所有连接均经过验证、授权且健康 依据定制化条件用如下技术进行深度 防护：DHCP, VPN, IPsec, 802.1X 基于策略方式控制访问保护行为 实现多种方式的安全管理增强
投资回报率
确保连接设 备的健康
多层防护
商业价值的提升
风险级别
保持用户工作效率 增值已有的投资（已有的微软和第三方 合作伙伴的架构） 较低的部署成本和TCO 拥有广泛的业界伙伴支持
Winsock
WSK Clients AFD WSK TDI Clients TDI TDX Next-Generation TCP/IP Stack (tcpip.sys)
User Mode Kernel Mode
TCP IPv4
802.3 802.11
UDP IPv6
LoopLoop-back IPv4 Tunnel
\Windows\System32
虚拟化的分类
应用程序虚拟化
应用系统安装在特定的 硬件和操作系统上 每个进程内嵌展示界面 操作系统安装固定在 特定的物理设备上 存储保存于指定的物理位置 网络分配给指定的物理位置
在任何计算机上按需使用任意应用程序
基础架构 管理 许可授权 互操作 支持
展现层虚拟化
将展示界面与应用进程分离
能更有效地利用我们的带宽
TCP Receive Window Auto-Tuning Auto系统自动针对不同的连接调整其参数 优化 吞吐效率及带宽利用率.
复合TCP 复合TCP (CTCP)
通过监控网络状态，在合适的时机传输 大批量数据
网络拥塞提醒
当遇到网络拥塞的情况时，向TCP连接 的对端自动通知
现有投资 重复利用
Performance and Reliability Monitoring
易于使用的Data Collector Sets，针对各 种服务器角色 Wizard-based Configuration 实时的Resource使用情况总揽 Reliability Monitor计算系统中的各项参 数给出系统可靠性指标，帮助管理SLA
受限网络
符合策略 要求 5
修补服务器 WSUS, SMS & 3rd party
企业内部网络
优点：
安全增强 所有的通讯都经过验证授权并保证是健康的 采用DHCP, VPN, IPsec, 802.1X等技术实现了深度防御 基于策略的访问使得设置和控制均可实现
NAP的特性 NAP的特性
安全性的增强
安全和策略 验证
Internet
DMZ区域
从HTTPs通 信中分离 RDP信息
企业内网
RDP流量被传递给 终端服务器
终端服务器 和其他RDP 服务器
远程或 移动用户
Terminal Services Gateway Network Active Policy Server Directory DC
集中式访问虚拟化
服务器核心安装模式(Server Core) 网络访问控制及保护(NAP) 增强的Windows终端服务 (Terminal Services) 服务器部署服务(WDS) 新一代服务器管理工具(Server Manager) IIS 7.0 Windows SharePoint Services 3.0 新一代Windows Server防火墙 备份恢复服务 Hyper-V虚拟化服务
Windows Windows Windows
Windows Windows Windows Windows
Server Server Server Server
2008 RC1 2008 RC0 “Longho2
Small Business Server 2003 R2 Compute Cluster Server 2003 Server “Longhorn” Beta 2
40X
On Windows Server 2008:
100 Mbps NICs, 80Mbps throughput 1000 Mbps NICs, 400 Mbps throughput (memory-to-memory copy) File copy from disk to disk limited to 250 Mbps due to disk bottleneck
Source: /Article/ArticleID/93908/93908.html
仅安装必要的组件，无图形界面、IE 易于加固, 管理, 减少了维护 Command line用户界面 预制了一些基础架构角色便于部署
Server (Full Installation), Server Roles (for example only)
The Windows System Resource Manager service matches the properties of the new process to each process-matching criterion in the managing policy. It does so in the order of the process-matching criteria that is specified in the resource-allocation policy. When the properties of the new process are found to match a process-matching criterion, the new process is then grouped with other processes that have properties matching the same process-matching criterion. The new process is then subject to the resource allocations specified in the resource-allocation policy. If the process does not match any of the process-matching criteria, it is added to the default group. Processes matching in the default group are given CPU bandwidth not allocated to other running processes. No memory limits are applied to processes in the default group.
网络的增强及网络接入准入功能NAP AD的一些增强及AD RMS权限管理 IIS7及系统增强 问题/讨论
2010 2008
Windows Server 2008 R2 Windows Server 2008 GA
2007
2006 2005
Windows Windows Windows Windows Windows Windows
GUI, CLR, Shell, IE, Media, OE, etc.
Hyper-V虚拟机服务器 IIS 7.0 Dynamic Host Configuration Protocol (DHCP) server > start w/ ocsetup RolePackage Domain Name System (DNS) server File server > Dcpromo /unattend:Unattendfile Active Directory® Directory Services (AD DS) > start /w Lightweight Directory Active Directory ocsetup featurenameServices Windows Media Services Print Server
针对当前网络协议的一些局 限性 针对高延迟和高丢包的状况 无线网和广域网这类有间歇 性连接问题的网络问题
增强的网络功能:
能对较好的网络条件进行自动调优，增 大 TCP Receive Window 从而提高网络 性能 通过TCP Fast Recovery技术来增强网 络稳定性 Troubleshoot and resolve issues faster using Network Diagnostic Framework and ESTATS Support
Server Message Block (SMB) 2.0
新的文件共享传输协议，大大提高在广 域网条件下的网络性能
Throughput (Mbps)
Between Microsoft Datacenters in Redmond, United States and Sydney, Australia.
RAW
Windows Filtering Windows Filtering Platform Platform
IPv6 Tunnel
NDIS
根据网络状态进行自动调优
大大提高了网络性能
Windows Server 2008能依据网络状况自动地调整连接的参 数来优化网络传输性能及广域网连接的可靠性
针对的问题
NAP网络接入防护 AP网络接入防护
策略服务器 MSFT Security Center, SMS, Antigen or 3rd party
3
1
2
不符合策略 要求
4
Windows Vista 客户机
DHCP, VPN Switch/Router
MSFT Network Policy Server
计算机虚拟化
操作系统可以分配到任意客户端和服务器
存储虚拟化
实现网络化存储和备份