重新考虑服务器角色

微软希望不同版本的Windows Server 2008（微软将像通常那样发送标准版、企业版、数据中心版和Itanium专用版）管理员考虑服务器扮演某种角色。服务器角色是聚合在一起的对象，这些对象适合通常想到的服务（如打印服务、文件共享、DNS、DHCP、 Active Directory域控制器和基于IIS的Web服务）的。微软一共定义了18种角色。

甚至所谓 Windows Server Core的最低限度安装也可以运行不同的服务器角色（如DNS、DHCP、Active Directory组件），但不能运行应用（如 SQL Server或IIS动态网页）。它否则是提供无界面操作（headless operations）的脚本控制的主机系统。Windows Server Core服务器没有GUI前端，而是由命令行界面（CLI）、脚本、远程通过系统管理器或其它支持Windows Management Instrumentation (WMI)的其它管理应用或由Remote Terminal Services来管理。它还是Hyper-V和虚拟化架构的潜在的缺少资源的底层。

运行在任何基于角色的服务器上的服务通过服务器管理器（微软改了名的、改造过的管理应用）－－通过GUI或CLI前端－－来分区和启动。与Windows 2000和2003版操作系统中的“Configure Your Server”程序相比，这是个很大的改进。一旦成功启动后，角色可以很容易改变。CLI版允许管理员执行脚本控制的初始化或远程角色修改。服务器管理器比以前的管理应用有了一个重要的改进：它在执行安装、变更、删除或其它变化前，全面检查应用的依存关系。

当《Networkworld》工程师安装Windows 2008 Server时，几乎立即尝到了这些服务器角色提供的更高的安全性－－现在系统缺省要求设置强管理口令。

Active Directory证书服务进行了重新设计，现在与组策略设置配合提供更容易的证书注册、发现和存储。由于证书管理（包括存储、分发和证书审查）选择比以前更多，因此以前在Windows 2003 Server中很难建立、监测和维护的公钥基础设施得到了很大的改进。

一个附带的好处是IPSec加密可以使用以前没有的密码算法，如椭圆曲线Diffie-Hellman或高级加密标准，从而堵上了简单但到此前为止困难的安全漏洞：Windows 2008可以在全网络范围提供全面的网络加密服务。

除了服务管理器外，基于服务器的Windows Firewall MMC插件帮助用户更轻松地配置和管理基于主机的安全性。运行在基于Windows 2008 Server的网络上的Windows防火墙现在可以由Active Directory中的系统强制执行的组策略对象（GPO）来控制。在Active Directory域内执行Windows防火墙设置的能力提供一种分级执行的机制，这种机制超越本地管理员建立的分支办事处或下属机构服务器设置。应该说，这是个有威慑力的铁拳政策。

GPO现在可以定义服务器IP地址准入范围，使服务器可以忽略除特定地址之外的所有传输流，从而大大减少它们的被攻击面。用于特定路由的策略被所有允许访问Active Directory控制的网络的客户机和服务器所继承，从而使可能的入侵者活动可以更容易地从一般传输流噪音中识别出来。

但是，单凭这种准入控制不能减少TCP SYN DOS攻击的影响，但其它Windows Server 2008才有的TCP/IP设置可被用于减少针对TCP连接的分布式拒绝服务（DoS）攻击的影响。

性能

《Networkworld》工程师利用仿真的I/O和不同的传输流/攻击测试，测试了网络I/O性能，发现Windows 2008 Server性能有了改进――在客户机为Vista时改进尤其明显。

微软的新客户机和服务器TCP/IP协议栈（包括tcpip.sys和较老的Winsock API包）进行了更新。网络互动协议栈，NDIS，也从5.6版升级为6.0版。TCP/IP协议栈包括本机的而非仿真的IPv6支持。选择IPv4或IPv6支持是个可互换的动作，并且管理也是一模一样的。

新协议栈由于具有动态改变TCP包窗口大小的能力（使通信信道更高效地填满数据），还能够动态响应网络连接中的通信延迟。

与SMB 1不同，SMB 2.0性能有了很多改进，从而提高了速度。改进之一是在读写文件时提供更大的缓冲区空间。在像文件夹拷贝这样的单一任务中还可以维持更多的打开的文件，即同时打开写的文件数量。

在测试中，《Networkworld》工程师发现在轻负载条件下，拷贝文件夹、传送流媒体和加载复杂的网页这样的任务，在速度上的结果差别并不大，但在高负载条件下，结果大大突显了Vista的性能。取决于I/O的混合（但在传送流媒体和大型文件拷贝下十分显著），Vista速度在操作时可以比Windows XP SP2快43%，在打开并发流时快18%。

这也意味着Windows 2008 Server的客户机――Vista和其它所有客户机，包括Windows XP SP2、MacOS (这里使用了10.4.10和10.5.2)或其它使用SAMBA 3.0.2+ 连接方式的SAMBA客户机――存在两类亲合关系。如果你拥有一个采用新软件栈的客户机，你的效率更高，因此在更高负载下速度更快，但如果你的软件栈不是最新的，你则属于二等公民。

Windows Vista支持并随系统提供SMB 1.0和SMB 2.0，而XP仅支持SMB 1.0。微软称Vista能够取得比XP更好的文件/文件夹拷贝速度，尤其在具有高延迟的网络中。在《Networkworld》工程师的试验室中，高延迟（在Ethernet 10Base-T线路上模拟）或低延迟（同样的网络子段但使用千兆以太网），Vista完成文件夹拷贝的速度至少快35%，并且在全套测试中，比Windows XP SP2快71%。由于Apple的MacOS和大多数Linux客户机的SMB仿真是基于Samba（它也是基于SMBv1的）的，因此，这些客户机在测试时如预期那样，当连接在Windows 2008企业版时与连接在运行在同样硬件上的Windows 2003企业版相比，速度没有改进。

Windows Server 2008还支持将TCP/IP处理卸载到它支持的网卡上。在这种关系中，TCP/IP卸载引擎（TOE）卡在处理TCP/IP传输流和协议关系请求时没有中断任何CPU，明显提高了网络吞吐量。

当《Networkworld》工程师从Broadcom千兆以太网接口卡转换到Intel TOE千兆以太网NIC时，对速度的影响非常明显――甚至对于使用老SMB和非Windows TCP/IP通信协议栈的客户机（如Macs和Linux客户机/服务器）。

在《Networkworld》工程师的TCP SYN分布式DoS攻击测试中，这种改变将CPU使用率由48%减少到18%，在TCP连接测试中由峰值的61%减少为峰值的16%。工程师们表示，尽管TOE卡已经面市多年了，但一直没有从它们身上看到鲜明的性能差异。

他们还利用模拟大量用户的简单test get/post测试以及通过HTTP提交静态网页的get/post请求，攻击Windows 2008和IIS7的网终端。使用Windows 2008 Server时，他们能够将gets的数量（同时使用两条独立的千兆以太网连接）增加到比运行在同样硬件上的Windows Server 2003多32%。

更好的Web管理
 
《Networkworld》工程师没有运行全套的IIS 7性能测试，因为在测试工具中发现了bug。但微软已经修改了它的Web服务器管理应用――IIS Manager，去除了过去管理上一些晦涩的东西，增加了对多站点主机的支持。Web服务器管理现在可以通过HTTP执行，因此可以从浏览器进行远程管理，无需开放目标服务器上的管理TCP/IP端口。

如果需要的话，IT管理员还可以把IIS控制委托给本地管理员或Web开发小组。管理员还可以“外科手术式地”锁定特定文件，而不用不受限制地访问配置文件或静态网页，这是管理上的福音。

IIS 7允许管理员只安装必要的模块（一共有40多种模块），而不用缺省安装所有特性（并且运行其中的一些模块，即便从不使用它们）。这大大减少了IIS 7的受攻击面。

Web服务与应用性能和错误现在传送给WMI，从而保证迅速地确定错误和监测应用在被监测的项目不在范围之内时（如，基于微软 Systems Center的和其它监测应用）提供触发器（例如即时电子邮件）的能力。

总之，IIS的控制几乎被重新开发。

将Active Directory服务整合到3个不同的分组中――Active Directory域服务、AD证书服务和Active Directory联邦服务――使管理员能够利用更少的Active Directory组件和插件管理不同的网络需要。例如，Active Directory联邦服务改进机构之间的“外联网”连接，机构可以以高度可定义的方式管理外部系统用户使用机构间文件和应用服务。

Terminal Services现在可利用Transport Layer Security加密，使通信会话不会被从网络线路上截获和重新组装。屏幕扫描（screen raster）尺寸可以是巨大的（只适用于Windows Vista和XP），这样远程桌面会话不再需要滚动经过阅读器式的窗口。Terminal Services还可以通过HTTP传输显示应用，仿佛它们就像本机应用运行在工程师的桌面上一样（他们使用了微软 Office）。总之，Terminal Services配置更为简单，具有更强的控制打印功能以及前面提到的加密方式和扫描尺寸。