Windows Server 2012 R2 中的新增功能 ·...

第1章

Windows Server 2012 R2

中的新增功能 Windows Server 2012 R2 提供了 300 多个新增功能，同时也是微软首款支持云环境的 Server 操

作系统。仅一章篇幅当然无法解释所有这些功能(这也是撰写本书的原因)，因此现在我们准备使用

几页的篇幅简单地介绍这些功能。我们意识到在阅读本书的读者中，一部分读者可能才刚刚开始接

触微软的 Windows Server，对于他们来说，所有内容都是崭新的；但是对于其他大多数读者来说，

他们已经了解很多关于 Windows 的组网技术，他们仅希望摘要地了解 Server 中提供的新功能。本章

主要是概括总结 Windows Server 2012 R2 中提供的新功能，并且说明本书是如何安排这些新功能的

讨论的。到目前为止，我们耐着性子阅读了微软公司关于 Windows Server 的大量报告，它们都采取相同

的开头方式，因此我们也按照习惯的方式概述 Server 2012 R2。

本章内容包括： ● 用户界面的重大变化 ● 新增的 Active Directory 功能，增强了部署和可管理性 ● 对 PowerShell 的改进 ● 添加到 Hyper-V 的新技术 ● 对 Windows 组网技术的增强，使之更快速、更安全 ● 新增的管理工具 ● IIS 8.0 的重要特性

1. 1 Wi ndows Ser v er 20 12 R2 简介

Windows Server 2012 R2 有句宣传语是“建立在云上”，因此不难理解这套操作系统的意图。那

么，何谓云技术呢？简而言之，就是利用远程网络服务器(而不是本地服务器)网络来存储、管理和

处理数据。Windows Server 2012 R2 版将这些技术扩展到企业，并以同样的方式应用于这些企业的

员工。所有企业数据都可现场或远程通过虚拟机或个人工作站直接备份到云中。在当下和不久的将

来，云技术都是世界商业发展的驱动力。

精通 Windows Server 2012 R2(第 5 版)

2

从小企业客户到世界大的数据中心，Windows Server 2012 R2 都是首选系统。凭借在虚拟化、

网络、存储、可用性以及其他方面数以百计的新增功能，Windows Server 2012 R2 不会让人失望。

相信你会和我们一样，越用越喜欢！下面的小节将概述这些新功能，并指出可在本书的哪些章节中进一步阅读相关内容。本章属于简介性质，因此本书后续部分将对本章提到的所有主题进行详细讨论。

1. 2 Wi ndows Ser v er 的版本

Windows Server 2012 发布时有标准版和数据中心版两个版本，其中每一个版本又分为 Server Core(服务器核心)版和 GUI(图形用户界面)版。在 Windows Server 2012 R2 发布之后，又多了两个选

择：基础版与精华版。不同的版本不仅功能有区别，而且不同版本的每个授权许可在价格上也有所

区别。下面先来看看各版本之间的区别。

1.2.1 标准版

这是一款企业级云服务器，它是旗舰版的操作系统。因为标准版是受欢迎的版本，所以本章

将详细介绍影响标准版的变化。该版本的服务器功能丰富，几乎可以满足所有的一般组网需求，可

以用于多种用途，也可以专机专用。如果对安全和性能的要求很高，可以删减服务器的配置，使其

只包含核心的功能部件。

1.2.2 数据中心版

这是微软的“重型”虚拟化服务器版本。因为具有无限虚拟化实例权限，所以该版本适合应

用于高度虚拟化的环境中。没错，确实是无限虚拟化！这是数据中心版与标准版的唯一区别，也恰

恰源于此，数据中心版的价格是标准版的 4 倍。

1.2.3 基础版

基础版包括其他版本中的大多数核心功能，但是在部署之前需要了解它所受的限制。Active Directory 证书服务角色仅限于证书颁发机构。下面是其他一些限制：

● 大用户数为 15。 ● 大服务器信息块(Server Message Block，SMB)连接数为 30。 ● 大路由和远程访问(Routing and Remote Access，RRAS)连接数为 50。 ● 大 Internet 验证服务(Internet Authentication Service，IAS)连接数为 10。 ● 大远程桌面服务(Remote Desktop Services，RDS)网关连接数为 50。 ● 仅支持一个 CPU 套接字。 ● 既不能作为虚拟机主机使用，也不能作为访客虚拟机使用。

1.2.4 精华版

该版本的服务器适用于用户数少于 25 名、服务数不超过 50 个的小企业。这是一种极具成本效

益的提供小型企业组网的方式。下面是 Windows Server 2012 R2 精华版的部分新增功能：

第 1 章 Windows Server 2012 R2 中的新增功能

3

● 改进了客户端部署 ● 可作为虚拟机安装，也可安装在服务器上 ● 用户组管理 ● 改进了文件历史功能 ● 包括 BranchCache ● 用仪表盘管理移动设备 ● 包括 System Restore

1. 3 桌面的变化

在 Windows Server 2012 中，微软公司去掉了左下角的 Start 按钮。但在 R2 版中，Start 按钮回

到了原处，因此可通过该按钮来访问你的应用菜单。如果你习惯于通过单击 Windows 键来访问菜单，

仍然可以这样做。Windows 键的位置在标准键盘左手边的 Alt 键左边。右下角也有一个热点，单击

该热点可弹出一个垂直菜单栏。这个动态菜单包含以下几个按钮：Start 菜单按钮、Desktop 设置按

钮和 Explorer 搜索按钮。你可能不太习惯新的外观，但相信你很快会喜欢 UI 的这种新变化。Server Manager 还有一个重

大变化，当出现问题时，仪表盘上显示的彩色警告很引人注目。有一个功能是用户需要但 Server 以前没有提供的，即从 GUI 版切换到 Server Core 版的能力。

很多时候，当需求发生变化时，可能需要切换到 Server Core 版。以前你需要完全重装 Server Core版。现在管理员可以从 GUI 版转换到 Server Core 版，或者反过来从 Server Core 版转换到 GUI 版。

有关桌面变化的更多内容，将在本书的第 2 章开始陆续出现。

1. 4 Ac t i v e Di r ec t or y 的变化

众所周知，Active Directory(AD)在许多方面都是 Windows 组网技术的关键所在，换句话说，AD是用户和机器身份验证数据的中心数据库。Server 2012 R2 的 AD 包含若干有用的新功能，适用于

Active Directory 证书服务、Active Directory 权限管理服务和 Active Directory 域服务。总体上讲，这

些新功能关注于部署和可管理性。增加这些新功能是为了使Active Directory服务的部署更快更轻松，

在提供更好文件安全性的同时使得对文件的访问更加灵活。管理工具也得到了改进，使图形和脚本

管理更统一、更加用户友好。有关 Active Directory 的更多内容，请参见第 7 章。

1.4.1 Active Directory 域服务的变化

微软一直在努力使 Active Directory 域服务(AD DS)变成一款稳健的目录结构服务。下面各小节

将解释 Active Directory 域服务的相关改进。

1. 克隆域控制器

Windows Server 2012 R2 为你提供了通过克隆现有域控制器来提高部署速度的能力。使用 Server


4

Manager 中的域控制器界面，可以升级单个虚拟域控制器。然后，你可以在该域中部署其他虚拟域

控制器。克隆不但可以减少部署过程中的重复步骤数目，还可以让你部署由 Active Directory 配置和授权

的其他域控制器。克隆的实现方法是先创建虚拟域控制器的副本，然后授权源控制器并运行适当的

Windows PowerShell cmdlet。Winodws PowerShell 将用升级指令创建配置文件。该文件将包括域名服

务器 Domain Name Server(DNS)信息、名称、IP 地址以及其他相关信息。有关克隆控制器的更多内容，请参见第 7 章。

2. 改进的多元密码策略

除了保存用户账户名称和密码以外，Active Directory 还可以完成许多事情，但是如果必须选择

重要的任务，那么我们认为保护和维护密码就是这样的任务。在 Windows Server 2008 之前，大家都会面临的问题是，域中的每个成员都必须遵循同样的密码

规则。例如，管理层必须与销售团队采用同样的密码规则。管理员应该比销售人员更加懂得如何更

好地保护密码。如果不是这样，你就要考虑换管理员了！在Windows Server 2008 中，微软引入了多元密码策略(fine-grained password policy)。该策略允许

在单独的组上采用单独的密码策略。因此，现在管理员可以和销售人员可以分别拥有各自的密码策略。在 Windows Server 2012 R2 中，多元密码策略得到了改进，因此你现在可以选择使用 Active

Directory Administrative Center(活动目录管理中心)创建和管理你的密码设置对象(PSO)。这个新功能

帮助简化你的PSO管理。在Server 2012 R2之前的版本中，所有PSO都必须用Active Directory Schema Interface(ADSI Edit)工具创建。

有关多元密码策略的更多内容，请参见第 7 章。

3. AD Recycle Bin

下面我们将用现实生活中的例子来解释 Active Directory Recycle Bin，以及如何利用该技术节省

时间。约翰是 Wiley Books 公司的初级管理员。他花了几个小时的时间向 Active Directory 中添加了

20 名新作者。后来，当约翰做完这一切时，他一不小心删除了公司的一个组织单位(Organizational Units，OU)。

Wiley公司每天晚上会用微软的Windows Backup工具备份所有数据。因此，当恢复Active Directory时，只能全盘恢复。微软的 Windows Backup 工具不能仅恢复 OU。为了恢复 Active Directory，约翰

不得不损失那几个小时的工作，因为 Active Directory 的版本将是前一晚的磁带备份上的版本。这时

Active Directory Recycle Bin 就可以起到帮助作用。使用 Active Directory Recycle Bin，约翰就可以仅恢复 OU，无须回到备份时的另一个位置。管理员现在可以通过使用全新的图形用户界面轻松地还原 Active Directory 对象，无须经历

Windows Server 2008 提供的冗长恢复过程，具体见图 1-1。有关 AD Recycle Bin 的更多内容，也请参见第 7 章。

4. PowerShell 和 AD Administrative Center

自从 Windows 面世以来，微软随操作系统一起提供的管理工具主要是基于图形的工具。实际上，

许多 Windows 管理员数周时间都不用打开命令行。这样做的好处在于对于，新管理员来说易于学习


5

Windows 管理，而不像初学者学习 Unix/Linux 管理一样，因为 Unix/Linux 操作系统主要依赖于命令

行的管理工具，而不是基于 GUI 的管理工具。

图 1-1 示例Recycle Bin GUI

但是，Unix/Linux 世界中以命令行为中心的管理工具使得在 Unix/Linux 中自动化管理任务要比

在 Windows 中自动化管理任务简单(将命令行指令添加到批处理文件中，从而可以自动执行希望完

成的任务。然而，鼠标单击动作无法添加到批处理文件中)。因此，微软试图为 Windows 赋予一个

称为 PowerShell 的新命令行 shell，这正是 Windows 所缺乏而 Unix 和 Linux 所拥有的“自动化能力”。

PowerShell 的设计目的是用来执行烦人、重复的任务，并使这些任务轻松地自动执行。直到现在，

PowerShell 的使用仍然比较难学。 Windows Server 2012 R2 引入了 PowerShell History 查看器，该查看器允许管理员使用 Active

Directory Administrative Center 查看已执行的 Windows PowerShell 命令。PowerShell 3.0 的改进如下： ● Windows PowerShell 工作流 ● Windows PowerShell Web 访问 ● 新增 Windows PowerShell ISE 功能 ● 对 Microsoft .NET Framework 4.0 的支持 ● 对 Windows 预安装环境的支持 ● 无连接会话 ● 稳健的会话连接性 ● 可更新的帮助系统 ● 增强的联机帮助 ● 集成了 CIM ● 会话配置文件 ● 计划作业与 Task Scheduler 集成 ● Windows PowerShell 语言增强


6

● 新增核心 cmdlet ● 对现有核心 cmdlet 和提供程序的改进 ● 远程模块导入和发现 ● 增强的选项卡完成功能 ● 模块自动加载 ● 模块体验的改进 ● 简化了命令发现 ● 改进了日志记录、诊断和组策略(Group Policy)支持 ● 格式化和输出改进 ● 增强了控制台主机体验 ● 新增 cmdlet 和托管 API ● 性能改进 ● 支持 RunAs 和共享主机 ● 特殊字符处理的改进从上述长长的改进清单可以看出，微软打算让 PowerShell(参见图 1-2)作为与当今存在的一系列

GUI 工具同样重要的管理平台。

图 1-2 使用 PowerShell 安装服务器角色

有关 PowerShell 的更多内容，请参见本书从第 2 章开始的各章，在那些章节里你将用它来添加

角色和功能。

1.4.2 Active Directory 权限管理服务

在公司内部传递安全文档和文件对于公司的信息完整性来说是至关重要的。例如，你公司的


7

CFO 可能有一个报表，其中列出了公司所有员工的薪水。CFO 仅希望公司其他主管拥有访问该文件

的权限。这时就需要调用 Active Directory Rights Management Services(活动目录权限管理服务，AD RMS)来保护文件的安全。使用 AD RMS 时，CFO 可以加密文件或者对文件应用身份验证。

在 Windows Server 2012 R2 之前，AD RMS 设置规定在具有 SQL Server 数据库的计算机上，只

允许一名具本地管理员权限的用户进行安装。这是因为 AD RMS 在安装期间需要从注册表读取 SQL Server 设置。对于 AD RMS 的处理以及 SQL Server 的访问，微软作了下列更改：

● AD RMS 现在要求在安装 SQL Server 时安装者拥有系统管理员(sysadmin)权限。 ● 定位任何可用的 SQL Server 实例时必须运行 SQL Server 的浏览器服务。 ● SQL Server 计算机上的 AD RMS 设置使用的任何端口都应当启用 Firewall 异常。你需要为

SQL 实例启用 TCP 端口(默认端口为 1433)，以及为 SQL Server Browser Service 启用 UDP端口(默认端口为 1434)。

AD RMS 设置的另一部分得到了升级。在以前的服务器版本中，必须从安装 AD RMS 的计算机

中部署。在 Windows Server 2012 R2 中，允许在目标服务器计算机中远程部署。有关 AD RMS 的更多内容，请参见第 7 章以后的章节。

1.4.3 Active Directory 证书服务

你可以使用 Active Directory Certificate Services(活动目录证书服务，AD CS)将服务、设备和人

员的身份绑定到一个私有密钥。这种增强的安全特性允许仅访问支持 AD CS 的参与应用。下面列出的是部分影响 Windows Server 2012 R2 的更改： ● 集成了 Server Manager。 ● 使用 Windows PowerShell 部署和管理。 ● AD CS 角色服务可以在任何版本 Windows Server 2012 R2 的 Server Core 上运行。 ● 现在支持为不在同一个域内的连接计算机自动恢复证书。 ● 强制使用相同的密钥进行证书更新。 ● 支持国际域名。 ● CA 角色服务默认启用了增强的安全性。有关 AD CS 的更多内容，请参见第 7 章以后的章节。

1. 5 虚拟化

虚拟化允许将多个计算机操作系统放在同一台物理机器上。过去，你需要为域控制器、Exchange服务器、DNS 服务器和 DHCP 服务器使用 4 台服务器。现在，你可以在一个物理实体内容纳 4 台虚

拟服务器。这样比较省钱(节省硬件开销)，也省空间(过去需要 4 台服务器，现在只要 1 台服务器)。Windows Server 2012 R2 中的虚拟化功能仍然在继续改进中。

1.5.1 Hyper-V

过去 10 年间，服务器虚拟化(将一台物理服务器分隔成众多虚拟机)是服务器管理方面重要的

更改之一。采用小写字母书写“server management(服务器管理)”是因为它不仅用于 Windows Server，而且还用于各种 Linux、Unix、Sun Solaris 等系统中。通过购买一个大型、强大、可靠的硬件，并且


8

采取某种手段让计算机相信它实际拥有 10 个或 20 个较小的独立计算机硬件，然后在每个“虚拟服

务器硬件”上安装独立的服务器操作系统，这样能够极大地简化服务器管理中各种类型的操作。另

外，服务器虚拟化还解决了一个已经困扰服务器机房规划人员数年的服务器管理问题：硬件不能充

分利用。欺骗计算机以使其认为自己实际拥有众多独立计算机的工具通常称为虚拟机管理器(Virtual Machine Manager，VMM)。

自从服务器计算开始以来，大多数组织倾向于将每个服务器功能(例如，电子邮件、AD 域控制

器、文件服务器、Web 服务器、数据库服务器)布置在组织自己拥有的一台单独物理服务器上。因此，

如果域需要域控制器、Web 服务器和电子邮件服务器，那么通常要购买三台单独的服务器计算机，

在每台服务器计算机上都安装 Windows Server，然后使其中一台成为 DC，一台成为 Web 服务器(通过在服务器上启用 R2 的内置 Web 服务器软件 Internet Information Services)，另一台成为 Exchange服务器。这样做的不利之处在于每台服务器的负载或许都非常低：当听到下述现象时，请不要惊讶：

DC 大约只使用 5%的 CPU 资源，Web 服务器稍微多一点，而电子邮件服务器又比 Web 服务器稍微

多一点。运行许多没有满负荷运转的物理服务器硬件意味着浪费电力，而这并不是现在提倡的绿色

概念。相反，购买一台大型的物理服务器，并且使用 VMM 将这台服务器分隔成三台虚拟服务器，

或许可以接近这台物理服务器的大处理能力，从而节省电力和减少散热需求。下面我们先来介绍该版本的新增技术。由于 Hyper-V 的改进非常多，因此我们对每一个改进的

介绍只是点到为止： ● 客户端 Hyper-V 提供了桌面 Windows Hyper-V 技术，无须安装服务器操作系统。 ● Windows PowerShell 的 Hyper-V 模块提供了超过 160 个 cmdlet，用来管理 Hyper-V。 ● Hyper-V Replica 允许在两个站点中的存储系统、群集和数据中心之间复制虚拟机。这样有

助于提供业务连续性和灾难恢复功能。 ● 资源计量有助于跟踪和收集关于特定虚拟机上的网络使用和资源的数据。 ● 将身份验证管理员组简化为本地安全组。这样只需要创建较少的用户来访问 Hyper-V。 ● 单个根的 I/O 虚拟化(SR-IOV)是一个新增功能，允许将网络适配器直接赋予虚拟机。 ● 存储迁移允许在虚拟机运行过程中将虚拟硬盘移到另一个不同的物理存储器上。 ● SMB 3.0 文件共享是一个新增功能，该功能提供了带共享存储的虚拟机，无须使用存储区域

网络(Storage Area Network，SAN)。 ● 虚拟 Fibre Channel 可用来虚拟化需要直接访问基于 Fibre Channel 的存储器的工作负荷和应

用。该功能还可以直接在客户操作系统(有时称为访客群集)中配置群集。 ● 虚拟非统一内存架构(Non-Uniform Memory Architecture，NUMA)允许运行在虚拟机中的某

些高性能应用使用 NUMA 拓扑技术来帮助优化性能。下面简单介绍一下对现有Hyper-V 技术所做的部分增强，很多管理员会发现它们十分有用。 ● 动态内存允许配置 Smart Paging，这样你的虚拟机可以更有效地重启。如果虚拟机的启动内

存较少，则可以配置动态内存来提供支持。 ● 导入虚拟机得到了调整，可以更好地处理通常会阻止导入的配置问题。到目前为止，这个

过程包括了复制虚拟机，但是从来没有检查过配置问题。 ● 现场迁移功能可以在非群集环境下完成现场迁移。这种改进将使现场虚拟机的移动更加容易。 ● 本版本提供了更大的存储资源，扩大了规模，并且提供了更好的硬件错误处理功能。这样

做是为了帮助你配置具升级能力的大型高性能虚拟机。


9

● 虚拟硬盘格式(Virtual Hard Disk Format，VHDX)增加了每个虚拟硬盘的大存储容量。新的

格式高可支持 64TB 的存储容量，还配有内置硬件防护，以防止电源故障。该格式还可以

防止大扇区物理磁盘上的性能下跌。 ● 你不再需要关闭现场虚拟机来恢复删除的存储空间。现在的虚拟机快照可以在删除快照后

释放快照使用的空间。有关 Hyper-V 的更多内容，请参见第 27 章。

Windows Server 2012 R2 中删除或摒弃的内容 VM Chimney(又名 TCP 减荷)已经删除，在客户操作系统中不再可用。WMI 根\虚拟化命名空间

变为“根\虚拟化\v2”，它最终会在未来的 Server 版本中完全退出。Authorization Manager(AzMan)在本版本中也被摒弃了，在未来的版本中将逐步废止。新的虚拟机管理工具将成为新标准。

1.5.2 虚拟桌面基础架构

在 Windows Server 2012 R2 中，微软对虚拟桌面基础架构(Virtual Desktop Infrastructure，VDI)作了重大改进，改进后的架构管理更简单，增加了价值，具有更好的整体用户体验。

对移动设备的支持是当今市场的必然要求。虚拟桌面基础架构通过虚拟化资源帮助填补不同设

备间的兼容性鸿沟。VDI 提供了更强大的安全性和更高的效率，它能够通过用户熟悉的 UI 提高生

产率。Windows Server 2012 R2 和 VDI 使得跨设备部署虚拟资源变得轻而易举。如果在数据中心中运行，Windows Server 2012 R2 VDI 将允许使用 Hyper-V 和远程桌面服务

(Remote Desktop Service)访问移动设备。微软在同一个解决方案中提供了 3 种不同的部署类型：池

化桌面、个人桌面和远程桌面会话。有关 VDI 的更多内容，请参见第 27 章。

1. 6 组网技术的更改

如果服务器之间无法沟通，那么服务器就没有用处。当然，能够与其他系统通信也有不利的一

面，当组网时服务器容易受到试图散播恶意软件的系统的感染。希望拥有一台安全的服务器吗？非

常简单，断开服务器的以太网电缆即可！Server 2012 R2 在组网技术方面进行了一些更改，从而使

Windows 组网更加快速，而且更加安全。

1.6.1 EAP-TTLS

Windows Server 2012 R2 的发布引入了一个 Extensible Authentication Protocol(可扩展身份验证协

议)类型的排他性协议，名为 Tunneled Transport Layer Security(隧道传输层安全协议，TTLS)。该协

议与 802.1X 身份验证有线和无线访问配套使用。这个基于新标准的协议为客户端身份验证提供了安

全通道。802.1X 提供了一种安全保护，防止未授权的用户访问你的内联网。

1.6.2 DNS

虽然人们一直在使用 DNS，但是它翻译名称的过程似乎随着每个版本的发布而越来越好。


10

Windows Server 2012 R2 中的变化对 DNS Server 和 Client 都有影响。下面介绍一下 DNS 在 Windows Server 2012 R2 中的变化。

在 PowerShell 中，DNS 管理进行了一些改进。例如，使用 PowerShell 安装和卸载 DNS Server角色的方式都有所改进。PowerShell 还对原操作系统上的用户界面、客户端查询以及服务器配置进

行了改进。LLMNR 查询超时时间原来是 300 ms，对于省电模式下的计算机来说，这个时间不够用。

对 DNS Client 作了新的改进后，这个超时时间增加到 820 ms。

1.6.3 IP 地址管理

IP 地址管理(IP Address Management，IPAM)框架是一组新增技术，用于管理、监控和审计 IP 地

址空间。通过监控 DHCP 和 DNS，IPAM 可以在网络内定位 IP 地址服务器，并允许通过一个中央

UI 管理这些地址服务器。

1.6.4 NIC 组合

Windows Server 2012 R2 中的 NIC 组合技术可以将多个网络接口卡组合成一个接口。这样有助

于故障检修，假设一台设备不好用，还有别的设备可用。当采用 NIC 组合技术时，负载平衡也得到

了改善，因为带宽合并成一个更大的带宽。有关 NIC 组合主题和新增功能的更多内容，请参见第 4 章和第 5 章。

1. 7 管理工具

任何优秀的网络操作系统都应该提供简便的方式来保持一台服务器或1000台服务器启动并运行，

使人们能够尽可能少地管理服务器。以前没有哪个操作系统在服务器管理上能做到这一点，但是

Windows Server 2012 R2 在这方面已经进行了改善，提供了一些有用的新工具。

1.7.1 Server Manager

在 Windows Server 2008 之前，当管理员要配置和维护服务器时，需要使用多个不同的工具。

Windows Server 2008 引入了一个综合管理工具 Server Manager，所有配置和管理工具可以“一站式”

实现，从而改变了这种状况。在 Windows Server 2012 R2 中(见图 1-3)，微软进一步扩展了这一功能。Server Manager 现在允

许管理员管理多台服务器(虚拟或物理/本地或远程)，只要这些服务器不是 Windows Server 2003 之前

的版本即可。在 Server Manager 中添加角色或功能变得更加智能。当你作选择时，Add Roles and Features 向

导就会动态地改变。这个向导帮助你决定哪些工具和功能适用于目标角色。 Server Manager 新增了一个仪表盘，如果有问题，仪表盘会显示彩色编码框。例如，如果 DNS

事件日志中出现了一个错误，那么仪表盘上的 DNS 框会变成红色。在对服务器进行故障检修时，

该仪表盘是一个极佳的工具，由于你登录时第一眼就会看到这个仪表盘，因此你不会错过它。提到服务器的故障检修，Server Manager新增了一系列故障检修工具，第 2 章将会详细介绍。由

于这些工具都在角色和Server Manager内部，因此查看结果时不必像使用Event Viewer或Performance Analyzer时那样打开多个应用程序，它们都在同一个地方。


11

图 1-3 Server Manager

有关 Server Manager 的更多内容，请参见第 2 章。

1.7.2 远程工具：WinRM 和 WinRS

情况总是如此，新操作系统中包含了一些确实重要和有用的功能，但是通常又不会被注意。

Windows Server 2012 R2 在新网络协议中就包含了这样一个强大但又不被人注意的功能，该功能就

是 Windows 远程管理(Windows Remote Management，WinRM)。为了理解 WinRM 的出色之处，下

面我们来看一下 WinRM 准备替换的内容，这就是众所周知的远程过程调用(Remote Procedure Call，RPC)协议。

即便你从来没有听说过 RPC，但是有可能已经使用它数年之久。RPC 的工作就是允许一个程序

与另一个程序对话，即便这两个程序运行在不同的计算机上。例如，如果已经在 Exchange Server 实例上启动了Outlook来阅读电子邮件，就使用了RPC：正是由于RPC的存在，Outlook才能与Exchange联系并请求所需的电子邮件。或者，如果曾经使用过诸如 DNS、DHCP 的 MMC 管理单元或者

Computer Management 管理单元，从桌面计算机上远程控制远程计算机上的功能，那么也使用了

RPC。 RPC 是一种协议，多年来提供了众多的服务，但是它有一个致命的问题：安全难以保证。在微

软公司发明 RPC 时 Internet 还没有出现，而且绝大多数 LAN 的范围不会超出从办公楼第一层到顶

层的距离，因此安全问题并没有引起特别关注。数年之后，当安全问题引起极大关注时，微软公司

试图改进 RPC，添加安全性，这项工作是从 XP SP2 开始的，试图通过添加一些选项来修改错误，

但是在那个时候马已经脱缰，如果强行为 RPC 添加安全性，那么将不得不停止使用数百个甚至数千

个依赖于 RPC 的应用程序。非常明显，是时候改变 Windows 程序彼此之间的通话方式了，因此微软公司决定采纳一种与

RPC 完成相同事情的协议，其略有变化： ● 该协议不是专有协议，而是标准协议，与平台无关，Linux 和 Mac OS 中也有相似的实现。


12

● 该协议是 HTTPS 的改进。 ● 该协议的通信是加密的。 ● 该协议需要身份验证才能使用。使用 WinRM 的 Windows 2012 R2 的组件还包括事件日志集合、能够在远程服务器上使用新的

Server Manager 管理单元的能力以及一个称为 Windows Remote Shell 或者 WinRS 的安全远程命令

shell，我本人喜欢这个命令。如果需要一个安全的、低带宽的远程控制工具，那么可以试试 WinRS。有关 WinRM 的更多内容，请参见第 17 章。

1.7.3 Remote Desktop Services

在 Windows Server 2012 R2 中，微软在提升用户和管理体验方面迈出了一大步。不管使用何种

设备进行连接，微软公司都尽量提升用户体验。他们希望确保通过 WAN 或 LAN 连接(连接到虚拟

桌面、RemoteApp 程序或者基于会话的桌面)为用户提供丰富的体验。微软还希望使远程桌面管理体

验更加完善。我们承认，微软公司确实做得不错，因为它添加了一个中央控制台，这样管理员就可

以从同一个位置管理远程桌面服务(Remote Desktop Service)。有关 Remote Desktop Service 的更多内容，请参见第 17 章。第 14 章(讨论远程管理)和第 25 章(讨论基于服务器的RDS)将详细介绍 Remote Desktop Services

的细节和各种新功能。

1.7.4 组策略对象的改进

现在又有什么地方变得更为出色呢？有许多地方。使用现在内置的组策略管理控制台(Group Policy Management Console)，组策略对象(Group Policy Object，GPO)的管理就变得更简单。在以前

的 Windows 版本中，管理员遇到的一个问题是：需要手动强制更新 GPO。尽管 GPO 每 90 分钟会

自动更新一次，但是，还有很多时候需要 GPO 立即生效。管理员必须远程登录特定的计算机，从

命令行运行 gpupdate.exe 来手动更新 GPO。现在，如果管理员想要手动强制更新 GPO，可以通过组策略管理控制台使用 OU 的上下文菜单

进行更新，并让 gpupdate.exe 在多台计算机上同时运行。管理员还可以通过使用 PowerShell 实用程

序和新增的 Invoke-GPUupdate cmdlet 来实现这一功能。下面是 Windows Server 2012 R2 中对组策略的其他更改： ● 在域层级处理监控重复的问题时，不再需要下载并运行单独的工具。 ● 对于运行 Windows RT 的服务，现在可以配置本地组策略。默认情况下这一服务是禁用的，

必须启用该服务并设置为自动。 ● 组策略已升级为支持 Internet Explorer 10。有关组策略的更多内容，请参见第 9 章。

1. 8 文件和打印共享

在 Windows 服务器上运行 Web 或电子邮件服务之前，我们只能使用服务器共享两件事物：大

容量的硬盘驱动器和昂贵的打印机。文件和打印是 Microsoft 网络所提供的古老的服务，但是很明

显，它们还没有古老到不需要学习一些新技巧。


13

1.8.1 BranchCache

BranchCache 是一种优化 WAN 带宽的技术，其方法是将你的主机或者云服务器上的内容复制到

分机上。当内容复制到分机上后，用户可以从本地访问该内容，而不需要通过 WAN 访问。具有访

问缓存文件的能力可节省带宽和提高安全性。BrachCache 可以支持任何大小的分机，服务数目没有

限制。仅使用一个组策略对象(GPO)即可部署 BranchCache。该技术通过 Windows 文件服务器将文

件划分成小加密块。关于将文件划分成小加密块，出色的方面是客户端计算机可以仅下载发生了

变更的块。BranchCache 会检查重复的内容，仅下载该内容的一个实例，从而节省磁盘空间。在 Windows Server 2012 R2 中，BrachCache 的改进包括自动化客户端计算机配置，以及大大提

高了性能和可扩展性。客户端计算机可以通过组策略对象(GPO)来配置。如果没有为 BranchCache配置 GPO，BranchCache 会检查托管的缓存服务器，并使用默认的设置。

BranchCache 的新增优点之一是这样的能力：在托管缓存服务器上预加载特定内容(如媒体和

DVD)，并将该内容发送到客户端缓存中。另一种极好的改进是数据库性能得到了提升。BranchCache通过可扩展存储引擎(Extensible

Storage Engine，ESE)实现了这一点，与Microsoft Exchange Server使用的数据库技术相同。该技术允

许将单个托管缓存服务器扩展为处理更多用户的更多需求，无须增加硬件资源。托管缓存服务器不再需要认证机构(CA)颁发的服务器证书，大大降低了用多个 CA 部署公有密

钥所涉及的成本。

1.8.2 SMB 3.0

Windows 的文件服务器服务的官方名称是 SMB，它是服务器消息块(Server Message Block)的简

写(这要怪 IBM，不要怨微软，因为是 IBM 的一个家伙首先设计的服务器消息块)。到目前为止，SMB已经面世大约 25 年，但是它变化不大，其大的变化是支持更大的块，从而能够利用快于

100Mb/s(2000 年出现)的网络，处理多个路径以及添加数字签名，从而阻止中间人的攻击(2001 年

出现)。 Windows Server 2012 R2 对 SMB 进行了一定程度的更改，从而能够更好地处理慢速网络，更加

智能地处理加密，提高文件传输吞吐量，以及支持 PowerShell。

1.8.3 文件服务器资源管理器

文件服务器资源管理器(File Server Resource Manager)中的工具可用来管理存储在文件服务器上

的数据。其中的一些工具有助于自动分类以及报告和管理文件与配额。使用 Dynamic Access Control 的 File Classification Infrastructure，可以控制和审计对文件服务器

上的文件的访问。通过该工具，现在可以获得对文件服务器上的文件分类的更多控制。有了这些增

强的功能，可以手工或自动分类文件。有关这一主题的更多内容，请参见第 13 章以后的章节。

1. 9 基于 Web 的服务

后介绍 Internet 方面的一部分内容，这部分内容变得比网络的其他部分更重要，这部分内容


14

具体包括 Web 和相关的服务。对于 Windows 来说，它们非常重要，而且在 2012 R2 中也进行了一

些重大的更改。

1.9.1 Web 服务器 IIS

近年来，Windows 的文件服务可能没有太多变化，但是 Windows 的 Web 服务器却并非如此。

加固服务器产品的一个关键因素是使暴露给 Internet 的代码量尽可能少。例如，如果 Web 服务器支

持 FastCGI，但是网站不需要 FastCGI，那么为什么还要在面向 Internet 的服务器上运行 FastCGI，从而冒着有人可能利用 IIS 的 FastCGI 漏洞来破解服务器的风险呢？很明显，我们不会这样做，因

此好将那些不需要的软件从 Web 服务器中清理出去(安全人员称此为“ 小化攻击面”，有时候我

们认为他们有点儿言过其实)。那么，完美的 Web 服务器应该由数十个小模块构成，可以根据网络管理员构建 Web 服务器的

需要删除或添加每个模块，从而准确完成所需的任务，而且不能提供多余的功能。这就是 Windows Server 2008 中 IIS 7.0 的指引方针，IIS 7.0 是对 IIS 的完全修订，集成了一些新的安全技术，包括

WinRM(当使用 IIS 7 进行远程管理时，使用的协议是 WinRM，而不再是 RPC)。

对 IIS 7.0 的攻击就我所知，还没有人能够破解 IIS 7，而且也没有人拿下 IIS 7.5，IIS 7.5 是升级版，随 Windows

Server 2008 R2 一起发行。Web 管理也类似于 7.x IIS 管理工具的更整洁、面向任务的界面。

我们知道如今市面上的企业离不开 Internet，所以我们相信微软公司会对 Web 服务器进行技术

改进。随着 Windows Server 2012 R2 成为 Web 服务器 IIS 8.0 的新版本(见图 1-4)。IIS 8.0 还为管理

者提供了丰富的新功能，同时能够保护你的网站的安全。下面是 IIS 8.0 中的几个重要变更。 ● 应用程序初始化

图 1-4 IIS 的新管理工具


15

● 动态 IP 地址限制 ● 集中式 SSL 证书支持 ● CPU 节流 ● FTP 登录尝试限制 ● 服务器名称指示(SNI)支持 ● 改进 SSL 和配置的可扩展性 ● 支持 NUMA 硬件上的多核扩展即使你的业务不依赖于网络，了解当前的 Windows Web 服务器也没有坏处，因此不要跳过第

19 章的学习。

Microsoft Management Console 已废弃在Windows Server 2012 R2 中，Microsoft Management Console插件已不建议用于Internet

Information Services(IIS) Manager 6.0。在Windows Server的未来版本中将删除这一插件。

1.9.2 FTP 服务器

微软公司提供的工具有好也有坏。在少数几种场合中，微软公司提供了相当错误的工具，在过

去 15 年左右的时间里，随 Windows 提供的内置文件传输协议(File Transfer Protocol，FTP)服务器软

件就是这样一种情况。该软件非常笨拙、难以配置，提供的有用日志少得可怜，而且还无法配置一

些本应非常易于配置的内容(如用户主目录)，因此我所知道的几乎每个需要 Windows FTP 服务器的

人，终都花钱购买了第三方的 FTP 服务器。但是，从 Windows Server 2008 和 R2 开始，事情发生

了根本性的变化。就我们所知，微软公司已经丢弃了原有的全部 FTP 服务器代码，而从头重新编写

了该代码。在 Windows Server 2012 R2 中还增加了这一功能：在一定的时间段内，FTP 账户只能进

行有限次数的失败登录尝试。因此，如果需要基于 Windows 的 FTP 服务器，可以翻到讨论有关 IIS的章节(第 19 章)，学习更多关于 FTP 服务器的新增变更。

有关 Web 服务器管理的更多内容，请参见第 19 章。

Windows Server 2012 R2 中的新增功能 ·...

Documents

Transcript of Windows Server 2012 R2 中的新增功能 ·...