微软怎么使用Windows Server 2003
微软怎么使用Windows Server 2003 IT 商业收益 •
25% 的服务器合并(2004 年 4 月)——预计到 2004 年 7 月达到 29% 的目标
•
操作系统可用性研究显示可用性达到 99.9996%
•
Microsoft Exchange 在七周内保持了 99.99% 的可用性。
•
Internet 协议安全 (IPSec) 安全请求模式——在网络层面将受微软 IT 部门控制的计算机和非受控的计算机,从而降低了风险。
•
四台打印服务器每月处理 1,500 个打印队列和 950 万页
•
减少 90% 的远程访问服务 (RAS) 服务器重启次数
•
80,000 名唯一的 Windows Rights Management Services (RMS) 用户,同时颁发了 180 万个许可证
•
4 月的一周内,超文本传送协议 (HTTP) 上远程过程调用 (RPC) 的唯一用户共有 16,111 名。
•
在 1 月份的一个下雪天,共有 8,300 个并发的 RAS 连接
•
Active Directory® 目录服务数据库的大小减少了超过 5 吉字节 (GB)——相当于原始大小的 35%
Windows Server 2003 技术案例可用性与合并2003 年 3 月发布了详细的内部可用性测试结果。测试在微软环境中对 Windows 2000 和 Windows Server 2003 进行了比较。此次在一组相同服务器上进行的为期三周的测试结果为,Windows Server 2003 的操作系统可用性为 99.9996%;Windows 2000 的操作系统可用性为 99.986%。
过去,微软 IT 部门通过构建基础结构,来处理和调节生产环境中的不稳定性。Windows Server 2003 更强大的稳定性和性能能够支持更高层次的简化与合并。 到 2004 年 4 月为止,微软 IT 部门共合并了约 25% 的基础结构,并计划到 2004 年 7 月实现 29% 的合并目标。
Active Directory 可管理性Windows Server 2003 中的 Active Directory 改进提供的可伸缩性,使得对于身份管理小组 (IdM)、操作小组、技术支持以及用户来说,密码过期变得更加透明。相比密码过期需要 IdM 工作人员的完全支持的 Windows 2000 来说,密码过期功效允许减少用于完成该过程所需的人员数量。
域控制器单实例存储 (SIS)、从介质安装 (IFM) 以及域控制器重命名只是 Windows Server 2003 中的三种新功能,它们通过降低复杂性和提高运营效率大幅提高了微软 IT 部门管理环境的能力。SIS 是一种存储安全描述符的改进方式,将全局编录数据库的大小从 14 GB 缩减到 9 GB。除了允许所有域控制器在磁盘上进行备份外,这种缩减还通过脱机碎片整理减少了管理磁盘空间所需的时间。使用磁盘上备份,域控制器提升程序通过 IFM 功能将重新构建远程服务器所需的时间从四天(由于缓慢的链接和复制)减少到不到四个小时。在 Windows 2000 中,重新命名域控制器需要降级和重新提升服务器。随着时间的推移,命名标准发生了变化,同时服务器置换导致出现不一致的命名,从而导致出现操作错误。域控制器重命名(仅需重新启动一次)使操作小组可以根据当前的标准,对林中几乎每台域控制器进行重命名,从而减少了错误,并实现了服务报告的一致性。
内存管理Windows Server 2003 中新增的 /USERVA 开关支持对内核/用户分摊 4 GB 的地址空间,进行更精确的控制。 该开关可针对需要更大的用户地址空间才能发挥出更好的性能的应用程序,而更有效地优化操作系统。它还会为关键的操作系统操作(比如:系统输入/输出 [I/O])保留充足的内核资源,而微软 IT 部门原先只有 3
更详细的 /USERVA=3030 设置在微软的大型 Exchange 服务器上,一直都非常成功。这种设置提供了附加的地址空间,从而提高了 Jet 缓存的大小。增加的缓存容量提高了存储过程的性能,并且还剩下比只是使用 3 GB 空间更多的非分页池 (NPP) 内存和系统页表项 (PTE)。这为存储和网络 I/O 留下了更多的资源,供微软在扩展后的 Exchange 邮箱服务器上大量使用。
超线程Windows Server 2003 改善了对 Intel 32 位处理器的支持。这种支持允许操作系统和应用程序,将单颗支持超线程的处理器视为两颗 CPU。启用该功能时,为了完全利用对称多重处理 (SMP) 而编写的代码的运行速度可提升 30%。因为这是最新的 IA-32 处理器的一项商品化调整措施,所以价格不会提高。 通过在当前硬件上使用 Windows Server 2003 并启用超线程,微软 IT 部门可在不增加成本的情况下,获得性能提升。
Internet 协议安全 (IPSec)微软全球企业网络的安全一直处于威胁之中,不受信任的设备带来未经授权的访问和病毒传播的重大风险。 到 2004 年 4 月为止,所有公司域都部署了采用 IPSec 安全技术的网络分段(通过安全请求模式),要求验证到最受信任资产的网络连接。
Internet Security and Acceleration Server转换到 Windows Server 2003 使得 Microsoft Internet Security and Acceleration (ISA) Server 所有者可以花更少的时间,管理修补操作和服务器的操作系统水平,而花更多的时间来优化 ISA Server。借助 Microsoft ISA Server 2004 和 Windows Server 2003,微软 IT 部门在服务器稳定性方面,获得了显著提升。这种组合还使得微软 IT 部门能够开展一项野心勃勃的计划--将全球范围内运行 ISA Server 的计算机的数量减少 30%。
安全性Windows Server 2003 中的默认安全配置--Internet Information Services (IIS) 解决了以往的安全问题和风险,并为诸如 Microsoft Systems Management Server (SMS) 2003 等应用程序的应用程序集成,提供了一个更安全的平台。SMS 2003 使用 IIS 及其相关组件和协议(如 HTTP)。 使用 Windows 2000 时,开发和安全小组不得不构建一个安全模板,来改善这些 IIS 组件的安全设置,并接着确保这些变化不会对 SMS 应用程序的事务处理产生负面影响。通过 Windows Server 2003,这些配置修改被合并为默认设置,并且在安装组件后无需额外配置。因为无需额外的配置,所以不仅削减了总拥有成本 (TCO),而且还降低了潜在的安全风险(可能在安装后,不一致地执行了配置步骤)。
除 Windows Update 以外,Windows Server 2003 默认将所有对象都当作在 Internet 或高安全区域上来处理。 在无人参与的安装和有计划地使用脚本或组策略的过程中,可选择添加受信任和本地 Intranet 站点。这些选择提供了一个安全功能,可防止管理员意外地运行可能损害或危及服务器安全的不安全或恶意的脚本、可执行文件、小程序和 Web 控件。Windows Server 2003 中另一个重要的安全升级范例是:用户可以使用最低的必要权限,来运行本地服务。
Exchange 与群集凭借 Windows Server 2003 集群中的新功能,IT 消息小组能够合并微软企业中的许多服务器。结合 Microsoft Exchange 和 Microsoft Outlook 2003 中新功能,Windows Server 2003 集群使得该小组能够在提高可用性的同时,大幅减少服务器的数量。Windows Server 2003 集群还使得该小组能够有效使用企业存储解决方案,并完全发挥硬件的功效。Windows 集群使得全球范围内的部署能够集中在集群中的 3-7 个节点之间,大幅降低总拥有成本,并实现更加集中的管理方式。在升级、安装安全修补程序或其它的停机期间,IT 消息小组可在几分钟内有效迁移 4,000 个邮箱,而对用户几乎没有影响。以前,在没有采用群集解决方案的时候,客户常常会遇到 15 分钟到几个小时的停机时间。Windows Server 2003 是在 Itanium 平台上实现 99.99% 可用性的一个关键因素。作为一个从 32 位到 64 位计算的过渡平台,x64 体系结构可为微软的客户带来巨大的利益,因为它本质上就同时支持这两种环境,并且将比目前的传统 P4 Xeon 系统更具有价格竞争力。
远程访问服务Windows Server 2003 中增强的稳定性和可用性可直接为远程访问,带来更高的服务稳定性。这种稳定性将重新启动 RAS 系统的需要减少了 90%,并提高了可用性(接下来的范例中有详细说明)。
2004 年 1 月,因为下雪,许多员工都选择了远程办公。这个事件对已部署的远程访问解决方案(主要是虚拟专用网络 [VPN] 服务器)的稳定性、健壮性和灵活性,构成了意外的测试。那时,该解决方案支持着 8,300 多名并发的远程用户,而没有出现任何性能问题。整个 Microsoft Puget Sound 社区的 25-30% 都是通过远程连接的,包括诸如微软 IT 部门 24×7 操作小组、软件开发人员小组、财务与人力资源部门、经理以及主管人员等关键任务小组,同时以总设计能力的 98% 执行服务。
在许多 VPN 服务器上,用户容量明显超出了 500 个端口的负载量,但对性能没有多大的影响。以前在使用 Windows 2000 时,接近 400 个端口就会对服务造成极大的负面影响。
打印在运行 Microsoft Windows NT® Server 4.0 版时,微软的雷蒙德总部共有 120 台服务器,用以支持其打印需求。借助 Windows 2000,工作组得以将该数字减少到 26 台服务器。而借助 Windows Server 2003,目前只有四台服务器处于运行中。这四台服务器支持的打印队列超过了 1,500 个,其中有两台服务器每月平均处理 620 个公共打印队列和 950 万页的打印量。
.NET Framework微软 IT 部门的 IPAK 针对 .NET 进行了重新编写,以使用先前提到的功能。今后,微软 IT 部门还将重视提供功能不同(取决于具体的应用上下文)的函数的通用代码。 这种代码还可与系统定义模型框架集成,从而允许应用程序与环境进行交互。自我描述的应用程序和基础结构可就它们自己的要求、限制和关系进行交流。微软 IT 部门将能够对变更进行建模,从而在更改之前就能清楚所要带来的影响,然后只需一个操作,就可自动作出全部下游调整。
Windows Server Service Pack 1 的新增功能Windows 防火墙是一种基于主机的防火墙,可在端口或协议的基础上,限制传入的访问。可将服务器配置为只允许访问服务器设计提供的服务,从而减小了服务器的受攻击面。
增强的 RPC 安全机制只允许经过验证的 RPC 调用,从而帮助避免传播蠕虫和其它病毒。目前,这些蠕虫主要通过未经验证的 RPC 调用进行传播。安全服务器角色 (SSR) 允许基于角色配置系统,以便只启用必要服务和功能,从而减小服务器潜在的受攻击面。
WMI 功能Windows Server 2003 中的 Windows Management Instrumentation (WMI) 比先前的版本更加强大,可对操作系统中更多的组件和服务,执行信息收集或系统配置管理。微软 IT 部门现在更喜欢使用 WMI 脚本和应用程序编程接口 (API),收集信息并管理系统,而不使用外部工具和可执行文件。在操作系统和应用程序内进行跟踪记录,还能更好地查看在较低等级发生了什么,并且提供了跟踪多颗处理器或应用程序功能的能力。这使得微软 IT 部门能够更好地排除问题,并检查性能。
System32 工具现在,完全受支持的、标准化的 System32 工具已经成为默认操作系统安装的一部分,而以前只能通过带外 (OOB) 发布(比如:可选的工具包、捆绑的 CD、资源工具包或 Web 下载)来提供。
在 Windows Server 2003 IPAK 中,Microsoft IT 部门不再管理内部创建的诸多工具。在 beta 项目期间(要求各工作组针对每个内部版本,更新许多工具),内部创建的工具通常都会带来管理负担。拥有标准化的工具还可避免因不同的工具版本的功能不一致,或某个管理员意外删除或更改了可执行文件而引发的问题。
Windows 与 IPAK 部署通过迁移到 Windows Server 2003,微软 IT 部门能够使用终端服务,更出色地部署 Windows 更新和 IPAK(Microsoft IT 服务包——标准化的基准平台)。在整个基础结构中部署了 Windows Server 2003 以后,由于终端服务超时而导致的失败安装数量几乎减少了 50%。由于能够直接对服务器控制台建立连接,因此对 Windows 和 IPAK 部署带来了功能性和简易性的大幅提升,并且提供了日常故障排除能力。此外,Windows Server 2003(结合 Remote Management Boards [RMB])使得微软 IT 部门能够管理来自雷蒙德的所有部署和修补操作。 这种集中化使得变更控制过程更加紧密;它使微软 IT 部门能够更快地响应紧急修补和部署情况,并减少这相应的员工数量。
全球的微软 IT 环境微软企业规模庞大,结构复杂,并且不断发生着变化。微软信息技术 (IT) 部门的任务非常特别。 除了运营保持业务高效运转的世界级设施外,其主要任务就是作为微软的第一个并且是最合适的客户。其中包括在整个公司中部署企业软件,提供关于产品组的有价值的反馈信息,以此方式在所有企业软件的 beta 版开发早期进行软件测试,进而确保为客户和合作伙伴提供可预测的可靠服务。以下数据有助于用户了解微软的 IT 环境(所有数字均为近似值):
•
近 90,000 名 IT 用户
•
超过 300,000 台计算机和设备
•
在全球支持的站点超过 400 个
•
全球性的业务线应用程序(如:Siebel、Clarify、MS Sales 以及 World-Wide Sales and Marketing Database)
•
全球虚拟技术支持
•
有七个站点在全球范围内运行 Exchange
•
110 台运行 Exchange 的服务器
•
38 台邮箱服务器
•
每天有超过 300 万封内部电子邮件
•
每天有超过 880 万封的外部电子邮件
•
每天阻止的电子邮件超过了 680 万封
•
每月有超过 750 万个远程连接