNRP 名称发布和解析函数。为了适应 Windows Vista 中高度简化的 PNRP 名称解析,PNRP 名称现已集成到 getaddrinfo() Windows 套接字函数中。若要用 PNRP 将名称解析为 IPv6 地址,应用程序可以使用 getaddrinfo() 函数解析完全合格域名 (FQDN) name.prnp.net,其中 name 为被解析的对等方名称。Windows Vista 将 pnrp.net 域保留用于 PNRP 名称解析。PNRP v2 协议与运行 Windows XP 的计算机所用的 PNRP 协议不兼容。Microsoft 正在研究开发并发布一个针对 Windows XP 的 Windows 对等网络组件的更新以支持 PNRP v2 的事宜。 |
| • | People Near Me 这是 Windows Vista 的 Windows 对等网络的一项新功能,能够使用户动态地发现本地子网上其他用户及其已注册的支持 People-Near-Me 的应用程序,并可轻松地邀请其他用户参与协作活动。接受邀请后,被邀请用户的计算机会启动一个应用程序,随后两个应用程序就可以开始参与协作活动了,比如聊天、照片共享或玩游戏。 |
| • | Windows 会议室 Windows Vista 带有一个基于 P2P 的、新式的 Windows 会议室应用程序,用户可以使用它方便地建立会议与开始协作。Windows 会议室使用 Windows 对等网络功能。 |
| • | Netsh 配置支持 您现在可以使用 netsh p2p 上下文中的命令配置 Windows 对等网络设置。 |
| • | 组策略配置支持 您现在可以从“计算机配置\管理模板\网络\Microsoft 对等网络服务”节点使用组策略配置 Windows 对等网络设置。 |
Windows 防火墙
Windows Server“Longhorn”和 Windows Vista 中全新的 Windows 防火墙在 Windows XP Service Pack 2 和 Windows Server2003 Service Pack1 中的当前 Windows 防火墙的基础上进行了如下功能增强:
| • | 同时支持对传入和传出通信进行筛选 网络管理员可以对新的 Windows 防火墙配置一组例外设置,以阻止所有通信被发送到特定的端口(比如:众所周知的病毒软件所用的端口)或包含敏感或不良内容的特定地址。 |
| • | 带有高级安全 Microsoft 管理控制台 (MMC) 管理单元的新式 Windows 防火墙可执行图形用户界面 (GUI) 配置 带有高级安全管理单元的新式 Windows 防火墙提供了例外和安全规则配置向导。若要对该防火墙的高级设置执行命令行配置,可以使用 netsh advfirewall 上下文中的命令。 |
| • | 集成了防火墙筛选和 IPsec 保护设置 使用带有高级安全管理单元的 Windows 防火墙时,可以配置防火墙筛选和受保护的通信规则。 |
| • | 例外的高级配置 可以对源和目标 IP 地址、IP 协议号、源和目标传输控制协议 (TCP) 及用户数据报协议 (UDP) 端口、所有或多个 TCP 或 UDP 端口、特定类型的接口、ICMP 和 ICMP for IPv6 (ICMPv6) 通信(按类型和代码)以及服务配置防火墙筛选例外。 |
有关这些改进功能的详细信息,请参阅 Windows Vista 和 Windows Server“Longhorn”中的新 Windows 防火墙。有关其他信息,请参阅 Introduction to Windows Firewall with Advanced Security(英文)。
IPsec 的改进功能
Windows Server“Longhorn”和 Windows Vista 对 Internet 协议安全 (IPsec) 进行了如下功能改进:
| • | 集成的防火墙和 IPsec 配置 |
| • | 简化的 IPsec 策略配置 |
| • | 客户端到 DC IPsec 保护 |
| • | 改进的负载平衡和群集服务器支持 |
| • | 改进的 IPsec 身份验证 |
| • | 全新的加密支持 |
| • | 集成网络访问保护 |
| • | 针对受保护通信的附加配置选项 |
| • | 集成的 IPv4 和 IPv6 支持 |
| • | 扩展的事件和性能监视器计数器 |
| • | 网络诊断框架支持 |
集成的防火墙和 IPsec 配置
在 Windows Server 2003 和 Windows XP 中,Windows 防火墙和 IPsec 都是必须单独配置的组件和服务。虽然 Windows 防火墙的用途是阻止或允许传入通信,但是 IPsec 也可以被配置为阻止或允许传入通信。由于可以通过两种不同并且独立的服务对传入通信配置阻止和允许行为,因此可能存在重复或矛盾的设置。另外,Windows 防火墙和 IPsec 支持指定允许的传入通信的不同配置选项。譬如,Windows 防火墙通过指定应用程序名来允许例外(允许的入站通信),而 IPsec 则不是。IPsec 根据 IP 协议号来允许例外,而 Windows 防火墙则不然。
在 Windows Server“Longhorn”和 Windows Vista 中,Windows 防火墙和 IPsec 配置被整合到一个工具中,即带有高级安全管理单元的全新 Windows 防火墙。现在,该工具控制着传统的防火墙职责(阻止和允许入站和出站通信),并通过 IPsec 保护通信。此外,netsh advfirewall 上下文内的命令可用于通过命令行配置防火墙和 IPsec 行为。Windows 防火墙与 IPsec 的集成为运行 Windows Server“Longhorn”或 Windows Vista 的计算机提供了验证防火墙。
简化的 IPsec 策略配置
在 Windows Server 2003 和 Windows XP 中,许多应用场景(如 Server and Domain Isolation(英文))中的 IPsec 策略配置都包含一套用于保护大多数网络通信的规则以及另一套针对受保护通信例外的规则。与网络基础结构服务器(比如:DHCP 和 DNS 服务器以及域控制器)的不受保护的通信需要有例外。启动时,计算机必须能够获取 IP 地址,使用 DNS 查找域控制器,然后在开始使用 Kerberos 身份验证将自身验证为 IPsec 对等方之前,登录到其所在的域。与不支持 IPsec 的网络节点进行的通信需要其他例外。在某些情况下,会有数十个或数百个例外,从而更难在企业网络上部署 IPsec 保护,并持续加以维护。
Windows Server“Longhorn”和 Windows Vista 中的 IPsec 在协商 IPsec 保护时提供了一个可选行为。若启用该行为,则在发起与其他网络节点的通信时,运行 Windows Server“Longhorn”或 Windows Vista 的 IPsec 节点将同时尝试进行明文通信并协商受保护的通信。如果发起的 IPsec 对等方未接收到最初协商尝试的响应,那么通信将继续以明文进行。若发起的 IPsec 对等方接收到了响应,则在协商完成之前将停止明文通信。
通过这一可选行为和推荐的配置来要求保护已发起的传入和传出的通信,发起节点可发现与之通信的节点是否支持 IPsec,并采取相应的操作,从而大幅简化 IPsec 策略配置。例如,对于一组不应该或不能够通过 IPsec 保护网络通信的主机的例外,发起节点不需要一套预定义的 IPsec 筛选器。发起节点会同时尝试受保护和不受保护的通信,若受保护的通信行不通,则采用不受保护的通信。
这种新的协商行为还提高了到主机的不受保护连接的性能。运行 Windows Server 2003 或 Windows XP 的 IPsec 节点在被配置为请求受保护通信但允许不受保护通信(这种行为被称为后退至明文)的情况下,会发送协商消息,然后等待响应。在后退至明文并尝试进行不受保护通信之前,发起节点会等待片刻(最长 3 秒钟)。对于 Windows Server“Longhorn”和 Windows Vista,后退至明文时不再有 3 秒钟的延迟,因为在发起节点等待响应时,明文通信就已在进行中。
客户端到 DC IPsec 保护
在 Windows Server 2003 和 Windows XP 中,微软目前建议用户不要运用 IPsec 保护功能来保护域控制器和成员计算机间的通信(但是,微软建议保护域控制器间的通信)。这是由于 IPsec 策略配置会因为域成员与域控制器间传输的不同类型的通信而变得非常复杂。此外,还存在一个域加入问题。如果域控制器从必须提供基于域的凭据用于身份验证的计算机请求受 IPsec 保护的通信,那么不属于域的计算机就无法联系域控制器以加入域。
Windows Server“Longhorn”和 Windows Vista 支持在下列部署模式中保护域成员和域控制器间的通信:
| • | 由于有了新的协商行为,用户不再需要对域控制器配置免除,从而简化了 IPsec 策略以及 IPsec 保护在域中的部署。 |
| • | 可以在域中配置 IPsec 策略以请求受保护的通信,但不是非要不可。 域控制器将保护与域成员的大部分通信,但允许明文形式的域加入及其他类型的通信。 |
| • | 可以配置 IPsec 策略,为域控制器要求受保护的通信。 当运行 Windows Longhorn“Server”或 Windows Vista 的计算机尝试加入域时,会提示用户输入域用户帐户的用户名和密码。带有域控制器的 IPsec 与 Windows NT/LAN Manager 版本 2 (NTLM v2) 用户凭据就受保护的域加入进行协商。这一新行为仅针对运行 Windows Vista 或 Windows Server“Longhorn”的域成员计算机以及运行 Windows Server“Longhorn”的域控制器。 |
改进的负载平衡和群集服务器支持
Windows Server 2003 中的 IPsec 支持负载平衡和群集服务器。然而,重新建立到群集虚拟 IP 地址的 IPsec 连接的故障转移时间如下:
| • | 对于群集资源的管理移动,通常为 3-6 秒。 |
| • | 当某个群集节点突然不可用或者再次失去连接时,这个时间会长达两分钟。这两分钟超时包括一分钟用于等待 IPsec 闲置时间到期,另一分钟用于重新协商 SA。这么长的闲置时间会导致到群集的活动 TCP 连接失败。 |
在 Windows Server“Longhorn”和 Windows Vista 中,群集节点故障的超时时间被大幅缩短了。Windows Server“Longhorn”和 Windows Vista 中的 IPsec 被更紧密地集成到下一代 TCP/IP 堆栈中。Windows Server“Longhorn”和 Windows Vista 中的 IPsec 并不依赖于通过 IPsec 闲置超时来检测群集节点故障,而是对已建立的 SA 的 TCP 连接进行监视。若已建立的 SA 的 TCP 连接开始重新传输段,则 IPsec 将重新协商 SA。因此可以快速执行到新群集节点的故障转移,通常能够及时防止应用程序失败。
改进的 IPsec 身份验证
Windows Server 2003 和 Windows XP 中的 IPsec 支持 Internet 密钥交换 (IKE) 以及主模式协商期间的三种身份验证方法:Kerberos(针对 Active Directory 域成员)、数字证书和预共享密钥。对于所有这几种身份验证方法,身份验证过程验证的是计算机而不是其用户的身份和可信性。IKE 仅使用一种身份验证方法尝试进行单一身份验证。
Windows Server“Longhorn”和 Windows Vista 支持以下 IPsec 身份验证功能:
| • | 要求 IPsec 对等方使用状况证书进行验证的功能 当网络访问保护客户端证明其状况符合当前状况策略时,状况证书服务器将颁发状况证书。有关网络访问保护平台的详细信息,请参阅本文中的“网络访问保护”部分的内容。 | ||||||||
| • | 在二次身份验证期间指定基于用户或状况的身份验证的功能 Windows Server“Longhorn”和 Windows Vista 中的 IPsec 允许对受 IPsec 保护的通信执行二次身份验证。通过二次身份验证,Windows Server“Longhorn”和 Windows Vista 中的 IPsec 可以执行附加级别的身份验证。二次身份验证期间所使用的凭据可基于以下内容:
二次身份验证可以结合或不结合首次身份验证。譬如,可以使用首次身份验证和 Kerberos 凭据对计算机执行身份验证,然后用二次身份验证和状况证书验证计算机的状况。 | ||||||||
| • | 尝试多种身份验证方法 在 Windows Server 2003 和 Windows XP 中,可以在主模式 IPsec 身份验证中按首选顺序选择多种身份验证方法。不过,仅有一种身份验证方法用于身份验证。如果已协商身份验证方法的身份验证过程失败了,则主模式将失败并且无法执行 IPsec 保护。当对运行 Windows Server“Longhorn”或 Windows Vista 的计算机选择了多种身份验证方法后,IPsec 将尝试多种身份验证,以便执行相互身份验证。例如,若指定使用 Kerberos 和特定认证机构 (CA) 颁发的计算机证书(按此顺序)进行身份验证,则 IPsec 对等方会先尝试 Kerberos 身份验证,然后尝试证书身份验证。 |
有关 IPsec 身份验证改进功能的详细信息,请参阅 AuthIP in Windows Vista(英文)。
全新的加密支持
为了响应政府的安全要求并跟上安全行业支持强加密的发展趋势,Windows Server“Longhorn”和 Windows Vista 支持额外的密钥派生和加密算法。
Windows Server“Longhorn”和 Windows Vista 支持以下这些额外的算法,以协商主模式协商期间派生的主密钥材料:
| • | Diffie-Hellman (DH) Group 19,一种使用 256 位随机曲线组(NIST 标识符 P-256)的椭圆曲线算法 |
| • | DH Group 20,一种使用 384 位随机曲线组(NIST 标识符 P-384)的椭圆曲线算法 |
这两种方法强于受 Windows Server 2003 和 Windows XP Service Pack 2 支持并包含在 Windows Server“Longhorn”和 Windows Vista 中的 DH-768、DH-1024 和 DH-2048 算法。有关这些算法的详细信息,请参阅标题为“IKE 和 IKEv2 的 ECP 组”的 Internet 草案。上述这两种新的 DH 算法不能用于运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机的主模式协商。
除了数据加密标准 (DES) 和 Triple-DES (3DES) 之外,Windows Server“Longhorn”和 Windows Vista 还支持一些额外的数据加密算法:
| • | 带有密码块链接 (CBC) 且密钥大小为 128 位的高级加密标准 (AES) (AES 128) |
| • | 带有 CBC 且密钥大小为 192 位的 AES (AES 192) |
| • | 带有 CBC 且密钥大小为 256 位的 AES (AES 256) |
这些新式的加密算法无法用于运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机的安全关联。
集成网络访问保护
借助全新的网络访问保护平台,用户可以要求 IPsec 节点使用状况证书进行二次身份验证,验证 IPsec 节点符合当前的系统状况要求。在网络策略服务器 (NPS) 评估了 IPsec 对等方的状态后,状况证书服务器会颁发一个状况证书。有关详细信息,请参阅本文中“网络访问保护”部分的内容。
针对受保护通信的附加配置选项
对 IPsec 策略配置带有高级安全管理单元的全新 Windows 防火墙时,用户可以对受保护通信配置以下这些新的设置:
| • | By application name(按应用程序名) 该设置极大简化了受保护的通信配置,因为不必手动配置应用程序所用的端口。 |
| • | All or multiple ports(所有或多个端口) 现在可以在逗号分隔列表中指定所有 TCP 或 UDP 端口或多个 TCP 或 UDP 端口,从而简化了配置。 |
| • | For all addresses in a numeric range(针对某个数字范围内的所有地址) 现在可以使用数字范围(比如 10.1.17.23 至 10.1.17.219)指定 IP 地址的范围。 |
| • | For all addresses on the local subnet(针对本地子网上的所有地址) 一组预定义的地址,这些地址动态地映射到由 IPv4 地址和子网掩码或 IPv6 本地子网前缀所定义的一组地址。 |
| • | For all wireless adapters(针对所有无线适配器) 可以根据接口类型(除了 LAN 和远程访问外,现在还包括无线)保护通信。 |
| • | By Active Directory user or computer account(按 Active Directory 用户或计算机帐户) 可以指定获得发起受保护通信授权的计算机或用户帐户或组的列表。例如,该设置允许用户指定必须保护到带有敏感数据的特定服务器的通信,并且这些通信只能源自属于特定 Active Directory 安全组成员的用户帐户。 |
| • | By ICMP or ICMPv6 Type or Code value(按 ICMP 或 ICMPv6 类型或者代码值) 可以通过指定 ICMP 或 ICMPv6 消息类型和代码字段值来指定 ICMP 或 ICMPv6 消息。 |
| • | For services(针对服务) 可以指定例外应用于任何进程、仅针对服务、针对特定的服务(按服务名称),或者可以键入服务的简称。 |
集成的 IPv4 和 IPv6 支持
在 Windows XP 和 Windows Server 2003 中,针对 IPv6 通信的 IPsec 支持受到一定的限制。不支持 Internet 密钥交换 (IKE) 或数据加密。IPsec 安全策略、安全关联和密钥必须通过文本文件进行配置,并通过命令行工具 IPsec6.exe 加以激活。
在 Windows Server“Longhorn”和 Windows Vista 中,对于 IPv6 通信的 IPsec 支持与 IPv4 相同,包括对 IKE 和数据加密的支持。可使用带有高级安全或 IP 安全策略管理单元的 Windows 防火墙以同样的方式配置针对 IPv4 和 IPv6 通信的策略设置。
扩展的事件和性能监视器计数器
Windows Server“Longhorn”和 Windows Vista 包含 15 个 IPsec 审核特定的新事件,并且 25 个现有事件的文本已使用更实用的信息进行了更新。这些改进功能将有助于用户对失败的 IPsec 协商进行故障排除,而不必启用高级的 Oakley 日志功能。
Windows Server“Longhorn”和 Windows Vista 还包括一些 IPsec 性能计数器,可协助识别有关受 IPsec 保护的通信的性能和网络问题。
网络诊断框架支持
网络诊断框架是一种可扩展的体系结构,可帮助用户针对网络连接故障执行恢复和故障排除操作。对于失败的 IPsec 协商,网络诊断框架会对用户发出提示,提供识别和纠正问题的选项。然后,网络诊断框架的 IPsec 支持会尝试发现失败连接的根源,并自动纠正问题或基于安全方面的考虑提示用户进行适当的配置更改。
有关网络诊断框架的详细信息,请参阅 Network Diagnostics Framework in Windows Vista(英文)。
无线连接和基于 802.1X 的有线连接
Windows Server“Longhorn”和 Windows Vista 包括许多增强功能以支持 IEEE 802.11 无线网络和使用身份验证交换机的网络。
IEEE 802.11 无线更改和增强功能
Windows Server“Longhorn”和 Windows Vista 包括 IEEE 802.11 无线支持的以下改动和增强功能:
| • | 本机 Wi-Fi 体系结构 |
| • | 无线连接的用户界面改进 |
| • | 无线组策略增强功能 |
| • | 无线自动配置的功能变化 |
| • | WPA2 支持 |
| • | 在采用 802.1X 身份验证的情况下集成网络访问保护 |
| • | EAPHost 基础结构 |
| • | 802.11 无线诊断 |
| • | 配置无线设置的命令行支持 |
| • | 网络位置识别和网络配置文件 |
| • | 下一代 TCP/IP 堆栈对于无线环境的增强功能 |
| • | 单一登录 |
本机 Wi-Fi 基础结构
在 Windows Server 2003 和 Windows XP 中,构建了支持无线连接的软件基础结构以仿效以太网连接,并只能通过支持 IEEE 802.1X 身份验证的其他 EAP 类型对这些软件基础结构进行扩展。在 Windows Server“Longhorn”和 Windows Vista 中,已重新设计了称为“本机 Wi-Fi 体系结构”的 802.11 无线连接软件基础结构,其原因如下:
| • | 现在,IEEE 802.11 在 Windows 中表示为与 IEEE 802.3 分离的媒体类型。这样一来,独立硬件供应商 (IHV) 便能够更加灵活地支持 IEEE 802.11 网络的高级功能,例如比以太网规模更大的框架。 |
| • | 本机 Wi-Fi 体系结构中的新组件执行身份验证、授权和 802.11 连接的管理,减小了 IHV 将这些功能合并到他们的无线网络适配器驱动程序中的负担。这使得无线网络适配器驱动程序的开发变得更加容易。在 Windows Server“Longhorn”和 Windows Vista 中,IHV 必须开发一个在其上边缘提供本机 802.11 界面的较小的 NDIS 6.0 微端口驱动程序。 |
| • | 本机 Wi-Fi 体系结构支持 API,这样 ISV 和 IHV 便可为附加的无线服务和客户功能扩展内置无线客户端。由 ISV 和 IHV 编写的可扩展组件还可提供自定义配置对话框和向导。 |
无线连接的用户界面改进
已通过以下方式对无线配置用户界面 (UI) 进行了改进:
| • | 将无线配置集成到新的网络和共享中心 已将与无线网络的连接性集成到 Windows Vista 中新的“网络和共享中心”,而不是从无线网络适配器属性进行集成。从网络和共享中心,您可连接到无线网络、建立使用无线访问点的无线网络或一个特殊的无线网络,并且还可以管理您的无线网络。 |
| • | 可为所有用户(即每个用户)配置无线网络 现在,您可在“管理无线网络”文件夹(可从“网络和共享中心”获得)中指定无线网络配置文件类型。这样,您便可以指定新无线网络(称为配置文件)被应用于计算机的所有用户或可被配置为应用于特定的用户。仅当配置文件对其应用日志的用户登录到计算机时,才能连接每用户无线配置文件。当用户注销或切换到另一用户时,断开每用户配置文件的连接。 |
| • | 可扩展的无线 UI 如本文的“本机 Wi-Fi 体系结构”部分所述,可编写自定义的无线配置对话框或向导,并将其添加到内置的 Windows 无线客户端,从而允许配置自定义的 ISV 或 IHV 无线特性和功能。 |
| • | 可配置非广播无线网络 非广播无线网络(也称为隐藏的无线网络)不通告其网络名称,又称为“服务集标识符”(SSID)。可通过被设置为 NULL 的 SSID 将非广播无线网络的无线访问点配置为发送“信标”帧。此方法也称为使用非广播 SSID。在 Windows Server 2003 和 Windows XP 中,您不能将首选的无线网络配置为非广播无线网络,因为在自动连接到首选无线网络(在这些网络中,有些是非广播无线网络,有些则不是)时,这有时会产生令人迷惑的行为。 在 Windows Server“Longhorn”和 Windows Vista 中,您可将首选的无线网络配置为非广播网络。 |
| • | 非广播无线网络显示为“未命名网络” 在 Connect to a network(连接到网络)向导的可用无线网络列表中,非广播网络以“未命名网络”名称出现。当您连接到非广播无线网络时,您将被提示键入非广播无线网络名称。 |
| • | 连接到不安全的无线网络时提示用户 由于存在与在不安全无线网络上进行的通信相关的风险,Windows Server“Longhorn”和 Windows Vista 将在连接到一个不安全的无线网络时提示用户并允许其确认连接尝试。 |
| • | 网络连接向导列出由无线网络适配器支持的安全方法 Windows Server“Longhorn”和 Windows Vista 中的 Connect to a network(连接到网络)向导检索无线网络适配器的安全功能,并允许用户选择最强大的安全方法。例如,如果无线网络适配器既支持“有线对等保密”(WEP) 又支持“Wi-Fi 保护访问”(WPA),Connect to a network(连接到网络)向导将允许用户选择 WPA 或 WEP 作为安全方法。 |
有关新的无线配置用户 UI 的详细信息,请参阅使用 Windows Vista 连接到无线网络。
无线组策略增强功能
在 Windows Server“Longhorn”和 Windows Vista 中,位于“计算机配置”/“Windows 设置”/“安全设置”节点(在组策略管理单元中)的无线组策略设置包括以下增强功能:
| • | WPA2 身份验证选项 带有 Wi-Fi Protected Access 2 (WPA2)/用于带 Service Pack 2 的 Windows XP 的 Wireless Provisioning Services Information Element (WPS IE) Update 的 Windows XP 支持 WPA2 身份验证选项的配置;WPA2(用于 WPA2 Enterprise)和 WPA2-PSK(用于 WPA2 Personal)。然而,带有 Service Pack 1 的 Windows Server 2003 中的无线网络 (IEEE 802.11) 不支持 WPA2 身份验证选项的集中配置。Windows Server“Longhorn”中的无线组策略设置允许配置 WPA2 身份验证选项。Microsoft 正在调查对于 Windows XP 未来更新内无线组策略设置中的 WPA2 身份验证选项的支持。 | ||||||
| • | 允许和拒绝的无线网络的名称列表 如果未找到任何首选的无线网络或者与已检测到的首选无线网络之间的连接未获得成功,Windows Server 2003 和 Windows XP 中的无线客户端会提示用户连接到已检测到的无线网络。无法将运行 Windows Server 2003 或 Windows XP 的无线客户端计算机配置为提示用户仅连接到特定的无线网络或从不提示用户连接到特定的无线网络。Windows Server“Longhorn”和 Windows Vista 中的无线组策略设置允许您配置允许和拒绝的无线网络的名称列表。使用允许列表,您可按名称 (SSID) 指定一组允许 Windows Server“Longhorn”或 Windows Vista 无线客户端连接到的无线网络。这对于那些要将一个组织的便携式计算机连接到一组特定的无线网络的网络管理员来说非常有用,该组无线网络可能包括这个组织的无线网络和无线 Internet 服务提供商。使用拒绝列表,您可以按名称指定一组不允许无线客户端与之连接的无线网络。在防止受控的便携式计算机连接到位于组织的无线网络范围内的其他无线网络(例如当一个组织占用某建筑物的某一层,而在相邻楼层有另一个组织拥有其他无线网络时)或防止受控的便携式计算机连接到已知的不安全无线网络时,这将非常有用。 | ||||||
| • | 其他的首选无线网络设置 Windows Server“Longhorn”中的无线组策略设置允许为首选无线网络配置以下内容:
|
有关如何扩展 Windows Server 2003 Active Directory 环境架构以支持 Windows Vista 无线和有线组策略增强功能的信息,请参阅 Windows Vista 无线和有线组策略增强功能的 Active Directory 架构扩展。
无线自动配置的功能变化
无线自动配置是一项根据首选项或默认设置,动态选择计算机所要自动连接的无线网络的服务。这包括在更优先的无线网络可用时,自动选择并连接到该网络。Windows Server“Longhorn”和 Windows Vista 在无线自动配置方面的功能变化如下:
| • | 当没有可用的首选无线网络时的行为变化 在 Windows XP 和 Windows Server 2003 中,如果无法连接首选的无线网络,并且无线网络被配置为防止连接到不在首选列表之中的无线网络(默认),那么无线自动配置会创建一个随机的无线网络名称,并将无线网络适配器置于基础结构模式中。不过,随机无线网络没有安全配置,这使恶意用户可以使用随机无线网络名称连接到无线客户端。 在 Windows Server“Longhorn”和 Windows Vista 中,无线自动配置会为无线网络适配器配置随机名称和安全配置,该安全配置包含 128 位随机加密密钥和无线网络适配器所支持的最强大的加密方法。这个新增的行为有助于防止恶意用户使用随机无线网络名称连接到无线客户端。 |
| • | 针对非广播无线网络的全新支持 在 Windows XP 和 Windows Server 2003 中,无线自动配置会尝试将已配置的首选无线网络与广播其网络名称的无线网络进行匹配。若没有可用的网络匹配首选的无线网络,则无线自动配置将发送探测请求,以确定顺序列表中的首选网络是否为非广播网络。这种行为所带来的结果就是将先于非广播网络连接到广播网络,即使非广播网络在首选列表中的位置高于广播网络。另一种结果就是 Windows XP 或 Windows Server 2003 无线客户端在发送探测请求时会公布自身的首选无线网络列表。 在 Windows Server“Longhorn”和 Windows Vista 中,可将无线网络配置为广播(无线网络名称包含在无线 AP 发送的信标帧中)或非广播(信标帧包含一个设定为 NULL 的网络名称)。无线自动配置现在将按首选网络列表顺序尝试连接到无线网络,无论它们是广播还是非广播网络。因为无线网络现在已显式地标记为广播或非广播,所以 Windows Server“Longhorn”或 Windows Vista 无线客户端仅会发送针对非广播无线网络的探测请求。 |
WPA2 支持
Windows Server“Longhorn”和 Windows Vista 为通过组策略设置对 WPA2 身份验证选项配置标准配置文件(本地配置的首选无线网络)和域配置文件提供了内置支持。WPA2 是一种由 Wi-Fi 联盟授予的产品认证。Wi-Fi 联盟专门对无线设备与 IEEE 802.11i 标准的兼容性进行认证。Windows Server“Longhorn”和 Windows Vista 中的 WPA2 同时支持 Enterprise(IEEE 802.1X 身份验证)和 Personal(预共享密钥身份验证)操作模式。
Windows Server“Longhorn”和 Windows Vista 还对特殊模式的无线网络(无线客户端间不使用无线访问点的无线网络)提供了 WPA2 支持。
在采用 802.1X 身份验证的情况下集成网络访问保护
WPA2-Enterprise、WPA-Enterprise 以及采用 802.1X 身份验证的动态 WEP 连接均可运用网络访问保护平台来阻止不符合系统状况要求的无线客户端获取 Intranet 的无限访问权。有关网络访问保护平台的详细信息,请参阅本文的“网络访问保护 (NAP)”一节。
EAPHost 基础结构
为了更方便地为经 IEEE 802.1X 验证的无线连接开发可扩展身份验证协议 (EAP) 身份验证方法,Windows Server“Longhorn”和 Windows Vista 支持新式的 EAPHost 基础结构。有关详细信息,请参阅本文中“EAPHost 体系结构”部分的内容。
新式的默认 EAP 身份验证方法
在 Windows Server 2003 和 Windows XP 中,经 802.1X 验证的无线连接的默认 EAP 身份验证方法为 EAP-传输层安全 (TLS)。虽然大多数安全的身份验证方式采用了数字证书相互身份验证,但是 EAP-TLS 需要公钥基础结构 (PKI) 来分发、吊销和续订用户和计算机证书。
许多情况下,组织都希望利用 Active Directory 中现有的基于帐户名和密码的身份验证基础结构。所以,在 Windows Server“Longhorn”和 Windows Vista 中,经 802.1X 验证的无线连接的默认 EAP 身份验证方法已被更改为受保护的 EAP-Microsoft 质询握手身份验证协议版本 2 (PEAP-MS-CHAP v2)。PEAP-MS-CHAP v2 是一种针对无线连接的基于密码的 802.1X 身份验证方法,仅要求用户在远程身份验证拨入用户服务 (RADIUS) 服务器上安装计算机证书。有关 PEAP-MS-CHAP v2 的详细信息,请参阅面向基于密码的安全无线访问的 PEAP(附带 MS-CHAP v2)。
针对无线连接的诊断支持
虽然在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中得到了改进,但是对失败的无线连接进行故障排除仍然很困难。在 Windows Server“Longhorn”和 Windows Vista 中,以下这些功能大大简化了无线连接的故障排除:
| • | 无线连接支持全新的网络诊断框架 网络诊断框架是一种可扩展的体系结构,可帮助用户针对网络连接故障执行恢复和故障排除操作。对于失败的无线连接,网络诊断框架会对用户发出提示,提供识别和纠正问题的选项。然后,网络诊断框架的无线支持会尝试发现失败连接的根源,并自动纠正问题或基于安全方面的考虑提示用户进行适当的配置更改。 有关网络诊断框架的详细信息,请参阅 Network Diagnostics Framework in Windows Vista(英文)。 |
| • | 新信息存储在 Windows 事件日志中 对于失败的无线连接尝试,Windows Server“Longhorn”和 Windows Vista 的无线组件会在 Windows 事件日志中记录有关此连接尝试的详细信息。当无线诊断无法解决问题或者可以解决但无法通过更改无线客户端设置来修复问题时,组织里的支持专业人士可以使用这些事件记录执行进一步的故障排除。Windows 事件日志中的信息可缩短解决无线连接支持问题所需的时间。此外,网络管理员可使用 Microsoft Operations Manager 或其他类型的中央管理工具自动收集这些事件日志条目,并就趋势和无线基础结构设计更改进行分析。 |
| • | 可将信息发送给 Microsoft 以便分析和改进 遇到无线连接问题的用户还将通过 Windows 错误报告 (WER) 基础结构得到提示,告诉他们可以将连接信息发送给 Microsoft 以进行分析。此外,成功的诊断可通过软件质量度量 (SQM) 基础结构(在 Windows XP 中也称为“客户体验改善计划”)发送给 Microsoft。在这两种情况中,仅发送无线网络诊断信息(不包含任何有关计算机或用户的个人信息)。Microsoft 将使用该信息确定无线连接失败的根本原因,确定新的无线连接问题及其原因,并采取适当的行动以改善 Windows 中的无线客户端软件,或者与无线供应商携手改善无线硬件产品。 |
用于配置无线设置的命令行界面
Windows Server 2003 或 Windows XP 没有可供用户配置无线设置(通过“网络连接”文件夹中的无线对话框或“无线网络 [IEEE 802.11] 策略”组策略设置)的命令行界面。通过命令行配置无线设置,有助于在以下情况中部署无线网络:
| • | 无线设置的自动脚本支持(不使用组策略) “无线网络 (IEEE 802.11) 策略”组策略设置仅应用于 Active Directory 域。对于没有 Active Directory 或组策略基础结构的环境,可以通过手动或自动方式(比如:登录脚本的一部分)运行实现无线连接自动化配置的脚本。 |
| • | 将无线客户端引导到安全的企业无线网络上 不属于域成员的无线客户端计算机无法连接到组织的受保护无线网络。此外,计算机只有在成功连接到组织的安全无线网络之后,才能加入域。命令行脚本提供了一种连接到组织的安全无线网络以加入域的方法。 有关将 Windows Vista 无线客户端加入域的信息,请参阅将 Windows Vista 无线客户端加入到域。 |
在 Windows Server“Longhorn”和 Windows Vista 中,可在 netsh wlan 上下文中使用 Netsh 命令执行以下操作:
| • | 在已命名的配置文件中配置所有无线客户端设置,包括常规设置(所访问的无线网络的类型)、802.11 设置(SSID、身份验证类型、数据加密类型)以及 802.1X 身份验证设置(EAP 类型及其配置)。 |
| • | 指定允许和拒绝的无线网络的名称列表。 |
| • | 指定首选无线网络的顺序。 |
| • | 显示无线客户端的配置。 |
| • | 从无线客户端删除无线配置。 |
| • | 在无线客户端之间迁移无线配置设置。 |
网络位置识别和网络配置文件
许多应用程序都不具备网络识别支持,从而使用户产生混乱,给开发人员带来负荷。譬如,应用程序无法根据当前连接的网络和条件自动调整其行为。用户可能必须根据所连接的网络(雇主的专用网络、用户的家庭网络、Internet)重新配置应用程序设置。为了消除配置负担,应用程序开发人员可以使用低级 Windows API 和数据构造,或者甚至自行探测网络以确定当前网络,并相应地调整应用程序的行为。
为了使所提供的操作系统基础结构可以使应用程序开发人员更轻松地根据当前连接的网络重新配置应用程序行为,Windows Server“Longhorn”和 Windows Vista 中的网络位置识别 API 可将网络信息提供给应用程序,并使这些应用程序可以方便、有效地适应这些变化的环境。网络位置识别 API 使应用程序能够获得最新的网络信息和位置更改通知。
有关网络位置识别 API 的详细信息,请参阅 Network Awareness(英文)。
下一代 TCP/IP 堆栈对于无线环境的增强功能
正如本文中“针对高丢失率环境的增强功能”一节所述,下一代 TCP/IP 堆栈支持一些新式的 TCP 算法。这些算法可通过从一次或多次数据包丢失中恢复并检测伪重传,来改善无线网络环境的性能。
单一登录
安全无线技术的部署促进了第 2 层网络身份验证(例如 IEEE 802.1X)的运用,从而确保仅允许经过身份验证的用户或设备连入网络,而且他们的数据在无线传输级别得到保护。Windows Server“Longhorn”和 Windows Vista 的“单一登录”功能可根据网络安全配置在恰当的时间执行 802.1X 身份验证,同时轻松而无缝地集成用户的 Windows 登录体验。
网络管理员可使用组策略设置或新的 netsh wlan 命令,来为无线客户端计算机配置单一登录配置文件。配置完单一登录配置文件后,802.1X 身份验证将在计算机登录到域之前执行,并且仅提示用户提供凭据信息(若需要的话)。这个功能确保了在执行计算机域登录之前建立无线连接,从而实现了要求在用户登录之前建立网络连接的应用方案,例如:组策略更新、执行登录脚本以及无线客户端域加入。
要获取有关使用单一登录配置文件来将 Windows Vista 无线客户端加入域的实例,请参阅 Joining a Windows Vista Wireless Client to a Domain(英文)。
基于 IEEE 802.1X 的有线连接的增强功能
在 Windows Server 2003 和 Windows XP 中,对于为身份验证交换机有线连接部署 802.1X 身份验证设置的支持较为有限。Windows Server“Longhorn”和 Windows Vista 通过以下功能改进,简化了部署经 802.1X 验证的有线连接的过程:
| • | 有线 802.1X 设置的组策略支持 |
| • | 用于配置有线 802.1X 设置的命令行界面 |
| • | 在采用 802.1X 身份验证的情况下集成网络访问保护 |
| • | EAPHost 基础结构 |
| • | 802.1X 服务状态的变化 |
有线 802.1X 设置的组策略支持
对于使用 Active Directory 和组策略的环境,Windows Server“Longhorn”和 Windows Vista 在“计算机配置”/“Windows 设置”/“安全设置”/“有线网络 (IEEE 802.3) 策略”路径下,为有线连接的 802.1X 身份验证设置提供了组策略支持。
用于配置有线 802.1X 设置的命令行界面
对于不使用 Active Directory 或组策略的环境或者域加入方案,Windows Server“Longhorn”和 Windows Vista 还支持一个用于为有线连接配置 802.1X 身份验证设置的命令行界面。在 netsh lan 上下文中使用命令可执行以下任务:
| • | 在已命名的配置文件中,配置所有有线客户端设置,包括 802.1X 身份验证设置(EAP 类型及其配置) |
| • | 显示有线客户端的配置 |
| • | 从有线客户端删除有线配置 |
| • | 导出导入有线配置文件以在有线客户端之间迁移有线配置设置 |
有关使用有线配置文件来将 Windows Vista 有线客户端加入域的信息,请参阅 Joining a Windows Vista Wired Client to a Domain(英文)。
在采用 802.1X 身份验证的情况下集成网络访问保护
经 IEEE 802.1X 验证的有线连接可利用网络访问保护平台来阻止不符合系统运行状况要求的有线客户端获取专用网络的无限访问权。有关网络访问保护平台的详细信息,请参阅本文的“网络访问保护 (NAP)”一节。
EAPHost 基础结构
为了更方便地为经 IEEE 802.1X 验证的有线连接开发 EAP 身份验证方法,Windows Server“Longhorn”和 Windows Vista 支持新的 EAPHost 基础结构。有关详细信息,请参阅本文中“EAPHost 体系结构”部分的内容。
802.1X 服务状态的变化
在 Windows XP 和 Windows Server 2003 中,802.1X 服务在默认情况下是启用的,但被置于被动侦听模式中。在 Windows Vista 中,有线连接的 802.1X 服务(称为有线自动配置服务)在默认情况下是禁用的,不过一旦启用后,即以主动侦听模式运行。要获得 LAN 连接属性的“身份验证”选项卡以配置 802.1X 设置,必须首先启动有线自动配置服务。
网络基础结构
Windows Server“Longhorn”和 Windows Vista 改进了以下网络基础结构组件和服务:
| • | 网络访问保护 |
| • | 网络策略服务器 |
| • | 新的 EAPHost 体系结构 |
| • | 远程访问和 VPN 连接增强功能 |
| • | DHCP 增强功能 |
网络访问保护
Windows Server“Longhorn”和 Windows Vista 中的网络访问保护 (NAP) 提供了策略强制组件,以帮助确保连接到网络或在网络上进行通信的计算机符合管理员规定的系统状况要求。例如,系统状况要求可能包括所有计算机都必须安装最新的操作系统更新和防病毒签名文件。
管理员可以结合使用策略验证和网络访问限制组件,来控制网络访问或通信。管理员还可以选择临时限制不符合要求的计算机访问受限的网络。根据所选的配置,受限的网络可能包含更新不合格的计算机所需的资源,从而使这些计算机可以符合无限网络访问和正常通信的状况要求。NAP 为开发人员和供应商提供了一个 API 集,用以创建状况策略验证、网络访问限制、自动修补和持续状况策略符合性的完整解决方案。
NAP 强制技术
Windows Server“Longhorn”和 Windows Vista 包括以下 NAP 强制技术:
| • | IPsec 通过 IPsec 强制,用户可以将网络通信限定到合格的计算机。客户端和服务器计算机可阻断所有源自不合格计算机的通信。合格的计算机成功连接并获得有效的 IP 地址配置后,IPsec 强制将网络通信限定到合格的计算机。IPsec 强制是网络访问保护中最强大的有限网络访问形式。 |
| • | IEEE 802.1X 通过 802.1X 强制,网络策略服务器 (NPS) 可指示某个基于 802.1X 的访问点(以太网交换机或无线访问点)将受限访问配置文件放在 802.1X 客户端上,直到其执行一组状况修补功能为止。受限访问配置文件可由一组 IP 数据包筛选器或一个虚拟 LAN 标识符组成,用以限制 802.1X 客户端的流量。802.1X 强制为通过 802.1X 连接访问网络的所有计算机提供严格的有限网络访问。有关 NPS 的详细信息,请参阅本文中“网络策略服务器”部分的内容。 |
| • | VPN 通过 VPN 强制,VPN 服务器可在每次计算机尝试与网络建立 VPN 连接时强制执行状况策略要求。VPN 强制为通过 VPN 连接访问网络的所有计算机提供严格的有限网络访问。NAP 的 VPN 强制不同于“网络访问隔离控制”(Windows Server 2003 中的功能)。NAP 中的 VPN 强制与网络访问隔离控制执行类似的功能,但 NAP 更易于部署。 |
| • | DHCP 通过 DHCP 强制,每次计算机尝试租用或续租网络上的 IP 地址配置时,DHCP 服务器都可以强制执行状况策略要求。DHCP 强制依赖于 IP 路由表条目,是最弱的 NAP 强制形式。 |
第三方软件供应商可使用 NAP API 创建他们自己的 NAP 强制技术。
有关 NAP 平台的详细信息,请参阅网络访问保护网页。
网络策略服务器
网络策略服务器 (NPS) 是 Microsoft 对 Windows Server“Longhorn”中远程身份验证拨入用户服务 (RADIUS) 服务器和代理的实现。NPS 替代了 Windows Server 2003 中的 Internet 身份验证服务 (IAS)。NPS 对基于 VPN 和 802.1X 的无线和有线连接执行 Windows Server 2003 中的所有 IAS 功能,并对网络访问保护客户端执行状况评估和无限或有限的访问授权。有关详细信息,请参阅本文中“网络访问保护”部分的内容。
NPS 还支持通过 IPv6 发送 RADIUS 通信流(如 RFC 3162 所定义)。
新的 EAPHost 体系结构
Windows Server“Longhorn”和 Windows Vista 包括 EAPHost,这是一种针对“可扩展的身份验证协议”(EAP) 身份验证方法和基于 EAP 的请求者的全新体系结构。EAPHost 提供了以下不受 Windows Server 2003 和 Windows XP 中的 EAP 实现支持的功能:
| • | 支持其他 EAP 方法 EAPHost 将支持其他流行的 EAP 方法。 |
| • | 网络发现 EAPHost 将支持“Identity Hints for EAP(EAP 身份提示)”Internet 草案 (draft-adrangi-eap-network-discovery-13.txt) 所定义的网络发现。 |
| • | 符合 RFC 3748 EAPHost 将符合 EAP 状态机,并解决 RFC 3748 所指定的众多安全漏洞。另外,EAPHost 还将支持“扩展的 EAP 类型”等功能(包括特定于供应商的 EAP 方法)。 |
| • | EAP 方法共存 EAPHost 允许同一个 EAP 方法的多个实现共存。例如,可以同时安装和选择 Microsoft 版本的 PEAP 与 Cisco Systems, Inc. 版本的 PEAP。 |
| • | 模块化请求者体系结构 除了支持模块化 EAP 方法以外,EAPHost 还支持一个模块化请求者体系结构。在该体系结构中,可以轻松地添加新的请求者,而不必置换整个 EAP 实现。 |
对于 EAP 方法供应商,EAPHost 支持针对 Windows Server 2003 和 Windows XP 开发的 EAP 方法,并提供了一种更加简单的方法,用以为 Windows Server“Longhorn”和 Windows Vista 开发新的 EAP 方法。认证的 EAP 方法可通过 Windows Update 进行分发。EAPHost 还可以更好地对 EAP 类型进行分类,从而可供内置的基于 802.1X 和 PPP 的 Windows 请求者使用。
对于请求者方法供应商,EAPHost 支持新链路层的可插入模块化请求者。由于 EAPHost 同 NAP 相集成,因此新的请求者不必具备识别 NAP 的功能。为了加入 NAP,新的请求者只需注册一个连接标识符和一个通知请求者重新进行身份验证的回调函数。
对于网络管理员,EAPHost 允许使用新的 EAP 方法并提供了更加强大而灵活的 802.1X 身份验证连接体系结构。
有关 EAPHost 的详细信息,请参阅 EAPHost Extensibility in Windows Server "Longhorn" and Windows Vista(英文)。
远程访问和 VPN 连接的增强功能
Windows Server“Longhorn”中的远程访问和 VPN 连接包含以下增强功能:
| • | 支持路由隔间 通过利用下一代 TCP/IP 堆栈中的路由隔间支持功能,Windows Server“Longhorn”和 Windows Vista 中的 VPN 客户端能够创建其通信流与 Internet 通信流相分离的 VPN 连接,从而确保来自 Internet 的通信流不会通过 VPN 连接被转发到专用网络上。有关详细信息,请参阅本文中“路由隔间”部分的内容。 |
| • | 远程访问 VPN 连接的“VPN 强制” 内置的 VPN 客户端与路由和远程访问添加了一些组件,用以支持 NAP 平台中的 VPN 强制。有关详细信息,请参阅本文中“网络访问保护”部分的内容。 |
| • | IPv6 支持 如 RFC 2472 中的定义,内置的远程访问客户端与“路由和远程访问”如今支持点对点协议 (PPP) 上的 IPv6 (PPPv6)。本地 IPv6 通信流现在可以通过基于 PPP 的连接来发送。例如,有了 PPPv6 支持,用户可以通过拨号连接或通过基于以太网 (PPPoE) 连接的 PPP(用于宽带 Internet 访问),与基于 IPv6 的 Internet 服务提供商 (ISP) 相连接。内置的远程访问客户端与“路由和远程访问”还支持基于 IPv6 的带有 IPsec 的第 2 层隧道协议 (L2TP/IPsec) VPN 连接。其他 IPv6 支持包括:DHCPv6 中继代理、基于 IPv6 的静态数据包筛选器、以及通过 IPv6 发送和接收 RADIUS 通信流。 |
| • | 修订的连接创建向导 这个全新的向导提供了一种简化的方法来配置拨号、宽带 Internet、VPN 和传入的连接。 |
| • | 更新的 Winlogin 支持 允许第三方访问提供商插入他们的连接,以便在用户登录期间自动创建远程访问连接。 |
| • | 连接管理器管理工具包的多区域支持 允许在任何区域的服务器上,对运行 Windows Vista 或 Windows XP 的任何其他区域的客户端上的安装,创建连接管理器配置文件,从而简化了基于连接管理器管理工具包 (CMAK) 的客户端管理。 |
| • | 连接管理器客户端支持 DNS 动态更新 连接管理器客户端现在支持使用 DNS 动态更新注册 DNS 名称和 IP 地址。 |
| • | 新的加密支持 基于 L2TP/IPsec 的 VPN 连接现在支持具有 128 位和 256 位密钥的高级加密标准 (AES)。取消了对弱加密算法(用于 PPTP 的 40 和 56 位 RC4 以及用于 L2TP/IPSec 的具有 MD5 的 DES)的支持。 |
| • | 支持网络诊断框架 基于客户端的连接支持网络诊断框架的基本诊断功能。 有关网络诊断框架的详细信息,请参阅 Network Diagnostics Framework in Windows Vista(英文)。 |
DHCP 增强功能
DHCP 服务器和 DHCP 客户端服务包含以下增强功能:
| • | 支持针对 IPv6 的动态主机配置协议 (DHCPv6) RFC 3315 所定义的针对 IPv6 的动态主机配置协议 (DHCPv6) 为本地 IPv6 网络上的 IPv6 主机提供了被动地址自动配置。 |
| • | 网络访问保护强制支持 网络访问保护 (NAP) 平台中的“DHCP 强制”要求 DHCP 客户端在接收无限访问的地址配置之前证明其系统状况。有关详细信息,请参阅本文中“网络访问保护”部分的内容。 |
弃用的技术
Windows Server“Longhorn”和 Windows Vista 放弃了对以下技术的支持:
| • | 带宽分配协议 (BAP) |
| • | X.25 |
| • | 串行接口协议 (SLIP) 基于 SLIP 的连接将自动升级为基于 PPP 的连接。 |
| • | Services for Macintosh (SFM) |
| • | 路由和远程访问中的“开放最短路径优先”(OSPF) 路由协议组件 |
| • | 路由和远程访问中的基本防火墙(由 Windows 防火墙代替) |
| • | 用于路由和远程访问的静态 IP 筛选器 API(由 Windows 筛选平台 API 代替) |
总结
Windows Server“Longhorn”和 Windows Vista 加入了许多增强功能,用以改善连接和性能,简化协议及核心网络组件的配置;提高安全性、易用性,并改进无线和经 802.1X 验证的有线连接的部署;通过要求连接的计算机符合系统状况策略,改进对专用网络的保护。
相关链接
更多信息请查阅下列资源:
| • | Windows Server“Longhorn”网站:http://www.microsoft.com/windowsserver/longhorn/default.mspx |
| • | Windows Vista 网站:http://www.microsoft.com/windowsvista/ |
| • | Windows Vista 网络:http://www.microsoft.com/technet/windowsvista/network/default.mspx |
| • | 面向 IT 专业人士的 Windows Vista 资源:http://www.microsoft.com/technet/windowsvista/default.mspx |