微软公司的Windows Server 2008即将正式发布，在发布之前，网界网合作媒体美国《Networkworld》实验室的工程师已经取得了Windows Server 2008的黄金代码版本（即2月20日正式发布的产品），并且对其进行了测试。

　　《Networkworld》工程师经过测试发现，微软对其旗舰级服务器操作系统做了很多改进。例如，新服务器管理角色方案增加了安全性，服务器管理器程序改进了可管理性，Internet信息服务器（IIS)Web管理功能了进行了全面的改造，Active Directory更容易控制，Windows Terminal Services做了重新设计。Windows Server 2008在运行速度上也大大快于Windows Server 2003，尤其当客户机运行Vista时。
　　
　　可惜的是，寄予很高期望的Windows Server 2008特性，即Hyper-V服务器虚拟化工具，目前缺席。微软在不同版本的Windows Server 2008中只提供一个beta版Hyper-V，而且它在今年第三季度前不会发布正式版本。

　　非Windows（以及老Windows）客户机与微软的网络访问保护（NAP）方案－－即微软版的NAC－－之间也缺少兼容性。微软NAP方案利用客户端“健康证书”批准或拒绝客户机访问网络。“不健康的”客户机被引导到修补服务器，安装必要的杀毒软件更新或安装补丁。

　　《Networkworld》工程师测试了Windows Server 2008中的NAP现实，发现只要客户机运行Windows XP或Vista它就能正常工作。但它不允许运行其它品牌的操作系统的客户机访问它的受保护的资源，因此阻碍了NAP方案的潜在成功，因为必须彻底检查所有的客户机类型NAC才能有效地工作。

　　重新考虑服务器角色

　　微软希望不同版本的Windows Server 2008（微软将像通常那样发送标准版、企业版、数据中心版和Itanium专用版）管理员考虑服务器扮演某种角色。服务器角色是聚合在一起的对象，这些对象适合通常想到的服务（如打印服务、文件共享、DNS、DHCP、 Active Directory域控制器和基于IIS的Web服务）的。微软一共定义了18种角色。

　　甚至所谓 Windows Server Core的最低限度安装也可以运行不同的服务器角色（如DNS、DHCP、Active Directory组件），但不能运行应用（如 SQL Server或IIS动态网页）。它否则是提供无界面操作（headless operations）的脚本控制的主机系统。Windows Server Core服务器没有GUI前端，而是由命令行界面（CLI）、脚本、远程通过系统管理器或其它支持Windows Management Instrumentation (WMI)的其它管理应用或由Remote Terminal Services来管理。它还是Hyper-V和虚拟化架构的潜在的缺少资源的底层。

　　运行在任何基于角色的服务器上的服务通过服务器管理器（微软改了名的、改造过的管理应用）－－通过GUI或CLI前端－－来分区和启动。与Windows 2000和2003版操作系统中的“Configure Your Server”程序相比，这是个很大的改进。一旦成功启动后，角色可以很容易改变。CLI版允许管理员执行脚本控制的初始化或远程角色修改。服务器管理器比以前的管理应用有了一个重要的改进：它在执行安装、变更、删除或其它变化前，全面检查应用的依存关系。

　　当《Networkworld》工程师安装Windows 2008 Server时，几乎立即尝到了这些服务器角色提供的更高的安全性－－现在系统缺省要求设置强管理口令。

　　Active Directory证书服务进行了重新设计，现在与组策略设置配合提供更容易的证书注册、发现和存储。由于证书管理（包括存储、分发和证书审查）选择比以前更多，因此以前在Windows 2003 Server中很难建立、监测和维护的公钥基础设施得到了很大的改进。

　　一个附带的好处是IPSec加密可以使用以前没有的密码算法，如椭圆曲线Diffie-Hellman或高级加密标准，从而堵上了简单但到此前为止困难的安全漏洞：Windows 2008可以在全网络范围提供全面的网络加密服务。

　　除了服务管理器外，基于服务器的Windows Firewall MMC插件帮助用户更轻松地配置和管理基于主机的安全性。运行在基于Windows 2008 Server的网络上的Windows防火墙现在可以由Active Directory中的系统强制执行的组策略对象（GPO）来控制。在Active Directory域内执行Windows防火墙设置的能力提供一种分级执行的机制，这种机制超越本地管理员建立的分支办事处或下属机构服务器设置。应该说，这是个有威慑力的铁拳政策。

　　GPO现在可以定义服务器IP地址准入范围，使服务器可以忽略除特定地址之外的所有传输流，从而大大减少它们的被攻击面。用于特定路由的策略被所有允许访问Active Directory控制的网络的客户机和服务器所继承，从而使可能的入侵者活动可以更容易地从一般传输流噪音中识别出来。

　　但是，单凭这种准入控制不能减少TCP SYN DOS攻击的影响，但其它Windows Server 2008才有的TCP/IP设置可被用于减少针对TCP连接的分布式拒绝服务（DoS）攻击的影响。