分支办公室的 Windows Server 2008
客户要求以尽可能低的成本获取性能更好、速度更快、更有针对性的产品和服务,因此具有大型远程位置网络(或分支办公室)的企业必须优化其 IT 基础结构以满足这些要求。此外,Internet 产品和服务增加了对利润和通过“鼠标加水泥”集成所有渠道(Web、本地和电话)信息的期望的压力。对于分支办公室来说,增加固定成本、提供更多的解决方案和服务(通常与合作伙伴一起)以及提高对不断变化的业务条件的响应性是一种额外压力。
这种信息集中增大了安全风险,因为攻击增加并且攻击的影响也增加了。企业需要比以前更快地符合各种规范,并应对日益加快的竞争。要在各个分支办公室基础结构中部署这些更改,企业需要提高业务敏捷性。各分支办公室管理员面临的主要挑战是:成本控制、安全性、敏捷性。
Windows Server 2008 的下列增强有助于企业以符合经济有效的方式克服这些挑战。
| 挑战 | 分支办公室需求 | Windows Server 2008 功能 |
成本控制 | 降低管理和支持远程办公室的成本 | • Windows Server Core |
安全性 | 提高数据和访问的安全性 | • Windows BitLocker Drive Encryption |
敏捷性 | 提供敏捷和灵活的基础结构,最大化 IT 投资收益 | • Next Generation TCP/IP |
本页内容
 | Read Only Domain Controllers (RODC) |
| Windows Server Core |
| Windows BitLocker Drive Encryption |
| Next Generation TCP/IP |
| Server Message Block (SMB) 2.0 |
| 其他资源 |
Read Only Domain Controllers (RODC)
分支办公室的远程物理安全和增强的性能
Read-only Domain Controller (RODC) 是 Windows Server 2008 操作系统中使用的一种新型域控制器。RODC 主要用于在远程或分支办公室环境中部署,它在用户相对较少、物理安全性差、网络连接性相对较差、IT 知识缺乏的地方非常有用。在远程位置部署 RODC 可以提高安全性、缩短终端用户登录时间并提高网络资源访问效率。
RODC 通过以下方式提高效率并帮助保护分支办公室的运行安全:
| • | 减轻不适当的物理安全性 - 除了帐户密码,RODC 保留可写域控制器拥有的所有 Microsoft Directory Domain Services (AD DS) 对象和属性。但是,客户端不能直接向 RODC 写入更改。这意味着恶意用户在分支位置所做的更改无法破环 Active Directory 林。请求目录读取权限的本地应用程序可以获得该权限,而执行写入操作的 Lightweight Directory Access Protocol (LDAP) 应用程序必须与集线器站点中的可写域控制器取得联系。 |
| • | 提高最终用户生产力 - 对于网络连接性不一致的远程位置,RODC 可以提供不间断的最终用户身份验证。您可以显式配置 RODC 缓存任何用户的凭据 - 或者适用于特定分支办公室位置的那些凭据。缓存凭据之后,RODC 即使在断开连接的情况下,也可以直接处理用户或计算机的登录请求。如果出现不明状况,管理员只需简单地从 Active Directory 域中删除 Branch Office RODC。在删除 RODC 时,可写域控制器保存一个包含单个 RODC 上所有缓存凭据的列表;AD DS 自动重设所有可能泄密的用户帐户密码。 |
| • | 提供非管理域控制器访问 - 通过 Administrator Role Separation,您可以将任何域用户委派为 RODC 的本地管理员,而无需授予该用户任何有关该域或其他域控制器的用户权利。相应地,本地分支用户可以登录到 RODC 对服务器执行维护工作,例如升级驱动程序。但是,分支用户不能登录到任何其他域控制器,也不能在该域中执行任何其他管理任务。这样,可以向分支用户委派在分支办公室内有效地管理 RODC 的能力,而不会危及其他域的安全。 |
Windows Server Core
最小安装可以减少管理开销并最大限度地减少攻击面
在 Windows Server 2008 中,管理员现在可以选择安装最小环境,这样可以减少软件维护并降低所需的管理级别,还能减少 Windows Server 2008 安装的攻击面,从而避免额外开销。在 Windows Server 2008 中,这称为 "Server Core" 安装。许多管理员将会发现 Windows Server Core 是一个理想的分支办公室工具,它可在远程位置部署重要的服务器角色。
您可以为下列受支持的服务器角色部署 Windows Server Core:
| • | 动态主机配置协议 (DHCP); |
| • | 文件和打印; |
| • | 包括一个 RODC 在内的 Active Directory Domain Services (AD DS); |
| • | Active Directory Lightweight Directory Services (AD LDS); |
| • | Windows 媒体服务; |
| • | 域名系统 (DNS); |
可以使用 Windows Server Core 安装可选功能,包括 Windows Internet Name Server (WINS)、故障转移群集、UNIX 应用系统的子系统、备份、多路径 IO、可移动存储管理、Bitlocker Drive Encryption、简单网络管理协议 (SNMP)、Telnet 客户端以及 Quality of Service (QoS)。
Windows Server Core 安装选项只安装选定服务器角色所需的二进制文件子集。例如,Windows 资源管理器用户界面(或 "shell")并不作为 Server Core 的一部分安装。Server Core 服务器的默认用户界面是命令提示符界面。因为许多 Windows 操作无法使用图形用户界面,使用 Server Core 安装选项要求管理员有通过命令提示符或脚本技术管理本地服务器的经验。
Windows BitLocker Drive Encryption
通过加密和验证增加远程环境的安全性
分支办公室环境管理员的重要职责不仅要保护物理远程基础结构的安全,还要确保远程数据的完整性。BitLocker Drive Encryption 是 Windows Vista Enterprise 和 Ultimate 版的客户端计算机和 Windows Server 2008 中新的数据保护功能。BitLocker 可防止窃贼通过引导另一个操作系统或运行软件黑客工具破坏 Windows 文件和系统防护,或脱机查看存储在受保护驱动器上的文件。BitLocker 的数据保护过程分为两个主要的步骤:加密硬盘上的整个 Windows 操作系统卷;验证先前引导组件和引导配置数据的完整性。
最安全的 BitLocker 实现使用了 Trusted Platform Module (TPM) 1.2 版的增强型安全功能。TPM 是计算机制造商在许多最新计算机中安装的硬件组件。它与 BitLocker 配合使用,可保护用户数据并确保运行 Windows Vista 的计算机在系统脱机时不被篡改。
此外,BitLocker 还提供一个选项,可以锁定正常的启动过程,直到用户提供个人识别码 (PIN) 或插入包含启动密钥的 USB 移动设备(如闪存驱动器)后才会解除锁定。BitLocker 可加密整个 Windows 操作系统卷,包括用户数据 和系统文件、休眠文件、页面文件以及临时文件,在系统脱机时保护数据安全。
Next Generation TCP/IP
提高远程办公室的连接性和性能
Microsoft Windows Vista 和 Windows Server 2008 包括重新设计的一个完整 TCP/IP 协议套件。全新的 Next Generation TCP/IP 支持 Internet Protocol version 4 (IPv4) 和 Internet Protocol version 6 (IPv6),以满足当今网络环境的连接性和性能要求。Next Generation TCP/IP 堆栈中许多新功能的设计都考虑到了当今远程环境的需要 - 尤其是通过速度较慢、可靠度较低的网络链接工作的远程位置。
下列功能是 Next Generation TCP/IP 堆栈中的新功能或增强功能:
| • | 接受窗口自动调节:该功能可以根据当前网络条件自动决定连接时接收窗口的最佳大小值。当优化接收 TCP 数据时,应用程序的总体网络使用率可以得到充分提高。 | ||||||||
| • | 复合 TCP:对于发送端吞吐量,可与接收窗口自动调节功能一同使用。这两种功能配合使用时,可以提高链路利用率并极大地提高大带宽延迟产品连接的性能。 | ||||||||
| • | 高丢失率环境功能增强:Next-Generation TCP/IP 堆栈支持许多新的 Request for Comments (RFC) 以优化高丢失率环境的吞吐量:
| ||||||||
| • | IPv4 邻接点不可到达检测 (Neighbor Un-reach-ability Detection):该功能允许某个节点跟踪邻近节点是否可以到达,如果节点突然不可到达,则提供良好的错误检测和恢复。 | ||||||||
| • | 间隔网关更改检测:Next-Generation TCP/IP 堆栈可以使用先前检测的间隔网关定期尝试发送 TCP 通信,以此提供间隔网关的故障回复。如果通过间隔网关发送 TCP 通信获得成功,则 Next-Generation TCP/IP 堆栈将默认网关切换到先前检测到的间隔网关。 | ||||||||
| • | PMTU 黑洞路由器更改检测:PTMU 黑洞路由器检测会感知到何时重新传输较大的 TCP 数据段,并能自动针对连接调节 PMTU,而不是依赖于接收 ICMP 错误消息。 | ||||||||
| • | 路由隔间:路由隔间是具有登录会话的一组接口的组合,登录会话又有自己的 IP 路由表。 | ||||||||
| • | 网络诊断框架支持:网络诊断框架是一种可扩展的体系结构,可帮助用户排除网络连接的故障。 | ||||||||
| • | Windows 过滤平台 (WFP):Windows 过滤平台 (WFP) 是 Next-Generation TCP/IP 堆栈中的新体系结构,它可提供 API,从而使非 Microsoft ISV 可以在 TCP/IP 协议堆栈中的若干层和整个操作系统中进行过滤。 | ||||||||
| • | 显式阻塞通知:借助两个 TCP 对等端和路由基础结构中的 (ECN) 支持,处于拥塞状态的路由器会在转发数据包时对它们进行标记。接收已标记数据包的 TCP 对等端会降低其传输速度来减轻阻塞状况并防止数据段丢失。 |
Server Message Block (SMB) 2.0
提高高延迟链路的安全性和性能
Server Message Block (SMB) 也称为 Common Internet 文件系统 (CIFS),是默认情况下用于基于 Windows 计算机的文件共享协议。Windows 包括 SMB 客户端(Microsoft Windows 客户端组件)和 SMB 服务器(Microsoft Windows 文件和打印机共享组件)。15 年前的 SMB 1.0(Windows Server 2008 之前的 Windows Server 版本中的技术)最初是针对早期的基于 Windows 的网络操作系统(如 Microsoft LAN Manager 和 Windows for Workgroups)设计的。SMB 1.0 还一直延续着最初设计的局限性。
Windows Server 2008 中的 SMB 支持 SMB 1.0 和 SMB 2.0;SMB 2.0 是针对当今复杂的网络环境和下一代文件服务器重新设计的新版 SMB。SMB 2.0 协议提供许多通讯增强功能,包括通过高延迟链接连接到文件共享时更高的性能,以及通过使用相互身份验证和消息签名获得更好的安全性。
SMB 2.0 协议功能包括:
| • | 支持在同一数据包内发送多个 SMB 命令。这会减少在 SMB 客户端和服务器之间发送的数据包数量,而这正是普遍认为 SMB 1.0 需要改善的地方; |
| • | 与 SMB 1.0 相比,支持的缓冲区大小明显增加; |
| • | 增大了协议设计中的限制性常量,以实现可伸缩性。例如,增加了服务器上并发打开的文件句柄数量以及服务器可共享的文件数量; |
| • | 支持可经受网络可用性短时间中断的持久性句柄; |
| • | 支持符号链接。 |
其他资源
| • | |
| • | |
| • | |
| • | |
| • | |
| • | |
| • |