IIS的區別

　　現在微軟Windows Server 2008中集成的IIS 7相 比IIS 6進行了大幅改進，IIS 7中 內置了一個appcmd.exe命令行工具，這種命令行工具為網管員簡化了常用的Web服務器管理任務，并且將一些高級操作的過程變得更加簡單(這 種 操作方式和Apache差不多)。比如 我們只需要輸入一個命令就可以列出等待時間超過500毫秒的Web服 務器請求，從而利用相關信息來調試那些性能欠佳 的應用。不僅如此，IIS 7的穩定性相比IIS 6也大大提高，基本不會出現以前IIS 6那 種莫名其妙的當機問題。

　　以前我們對IIS 6進行管理都需要先遠程登錄服務器，然后啟動IIS程 序再開始操作。現在，IIS 7的管理界面支持HTTP遠 程管理，從而可以像瀏覽網頁一樣在瀏覽器里管理IIS系統。而且由于只是通過HTTP訪問服務器，無須在服務器上打開其他端 口，減少了一些不安全因素，同時也避免了登錄服務器后的一些誤操作。

IIS 7還有一個嶄新的特性：采用模塊化的安裝方式來構建核心服務。在IIS 6中，所有功能都是內置默認的，很難擴展或替代其中任何部分。IIS 7由40多個不同的特性模塊組成，默認安裝僅安裝一半的模塊，管理員可有選擇性地 決定增減相關特性模塊。這種方式比較靈活，不僅大大節約了安裝時間，而且減少了其他服務程序的運行數量，減小了被攻擊面，提高了服務器的安全性。

IIS 7首次完全公開并完全部件化——你 可以只安裝你所需要的組件，因此更輕，響應更多且更不易被攻擊。IIS管理界面也完全重新設計。核 心的改進包括：

　　＊全新的組件結構

　　在IIS歷史上，首次，管理員嘗試了可完全控制IIS的哪 些部分被安裝并在特定時間運行。你可以運行你所需的特定服務。這樣系統也會更安全，并 且易于管理，程序的執行情況也會更好。Fast CGI支持意味著PHP和其他運行時間語言被 快速執行，安裝Windows的機子之前沒有這一功能。

　　＊靈活的擴展模式

　　IIS 7使得開發者可以進入一個全新的APIs套裝——可直接與IIS溝通，這使得模塊開發和定制更容易 進行。開發者甚至可以進入內部結構、腳本，甚至可以登錄并管理IIS域——為勇于嘗試的管理員和第三方軟件供應商開了很多通路以擴展IIS的 功能。

　　＊簡化結構以及應用軟件的配置功能

　　結構可以通過XML文件完全完成。中心IIS結構可以通過多個文件進 行擴展，使得很多網站和應用軟件運行在相通的服務器上但是相互獨立，但是其 結構仍易于管理。微軟公司最鐘愛IIS 7的組件是用相同配置的機器建立網絡田，因為新的服務器田已經聯機了，管理員可以輕松采用XCOPY同 時通過新的服務器轉移當前結構文件。其次，新服務器 上安裝的IIS與現有服務器上的相同。這或許 是最大的好處，也是IIS 7進行的更新中最受歡迎之處。

跟Active Directory——實現了使管理員分配許可以執行確定的管理功能很像，IIS管理員可以將一些功能的管理任務委托給其他人，例如網站所有者。

　　＊更多有效的管理功能

　　你不會再在大量標簽和對話框中尋 找一個你需要更改的設置。創建一個新的網站只有一個對話框，增加一個應用軟件池同樣只有一個對話框。所有的工具以及功能都在控制臺的敏感區域。IIS Manager完全進行了重新設計，同時加入了一個新的管理有效性命令行：appcmd.exe。

?

這一更改使得IIS的功能可與Apache的 產品媲美，易管理性和模塊性都很好。

?

網絡的改進
　　Windows Server 2008小組進行了特別的努力以改進網絡 性能和有效性。第一次，本地IPv4和IPv6支 持同時具有了雙IP層結構。如果你已經在Windows Server 2003服務器上配置了IPv4和IPv6，你就知道進行交互操作有多麻煩。

通過將TCP/IP的個部分更好地整合，IPSec通信安全得到了提高。硬件得到了更有效的利用并且加快了網絡傳輸的速度。智能協調系統和優化算法有規 律地運行以確保高效通信，同時APIs到網絡協議棧更直接地顯現，使得開發者更容易與網絡協議棧進 行溝通。讓我們看看進行的改進。

TCP/IP網絡協議棧的改進：我之前間接 提到過，Windows Server 2008的很多改進是對TCP/IP網絡協議棧的改變。其中一項改進是自動協調TCP窗 口的大小：Windows Server 2008可以通過每個連接來自動調整接收窗口的大小，提 高同一網絡上服務器間大型數據傳輸的效率。微軟公司引用了如下例子：在10 Gigabit以太網 絡上，信息包的規模可以達到6 Megabytes。

Windows Server 2003的失效網關檢測法則只稍稍進行了改 良：Windows Server 2008當前經常試圖通過其所認為的失效網關來進行TCP傳輸。如果傳輸沒有出現問題，Windows則 將默認網關自動改變為之前檢測的失效網關(現在是 有有效網關)。同時Windows Server 2008支持從CPU到網絡界面卡處理線路的脫機網絡處理功能，這就解放了

CPU，使其可以管理其他處理程序。

網絡擴展也得到了改進。在之前的Windows Server版本上，一個網 絡接口卡(NIC)僅與單一物理處理器相連接。然而，有了正確的網絡卡，Windows Server 2008支持擴展網絡接口卡，同時伴隨著多個CPU之間的傳輸——這一功能被稱為接收端調節(receive-side scaling)。這實現了單一網絡接口卡(位于高速下載服務器)可接收更大規模的通信量。這一功 能尤其對多處理器服務器有利，因為通過增加處理器或者網絡接口卡，而不用增加整臺的服務器，通信量即可增加。

終端服務的改進：網絡軟件越來 越流行。除了如下三個詳細介紹的新功能，工作組也改進了核處理功能，這包括對Terminal Services功 能的單一簽署，監控范圍的和對此功能的絕對支持，與Windows System Resource Manager整合以更好的監控執行情況和資源利用情況，以及實現TS和客戶機的無 縫連接。

NAP：網絡訪問保護(NAP)能避免不健康的計算機訪問企業網絡并造成損害。企業用戶可以利用NAP自行配置客戶端的健康要求，并可更新或者修正不符合標準的計算機，然后允許其連接到企業網絡上。其實NAP就相當于一個可以評估客戶端健康的軟件，只要網管配置好健康策略，在發現不符合相關標準的計算機后，NAP就會起作用，限制這些不符合標準的計算機訪問網絡，保護局域網中的其他計算機。

Windows Server 2008有三個核心的新功能。第一個是Terminal Services Remote App。這一功能幾年前是由Citrix Meta Frame提供的，Windows Server 2008將支持開箱即用功能來解釋TS支持的服務器上直接運行的程 序，但是在本地Windows復本內進行整合，增加了重新設置大小的應用軟件窗口區域， Alt-Tab交換功能，遠程組裝系統tray icon組 件等等。用戶并不知道他們的應用軟件被寄存在其他地方，除非響應經常比較慢，比如因為網絡延時或者服務器超載。

Windows Server 2008的第二個核心功能是管理員創建.RDP文檔——這是Terminal Services連接(用戶讀和用來 給特定程序配置一個RDP成分)基于文本文 件。他們也可創建.MSI文件，其最大的優點是.MSI文 件傳統上可輕松通 過自動系統管理方式(例如Systems Management Server, Group Policy和IntelliMirror等 等)進行配置。

第三個核心功能是終端服務網關(Terminal Services Gateway)。 這一功能使得用戶可以從英特網的任意一個網絡入口進入存放于Terminal Services的 應用軟件，通過一個經過加密的HTTPS通道來保障其安全性。這一網關可以穿過防火墻發送連接，也 可正常通過NAT轉換環境——在過去這一技 術是受阻的。

這樣公司就不需要給遠程用戶配置VPN通路，目的僅為了訪問Terminal Services服務器。其次，自從數據經HTTPS進 行發送，幾乎所有人(甚至在RDP協議受防 火墻阻擋的地區)都可以訪問這一部分。管理員可以建立連接授權政策——詳細說明被允許通過TS網關服務器來訪問TS的用戶組。

最后的一項核心功能是TS網絡訪問功能(TS Web Access)，這一功能使管理員可在網頁上公開顯示可實現的遠程終端服務的程序(TS Remote Programs)。這一功能是和終端服務遠程軟件

(Terminal Services Remote App)功能同時工作的。用戶可以瀏覽他們 想運行的應用軟件列表，點擊，然后就可以無縫嵌入這一應用軟件——利用了終端服務遠程程序 (Terminal Services Remote App)的所有功能，然而保留了這一功能：在同一Web Access站點存有其他程序。這一服務可以分清由同一用戶放置的多個程序應該被放置在相同的Terminal Services部分，這樣資源管理會輕松一些，同時你甚至可以利用內置Web組件將SharePoint站內的TS Web Access進行整合。

Active Directory：只讀域控制器

Windows Server 2008引入了只讀域控制器理念，這一理念對 于分公司和其他地區(服務器充當域控制器，不能采用保護數據中心其他服務器的辦法進行物理保護)。只讀域控制器有一個Active Directory的 只讀復本，這就實現了快速登錄和快速獲取驗證，節省了網絡資源，同時也有長期安全益處。沒有入侵者可以對一個分公司快速訪問域控制器 (接著會被復制到公司主菜單)進行更改，因為這一域控 制器是只讀的。這一只讀域控制器也可以緩存分公司用戶提交的報告并通過用戶的登錄請求，但是只有一種提交方式可通過正軌的可寫入的域控制器，然而，由于安 全原因，這一緩存在Password Replication Policy中被設置成默認值。

?

從Windows被 研發出來，安全問題就一直困擾著微軟公司，但是在近幾年， 隨著越來越多的人聯網，越來越多的漏洞被發現。事實上，每月的系統補丁發布是涉及不夠嚴密的結果。這些類型的缺陷是微軟希望在Windows Server 2008系統中避免的。

你將看到Windows Server 2008進行了很多更新，包括提高了 進入內核的層級數目，分開服務以降低緩沖器超載的可能，同時減少高風險特權層以減少受攻擊層面的規模。

而操作系統的基礎設計更改，Windows Server 2008組也設計 了一些排除安全隱患和病毒入侵的功能，同時也設計了防止企業數據泄露和被奪取的功能。讓我們看看這些功能改進：

操作系統文件保護：一個新的功 能，確保了服務器導入處理的完整進行。Windows Server 2008創建了一個基于正在 采用的內核文件的確認鑰，這是你的系統和驅動器一個特定的硬件提取層，始于導入階段。在這一密鑰創建后，如果任何后期導入文件更改，操作系統將被告知并中 止這一導入處理，這樣你就可以進行問題糾正。

操作系統文件保護也擴展了每個磁盤驅動器上的二進制影像。這種模式的操作系 統文件保護包括了一個文件系統過濾器驅動——可讀下載在 內存上的每一頁，檢查無用信息同時確認任何試圖下載到保護過程的圖像(一般來說對攻擊最敏感)。這些雜亂信息被存放在一個特 定的系統目錄下，或者存放在一個嵌入驅動器上的一個安全文件X.509證明。如果任何測試結果都失 敗了，操作系統文件保護將中止這一處理過程以保證服務器安全。這一保護避免了疑似病毒的入侵。

Bit Locker：驅動器加密需求是最近 安全性 保護的流行方式，同時在Windows Vista和Windows Server 2008中微軟公司都增加了被稱為Bit Locker的功能。

Bit Locker是設計在特定的環節——竊賊可能獲取到硬盤物理通路。沒有加密術，黑客就可以輕松導入 另一個操作系統或者運行攻擊工具并訪問文件， 這樣就完全繞開了 NTFS文件系統許可。Windows 2000 Server和Windows Server 2003中的加密文件系統(Encrypting File System)有了進一步的改進，通常擾亂了驅動器上的bit，但是進行文件加密的密鑰不像想象中那樣安全性強。有了Bit Locker，密鑰被存放在系 統主板的Trusted Platform Module芯 片上，或者是在導入前插入的USB閃存驅動器上。

Bit Locker已經徹底完成：當被激 活的時候，可對整個Windows進行加密，包括用戶數據和系統文件、休眠文件、頁面文件和臨時文 件。導入過程自身也受Bit Locker的保護，這一功能創建了一個基于個人導入文件所有權的信 息。因此如果已經修正并被替換， 比如，一個Trojan文件， Bit Locker將 找出問題并阻止導入。相對于EFS的 局限性，這的確有了很大進步，同時一個很明顯的改進在于未經加 密的驅動器系統安全的提高。

設備安裝控制：另一個困擾企業 的安全問題是USB拇指驅動的增多。無論你將文件服務器的許可設定的多安全，無論你將文檔的銷毀功 能設置的多細致，也無論你在 eyes-only文檔上采用了何種類型的內置控制，一個用戶可以 輕 易地將一個拇指驅動插入USB端口并復制數據，從而完全繞過了企業的物理安全系統。

這些驅動器里通常包括一些企業中敏感度非常高的信息。但是卻經常發現安全性 不高。問題很明顯，一些企業將棄用的USB端口用澆水粘住。這是一種有效的方法，但是卻很不整潔。

對于Windows Server 2008系統，一個管理員必須有能力阻止 所有新設備安裝，包括USB拇指驅動、外置硬盤驅動和其他新設備。你可以輕松地在配置一臺服務器的 同時不安裝任何新設備。基于設備級別或者設備的ID，你也可以設置一些特例，比如，允許安裝鍵盤 和 鼠標，但是其他外置設備都禁制安裝。或者你可以允許特定ID的設備安 裝。以上都可以通過Group Policy進行配置，同時這些政策都是計算機級別的設置。

Windows防火墻有著更先進的安 全性：Windows Server 2003 Service Pack 1的Windows Firewall版本和Windows XP Service Pack 2的完全相同。作為一時的權宜之計，微軟暫且將Service Pack 1和這一款防火墻進行了綁定，公司方面說，他們將進行防火墻開發，并在下一版本的Windows中 進行改進。

　　擁有Advanced Security功能的新款Windows防 火墻將防火墻和IPSec管理功能 結合進便利的微軟管理控制臺(Microsoft Management Console) 管理 插件。防火墻驅動被重新建構以與過濾器和IPSec相協調。有了更多的管理功能，這樣你可以更方便 地指定明確的安全需求，比如驗證和加密。

設置可構建在每個Active Directory計算機或者用戶組基礎上。 外置過濾器已經被激活，除了Windows Firewall之前版本的內置過濾器外什么都沒有。 對每臺計算機的總體支持也得到了提升，當前有一個何時機器被連接到區域的概況，一份個人網絡連接的概況和公共網絡連接(如無線熱區)的概況。可引入相關政策，這就實現了多個 計算機防火墻結構的協調和簡單管理。

網絡訪問保護：病毒和惡意軟件 在運行在用戶區域之前即被軟件攔截，但是保護的終極目標應該是實現這些病毒軟件完全無法進入網絡。在Windows Server 2008中，管理員將根據基線對計算機進行檢查。如果發現計算機存在問題，則這一系統不能訪問網絡，也就是被隔離，直到用 戶修復其機器，才被獲準進入健康區域。

這一功能被稱為網絡訪問保護(Network Access Protection)功 能，這一功能可以被拆分為三個核心部分：

健康政策確認

——試圖連接到網絡的機子經檢查并檢驗其特定健康標準(由 管理員設定)的合理性。

健康政策的服從可用于檢查配置，沒有進行驗證的計算機可通過Systems Management Server或其他管理軟件(例如Microsoft Update或Windows Update)自 動更新或者確認。

訪問限制——NAP的 強制裝置。可以實現在僅監控模式下運行NAP，這一模式將連接到網絡計算機的從規和確認聲明進行了 記錄。但是處于活動模式的計算機無法進行確認，這些 計算機則被加入網絡的訪問限制區域(這一區域 阻隔幾乎所有網絡訪問并限制了一系列特定的hardened服務器(包含了使服務 器正常運行最常見的工具)。看圖三來了 解一些控制(準 予、限制和禁制網絡訪問)的 大概情況。

?

了解到NAP是進行 檢查的唯一平臺，在配置了Windows Server 2008后很多部分仍是需要的。這些需求 包括系統安全代理(system health agents)以及系統安全驗證(system health validators)，這些確保了每臺客戶機都經檢查和驗證。Windows Vista系 統發布時將系統安全代理和驗證設置成了缺省值，這樣就可自行定制。

?

易管理性改進：服務器僅在管理員合理配 置的情況下有效。傳統上Windows Server產品相當容易操作，但是Windows Server 2008對于最初的設置和結構有了很大的改進。

對于查看服務器的信息來說，考慮到其穩定性和整合性以及對安裝任務的管理(見 圖五)，還有其經提高的解決修復結構故障能力，服務器管理家 (Server Manager)是一個one-stop shop。Server Manager替代了Configure Your Server、Manage Your Server和Security Configuration Wizard界面。其集中了多種MMC 3.0快照技術，使得你可以看到什么任務和 功能被安裝到了指定的機器上，同時給你一份管理相關組件的文 件。

CNG：作為下一代加密技術的CNG，是Windows Server 2008提 供的相比其他加密方式更加可靠的加密方法。它提供了一種高靈活性的加盟開發平臺，可以讓高端用戶在其他相關加密中創建、更新并使用定制加盟算法。CNG采用美國政府的

Suite加密算法，其中包括加密、數字簽名、密匙交換和哈希算法等加密 手段。

精準密碼策略和賬戶鎖定策略：在Windows 2000和Windows 2003的 活動目錄域中，我們只能夠在Default Domain Policy中為所有用戶配置應用一 個 密碼策略和賬戶鎖定策略，如果我們需要為一些特殊的用戶制定不同的密碼和賬戶鎖定策略，我們只能夠通過創建新域的方法，因為以前一個域只能夠使用一個密碼 和賬戶鎖定策略。

Windows Server 2008 ADDS 中新增了一項功能，稱為 精準密碼策略，可以用它在域中定義多個密碼策略，并且將它應用到用戶或者全局安全組中。

虛擬化技術

　　現在，網管們可以利用WSV方便地建立虛擬機(VM，Virtual Machine)，實現一機 多用，這可以大大提高服務器硬件的使用效率，節省企業的服務器采購 支出。WSV允許虛擬機運行在僅具備所需權限的服務賬戶上， 可以確保虛擬機操作系統與主機操作系統互不干擾。這樣即便某個虛擬機出現了問題，它對其它虛擬機造成的影響也是有限的。

虛擬化技術可以讓一臺服務器變成多臺虛擬服務器：此外，Windows Server 2008還有基于64位Hypervisor的輕量級低開銷虛擬化架構。 這個架構支持虛擬化技術的硬件(Intel 和AMD的 相應技術)使得虛擬化操作系統具有更高的性能。如果企業用戶使用支持Hypervisor技 術的硬件，可以提升虛擬機的性能，不會出現擁有多個 虛擬機，而每個虛擬機的性能卻不能滿足實際應用需求的情況。

存儲特性三大改進

對于Windows Server 2008 ，微軟做出了多項改善措施，尤 其是在服務器的基本存儲機制方面。我將談論三點改善措施，并解釋為何他們具有典型意義。補充一點，我將重點闡述其在存儲方面的改善。

SMB 2.0：SMB 2.0首次面世是在Windows Vista中， 名為Common Internet File System (CIFS)，現在包含在Windows Server 2008并 具備多項改善。其中最受關注的特性為支持symbolic links，這種特征一直以來都是UNIX系 統管理員最為鐘愛的。同時SMB2.0也 支持在一個網絡包中發送多重命令，從而大幅降低對于網絡帶 寬的占用。

磁盤加密鎖：在Windows Server 2008中包含有Bit Locker Drive Encryption（磁盤加密鎖）軟件。此軟件同時也附加在Windows Vista企 業版與旗艦版中，但針對Windows Server 2008，微軟 強化了該軟件的技術特性（預計在Vista SP1中也將具備該特性）。完整磁盤加密是將整個Windows磁盤區作運算加密， 讓非相關人士無法通過從另一個操作系統開機，或用軟件攻擊破解的方式，來侵 入文件和系統保護。 Vista時僅能加密系統分區，Windows Server 2008中加以強化可以給多個分區加密。

自修復NTFS分 區：曾幾何時，為了運行chkdsk.exe去修正在NTFS分 區中一個細小的錯誤必須重啟文件服務器。為了這項工作，你必須預計服務器的重啟時間，短則耗時幾個小 時，但出現意外的話你必須打斷用戶，因為重啟需要耗時一整天。現在，Windows Server 2008具 備了NTFS在線修復工具。雖然不是一個萬金油，但它確實能夠修正許多以往需要運行

chkdsk并重啟才能解決的問題。自修復NTFS在 Windows Server 2008中 被默認打開。回首過去，這項功能實在是太實用了。

易管理性改進

服務器僅在管理員合理配置的情況下有效。傳統上Windows Server產 品相當容易操作，但是Windows Server 2008對于最初的設置和結構有了很大的改 進。

對于查看服務器的信息來說，考慮到其穩定性和整合性以及對安裝任務的管理(見 圖五)，還有其經提高的解決修復結構故障能力，服務器管理家 (Server Manager)是一個one-stop shop。Server Manager替代了Configure Your Server、Manage Your Server和Security Configuration Wizard界面。其集中了多種MMC 3.0快照技術，使得你可以看到什么任務和 功能被安裝到了指定的機器上，同時給你一份管理相關組件的文 件。

Windows配置服務(Windows Deployment Services)

多數管理員開始喜歡遠 程安裝服務(Remote Installation Services)，Windows 2000 Server和Windows Server 2003的新增功能。其提供了定制安裝功能同時很輕松即可去除這一功能。在Windows Server 2008中，微軟從根本上修訂了遠程安裝服務并重新命名為Windows Deployment Services。

Windows Deployment Services采 用了PXE和 一個操作系統的TFTP。但是 當前其也在安裝流程中包括進來Windows PE——一個圖像的前終端，替換了難看且功能很少基 于文本的藍屏設置語句(從Windows NT 3.0開 始一直采用)。你尅創建很多不同的圖像，同時將其存放在Windows Deployment Services機上，同時你可以直接將這些圖片通過網絡單播或多播輸出給企業的網絡用戶。

?

總結

以上是生活随笔為你收集整理的windows2008的功能介紹及其与2003的差异的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。