给微软"挑刺儿":Windows Server 2008初体验

【IT168 专稿】  Windows Server Codename "Longhorn"(简称LH)的beta测试版泄露是常有的事。这次的build号是6001，是最近微软发布的Beta3版本。根据微软官方早期“Vista将与LH共享代码库”的声明，我们有理由相信这次的build已经接近于最终版的版本，因为不久前正式发布的Vista是build 6000。根据微软官方的新闻，Longhorn 在正式发布的时候，将被命名为 Windows Sever 2008，而 Longhorn 则成为内部代号。
 

图一：装好系统运行命令提示符，显示当前版本为 6.0.6001

    对于Windows Server 2008 beta版系统新功能的介绍，众多媒体已经有了比较丰富的阐述，但几乎是清一色的正面介绍，笔者认为如果单纯的一味认同，则恰恰失去了微软不断推出Beta版的意义，因此笔者会主要从认为有待改进的方面进行描述，鉴于以下都是笔者的个人观点，是对是错还要请广大网友评判。

    因为是在家里装的测试系统，并没有在真正的Server硬件环境下进行。测试硬件环境如下：CPU 是 P4 3.2G HTT，SCSI 卡 Adaptec 2940U2，内存 DDR400 1G，硬盘 WD1600JB 160G IDE + Quantum 18G SCSI，显卡 ATI 8500，网卡 Intel Pro/100+ Server Adapter，安装的版本是X86 ServerEnterprise。

第一节：系统安装

    安装界面跟Vista有一点相似，但安装时间大大缩短了，只要15分钟左右就完成安装，比以往历史上微软的各种图形界面操作系统都要快。不过这个快是表面现象，看了下面的图您就知道了。微软把LH的服务器功能划分为Roles(角色)，没办法归类为Roles的则纳入Features(功能)的范围。Features是对原来"Windows组件"的替代，现在已经没有了"添加/删除程序"，改名为"程序和功能"。默认状态下，所有的Roles和Features都是未安装的状态，需要管理员根据服务器的用途来进行定制安装。对不需要的功能进行裁减，相信可以防止引入一些不必要的Bug，根本都没有安装引起Bug的程序，当然不用为其打补丁，也不用担心针对这个Bug的恶意入侵。
 

图二：装完系统后默认运行 Initial Configuration Tasks

    大家或许觉得奇怪，为什么这个版本里中英混杂呢？目前LH Beta3只提供了日文、德文、英文的下载，由于它采用跟Vista一样的MUI多语言核心设计，只要安装对应的Language Pack(语言包)就可以显示用户的本国语言。出于使用习惯的问题，我从网上找了个汉化包，添加并覆盖了一些系统的mui文件，重启后可以显示大部分中文，但是也有不少功能还是显示英文。毕竟真正的语言包还没有正式发布，网上提供的半拉子解决方案治标不治本。

    需要说明的是，LH Beta3 跟 Vista 一样，都是需要激活的。操作方式是在桌面鼠标右键点“计算机、属性”，按提示进行激活。由于目前仍是 beta 阶段，通常一个序列号可以被激活10次，所以大家如果从论坛上看到别人激活成功了，但是自己在线激活却提示此序列号已经被占用，这是正常现象。最好的方法，就是自己到微软的官方主页自己申请一个测试序列号，这样就不怕别人跟你抢了。

第二节：驱动程序

    我对LH的内置驱动可以说是十分不满意，很多设备不支持，只能自己上网找Vista驱动来代替。

    1) 显卡是ATI 8500，但是Vista驱动只支持9500之后的显卡，所以就被识别为Standard VGA显卡，分辨率不好而且还颤抖、晃眼，所以没什么心思仔细测试各项功能。当然，显卡驱动对于 Server Core 可能是无所谓的，本来就是一个命令行窗口而已。

    ATI冶天Radeon 9500直到X1800系列显卡最新催化剂驱动7.4多语言版For Vista-32
 
    http://drivers.mydrivers.com/drivers/173-69232
    催化剂驱动7.4

    http://drivers.mydrivers.com/drivers/175-70294
    催化剂驱动7.5 (这个建议不要用，因为很多人投诉它有问题)

    http://comment.mydrivers.com/drivers/pinglun.asp?id=70294
    不能正常显示，在安全模式下完全删除7.5驱动，重起就行了。

    2) SCSI 卡是 Adaptec 2940U2，这个在官方主页找到了。好像 2940 系列是 Adaptec 第一个推出 Vista 驱动的，其他更高型号的 SCSI 卡看来还要再等等。既然没有 Vista 驱动，那么 LH(Win2008) 也就不用考虑了。

    AIC78xx and AIC78U2 32-bit Driver for Windows Vista
 
    http://www.adaptec.com/en-US/support/scsi/
    http://www.adaptec.com/en-US/support/scsi/ultra2/AHA-2940U2W/
    http://www.adaptec.com/en-US/speed/scsi/windows/aic78xx_aic78u2_vista_x86_v605456_exe.htm

    3) 网卡是 Intel Pro/100+ 服务器网卡，按道理这块网卡非常经典，从Win2000到Vista都可以自动安装驱动。哪知道这块卡在LH里被抛弃了，非要笔者自己上网下载、手工安装，真是不亦闷乎。

    Intel PRO/100+ Server Adapter for Vista32
 
    http://www.intel.com/support/network/adapter/index.htm
    http://www.intel.com/support/network/adapter/pro100/pro100serv/index.htm
    http://downloadcenter.intel.com/Product_Filter.aspx?ProductID=417

第三节：功能讨论

    因为LH是微软延续Win2000/Win2003 Server的下一代服务器操作系统，传统的ADS/DNS/IIS功能虽然有所增强，但是毕竟没有革命性的突破。况且，已经有很多媒体对这些传统功能的新特性做了报道，这里不再重复。我们现在关注的，是微软到底增加了什么吸引网络管理员眼球的东西。

    在 Initial Configuration Tasks 里面选 Add Features，出来全英文的菜单。那些经典的 Windows 服务这里就不说了，我们挑其中几个不那么眼熟的来点评一下，分别是 Subsystem for UNIX-based Applications (SUA)，Telenet Client，Telenet Server，TFTP Client，Windows PowerShell。
 

图三：运行 Add Features 之后，找几个特别的功能看一看

    Subsystem for UNIX-based Applications (SUA)，在 Win2003 里是一个独立下载的组件，现在是LH系统里的Features之一。在更早的时候，它被称为SFU即Service for Unix。SUA 取代与改善了Services for UNIX (SFU)，后者已个别提供，目前市场有 SFU 3.5 光盘版。基于运行在Windows内核上且与POSIX标准兼容的SUA，使得Unix应用和脚本能够同Windows应用一起直接运行在Windows平台的本地环境之中。这样，就使得很多基于Unix的企业应用可以快速的转移到Windows服务器平台上，从而实现了资源整合以及降低总体预算。如果追究SFU的起源，其实也不是微软自己做的，是微软收购Softway Systems公司从而得到了UNIX/NT互操作性工具Interix。收购后新公司改名为Interop Systems，大家可以去 http://www.interix.com/ 站点看看。

    Telenet Client 和 Telenet Server 其实很早就有了，现在被当作独立Features放在醒目的位置进行安装。其实我对这个东西不感冒，在Linux世界里早就是SSH2 Server和SSH Client的天下了，为何微软还抱着残旧的Telnet不放呢？对于主机托管在数据中心，或者公司服务器数量比较多（当然员工也多）的情况，网络环境可以说是陷阱众多、险恶无比。SSH2与Telnet相比有强大的反监听功能，是管理员必备的日常维护工具。在 Win2000/Win2003 里，通常的 Win32 SSHD 有 Bitvise WinSSHD 和 F-Secure SSH Server 等解决方案。本以为 Win2008 (也就是现在的LH)会有所改进，哪知道还是老样子啊。或许微软是想发挥其图形界面的优势，强迫用户通过https远程配置来解决安全问题。

    TFTP Client 通常是用来配置一些网络设备的，很多路由器、交换机都是通过TFTP协议来更新其Firmware(类似PC机的主板BIOS，放在可擦写EEPROM里的基本操作系统)。TFTP 在LH里主要是用于Windows部署服务(WDS)的，据说 TFTPD 服务的代码已经彻底改写，因此 TFTP 的下载时间有明显的改善。但是因为 TFTP 用 UDP 协议传输数据，不支持验证，这个特性已经被一些网络病毒盯上了，微软需要强化安全方面的整体设置，否则被蠕虫利用了后果不堪设想。

    Windows PowerShell 是微软为 Windows 环境所开发的 shell 及脚本语言技术，这项全新的技术提供了丰富的控制与自动化的系统管理能力；而“脚本语言”（scripting languages）则是用来编写程序的计算机语言。脚本语言（脚本以及更早期的批处理，是为了提高某些情况下需要不断用键盘输入命令的效率）通常都有简单、易学、易用的特性，目的就是希望能让写程序的人（开发者）快速完成程序的编写工作。目前从 WinXp 到 Vista 都把 PowerShell 作为独立下载的组件，让用户体验一下而已，但是在LH里已经成为标准的Features之一。

    脚本操作虽然没有图形界面那么直观，但是好处在于可移植性强，拷贝到同类机器立刻可以运行。这原本是Unix/Linux擅长的领域，现在微软也加入了竞争。除了提供更强大的脚本编程工具，LH里一些服务的配置脚本也改为文本格式的xml，可见微软现在非常重视系统服务的可移植性问题。这个问题对于大企业来说很重要，因为服务器数量多，一些做同类工作的机器只要拷贝脚本或者配置，稍加修改就能运行。

    此外，上面没有提到的Windows System Resource Manager（系统资源管理器）也是微软的大卖点。通过使用 WSRM，管理员可以控制如何将 CPU 资源分配到应用程序、服务和进程。管理这些资源可提高系统的性能，减少这些应用程序、服务或进程妨碍系统其余部分的机会。WSRM 在 Win2003 里就存在了，在LH里有所增强但并不是一个新的热点。

第四节：网络安全

    微软自带的个人防火墙在各种网络评测里，总是毫无例外的名落孙山、稳坐倒数第一。但是在网络环境下，LH 的 NAP （网络接入保护）系统加上 Vista 终端的综合部署，就可以为网络管理员带来不错的集中管理效能。在讨论集中管理之前，我们先回顾一下微软的个人防火墙为什么口碑不好。

    微软的个人防火墙不是功能不强，而是规则设计非常落后。目前软件防火墙里，只有 Windows 防火墙支持 IPv6，其它解决方案都是硬件路由级的，可见 Windows 防火墙的强大。市面上大多数防火墙都有简单明了、规则清晰的特点，只有微软的这个产品过于简陋，违反微软一贯的通俗易懂作风。微软本身是做操作系统起家的，现在向着媒体播放、网络安全、杀毒杀木马等领域进军。微软在媒体播放领域已经挤跨了不少对手，在网络、杀毒领域还是新手，做出来的东西弱智当然不足为奇，但是凭借跟操作系统捆绑的优势，还是给软件厂商很大压力。

    根据业界消息，思科和微软正在着手帮助客户和合作伙伴部署整合的安全架构，实现思科网络准入控制（NAC）和微软网络接入保护（NAP）的互操作。这两家公司在2006年波士顿开幕的安全标准大会上演示了这一全新的互操作架构。在安全标准大会之上，思科与微软共同宣布Cisco NAC和Microsoft NAP将实现互操作，并具体阐述了如何将思科网络基础设施内嵌的安全功能与Microsoft Windows Vista、以及称为“Longhorn”的Windows Server未来版本相集成。这两个业界巨头的合作，无疑给网络安全带来一个更加广阔的前景。
 

图四：在NAP中，Longhorn Server 保护所有通过VPN、DHCP以及IPsec进行连接的通信

    看了一些介绍 NAP 的资料，发现这是一个网络版的组策略(Group Policy)。所谓组策略就是Windows域用户登陆到域的时候，系统自动运行的一些全局设置和批处理。那 NAP 做什么呢？就是企业网用户通过DHCP、VPN接入网络的时候，LH Server自动检测其系统补丁、病毒定义等状态，然后决定是否为其开放网络权限。当然，这是需要终端的软件支持的，目前只有 Vista 系统合乎要求，其它 Windows 操作系统都必须安装专门的终端软件。

    其实，这在企业网络安全中还是不够的。真正完美的 NAP，应该可以强制管理整个企业网内每台PC的全局防火墙定义，这样每台机器接入网络的时候都受受到全局防火墙策略的保护。有些人或许说，服务器管网络出口不就行了吗？大错特错了。笔者见过不少企业网的服务器本身是安全的，但是网内的个别PC机被病毒、木马攻击之后，传染了整个网络的PC机。究其原因，是因为内网用户缺少一个被全局监控的杀毒、防火墙策略。对于20人以下的小网好办，管理员经常检查就行，但是50人、几百人的大中型网络，人工检查的手段就不合适了。

    大家都知道 Symantec 的杀毒有网络版，是主机强制内网PC升级病毒定义的。问题在于 Symantec 的网络理念虽好，但是杀毒水平实在有限。个人使用经验，以及本人在若干个公司看到的情况，就单机杀毒而言 NOD32 和 Mcafee 比 Symantec 强很多。但是一般人的PC只装单机版的，如果可以通过 NAP 系统把杀毒软件的名称（允许某几种软件）和病毒定义文件日期（确保数据是最新的）做出规定，然后才可以访问网络资源，那绝对是个进步。

    至于防火墙，刚才已经提到了很多人更加倾向于使用第三方软件，因为它们简单明了。如果 Windows 防火墙能够进行重新设计或者配置，使其接受中心服务器的全局策略，然后用户再定义少数个人策略，那么配置的过程就会大大简化。只要服务器上做好配置，所有接入网络的PC、NoteBook自动接受中央管理，被木马攻击的可能性大大降低。当然，中心服务器必须订阅安全更新才能保障全网安全，对于一些独立服务器或者公司领导，可以设置DMZ区使用透明连接。

    请读者注意，关于用 NAP 系统集中管理 Windows 防火墙的讨论，虽然听起来很诱人，但它只是笔者的纸上谈兵。网络资料也只是提到用户可以使用具有高级安全功能的Windows防火墙，执行网络访问保护(NAP)策略，并没有详细的配置实例，或许是因为还没普及的缘故吧。对此功能感兴趣的读者，请向微软公司咨询或者安装LH Beta3之后自行探索。

第五节：谈谈 Server Core

    微软推出 Server Core 的目的，估计是想争取一些低端服务器的市场。因为Linux所主张的是“我们在较低的配置上也能发挥较好的性能”。微软过去一直反驳说TCO（整体拥有成本）才是企业IT的决定因素，认为Linux的培训费、维护费用导致企业IT总开支提高，不如Windows系统的简单易用、费用可控。最近几年来，Linux Server的市场份额还在持续扩大。看来，微软在这一口水战并未占到上风，推出 Server Core 可以说是反击 Linux 的一大武器。

    之前有很多文章介绍过了，Server Core 只有一个 Ctrl-Alt-Del 的 Login 界面是图形的，登陆进去之后是一个空白的桌面，必须用任务管理器运行Cmd.exe才出现命令提示符，所有配置、管理都需要在 Cmd 里进行。大家对这样的窗口是否有点眼熟呢？对了，这个版本看上去就象是我们用来诊断系统问题的安全模式中的“命令行启动模式"，只不过现在正常启动Server Core也同样处理罢了。
 

图五：按下Ctrl-Alt-Del找出任务管理器，运行Cmd.exe出现命令提示符

    这看起来有一点模仿 Linux 的味道。大家都知道 Linux 默认登录就是单纯的 Console 或者 Terminal(包括telnet和ssh)，必须专门配置才进图形界面的，就算默认启动图形界面也可以按 Ctrl-F1 到 Ctrl-F6 切换文本界面，Ctrl-F7 切换图形界面。为什么微软做一个这么怪异的命令行呢？先用图形登陆再进命令行，实在是情非得以。网上有报导说微软本来想开发一个可以彻底取代 Linux Shell 的命令行界面，后来因为难度太大而放弃。

    从双方的系统起源看，就不难知道结果。Unix/Linux 本身就是强大的命令行系统，针对服务器系统，X-Window 是方便操作的东西，不是必须的。Micrsoft 的 DOS 虽是命令行但功能弱小，后来从 Win95 开始直到 Win2008 十多年来都是基于图形界面的设计，针对的是桌面系统，获得了很高的市场占有率。如此看来，微软要做纯粹的 Console 当然可能性微乎其微，最多是模仿自己曾经做过的安全模式中的“命令行启动模式"，改一下默认的 Shell，不用 Explorer.exe 而是不带任何桌面的 Taskmgr.exe，从任务管理器执行 Cmd.exe 得到命令行窗口，这就是怪胎的起源。

    有些人可能会反对说，微软已经那么大了，Linux 值得它去模仿吗？情况不是这么简单的。打个比方，早几年VOIP刚出来的时候，电信对此是抱着抵制态度的，因为这样会分流长途业务，导致收入下降。可是后来为什么电信自己也做VOIP了呢？这是因为既然市场有这样的需求，你坚持不做别人就会做，抵制失败的话不如自己也做算了。毕竟钱从左边口袋流到右边的口袋，始终还是自己的口袋，如果流到别人的口袋那就更不划算了。微软 Server Core 省略了图形界面，到底带来多大的性能提高，管理员的接受程度又如何，还要看市场反应。

    除了上面提到的各种因素，还有一个不得不说的问题就是Server Core里的驱动问题。在前面的第二节里讲到有些硬件需要用户自己到厂商的网站，下载驱动并手工安装之后才能使用。但是在 Server Core 里，即使从其它机器下载了相关的驱动并用U盘拷贝过来，也不见得能安装成功。对于 exe 安装文件可以直接运行，但是怎样察看驱动是否正常运做呢，传统的设备管理器有命令行版本吗？对于 inf 安装文件，那根本就是抓瞎了，没办法安装。所有的 Windows Server 都提供了安装时按 F6 从软盘安装 SCSI/Raid 驱动，但事后安装就只有图形界面可以做到。

    由于驱动问题，笔者无法仔细测试Server Core的各项功能，虽然是一个遗憾，但也是一个提醒。简单的说，微软的Server Core目前没有足够的力量经受服务器操作系统市场的考验，很多细节问题还欠缺考虑，现阶段多听点反面意见对开发组今后改进产品大有好处。

   后续笔者还会对Windows Sever 2008的具体应用进行体验，文章出来时会及时奉上。

    IT168编者注：本文合作链接http://bbs.boletips.com/blbbs/viewthread.php?tid=486&extra=page%3D1，其他媒体未经授权，不得转载。