Vista的新增网络功能(转载)
Windows Server“Longhorn”与 Windows Vista 中的新增网络功能
注意:
本文所述的功能可能随时发生变化。由于市场、技术或其它方面的原因,有些功能可能不会包含在最终的产品中。
本页内容
摘要
Microsoft?Windows Server?“Longhorn”(目前处于 beta 测试阶段)和 Windows Vista?(目前处于 beta 测试阶段)在网络技术方面进行了许多改动和增强。本文介绍了 Windows Server“Longhorn”和 Windows Vista 的12 月社区技术预览版 及随后的 beta 版在协议和核心网络组件、无线和基于 802.1X 验证的有线技术以及网络基础结构方面的技术改动。
简介
网络和通信对于企业应对全球市场竞争的挑战至关重要。员工需要从任何地方及任何设备连接到网络。合作伙伴、供应商及网络外部的其他人员需要与关键资源进行高效的交互,而且安全性比以前任何时候都更加重要。
本文从技术层面介绍了 Windows Server“Longhorn”和 Windows Vista 为了实现连通性、易用性、管理性、可靠性和安全性,而对网络和通信进行的增强。借助 Windows Server“Longhorn”和 Windows Vista,IT 管理员可以在管理网络基础结构、通过要求计算机证明其系统健康来保护网络、通过组策略或脚本部署经验证的无线和有线连接,以及部署受保护的通讯方案方面,具有更广泛、更灵活的选择。
协议与核心网络组件
Windows Server“Longhorn”和 Windows Vista 对以下协议及核心网络组件进行了许多改动和增强:
| • |
下一代 TCP/IP 堆栈 |
| • |
服务质量 |
| • |
Http.sys 的增强功能 |
| • |
WinINet 的增强功能 |
| • |
Windows 套接字的增强功能 |
| • |
NDIS 6.0 |
| • |
Windows 对等网络的增强功能 |
| • |
Windows 防火墙的增强功能 |
| • |
IPsec 的改进功能 |
下一代 TCP/IP 堆栈
Windows Server“Longhorn”和 Windows Vista 包含 TCP/IP 协议堆栈的新实现,称为“下一代 TCP/IP 堆栈”。下一代 TCP/IP 堆栈对 Internet 协议版本 4 (IPv4) 和 Internet 协议版本 6 (IPv6) 的 TCP/IP 功能进行全新设计,以满足当今各种网络环境和技术的连接和性能需求。
接收窗口自动调节
TCP 接收窗口大小即连接主机上(用于存储 TCP 连接上的传入数据)内存缓存区中的字节数。为了根据当前的网络条件,正确地确定某个连接的最大接收窗口大小的值,下一代 TCP/IP 堆栈支持接收窗口自动调节 (Receive Window Auto-Tuning)。接收窗口自动调节功能可通过测量宽带延迟产品和应用程序检索速率,持续对每个连接确定最佳的接收窗口大小,并能不断地自动调节最大的接收窗口大小。
随着各个 TCP 对等方间吞吐量的提高,网络带宽的使用率在数据传输期间也将随之提升。若所有的应用程序针对 TCP 数据接收进行了优化,则网络的总利用率就会大幅提升,使得服务质量 (QoS) 的运用,对于满负荷或接近满负荷运行的网络来说更加重要。有关详细信息,请参阅本白皮书中涉及“服务质量”的内容。
有关接收窗口自动调节的详细信息,请参阅“下一代 TCP/IP 堆栈中的性能改进”。
复合 TCP
对于接收窗口较大的 TCP 连接和带宽延迟较严重的产品(延迟会导致连接所占用的带宽成倍增长),下一代 TCP/IP 堆栈中的复合 TCP (CTCP),通过监视带宽延迟产品、延迟变量和数据包丢失,大幅提高一次性的数据发送量。CTCP 还确保了其行为不会对其它 TCP 连接造成负面影响。在微软内部进行的测试中,借助每秒 1 吉位、往返行程时间为 50 毫秒的连接,大文件的备份时间缩短了近一半。带有宽带延迟较严重的产品的连接甚至可获得更优异的性能。
接收窗口自动调节功能优化了接收方吞吐量,而 CTCP 则优化了发送方吞吐量。通过协同工作,它们可以提高链路使用率,并为带有带宽延迟较严重的产品的连接带来巨大的性能提升。
下一代 TCP/IP 堆栈支持以下 RFC,以在高丢失率环境中优化吞吐量:
| • |
RFC 2582:The NewReno Modification to TCP's Fast Recovery Algorithm(TCP 快速恢复算法的 NewReno 修正)
NewReno 算法通过更改发送方在数据窗口中有多个段丢失并接收到部分确认(对于仅成功接收到部分数据的确认)后,提高发送速率的方式,从而提供更快的吞吐量。 |
| • |
RFC 2883:An Extension to the Selective Acknowledgement (SACK) Option for TCP(TCP 选择确认 [SACK] 选项的扩展)
SACK(由 RFC 2018 定义)允许接收方最多可指定所接收数据的四个非连续块。RFC 2883 定义了另一种运用 SACK TCP 选项中的区域确认重复数据包的方式。这样就允许包含 SACK 选项的 TCP 段的接收方确定何时不必要地重新传输了某个段,并调节其行为以防止再次进行同样的重新传输。重新传送的情况越少,总吞吐量就越高。 |
| • |
RFC 3517:A Conservative Selective Acknowledgment (SACK)-based Loss Recovery Algorithm for TCP(TCP 基于保守选择确认 [SACK] 的丢失恢复算法)
Windows Server 2003 和 Windows?XP 中的 TCP/IP 实现仅用 SACK 信息来确定哪些 TCP 段未到达目标。RFC 3517 定义了一种在接收到重复确认后,运用 SACK 信息执行丢失恢复的方法,从而取代了当连接启用了 SACK 后所采用的快速恢复算法。下一代 TCP/IP 堆栈可针对每个连接记录 SACK 信息,并监视传入的确认和重复的确认,以便在目标未收到多个段时进行更快的恢复。 |
| • |
RFC 4138:Forward RTO-Recovery (F-RTO):An Algorithm for Detecting Spurious Retransmission Timeouts with TCP and the Stream Control Transmission Protocol (SCTP)(F-RTO:使用 TCP 和流控制传输协议 [SCTP] 探测伪重传超时设定的算法)
RTT 突然临时增加时,就可能会出现 TCP 段的伪重传现象。F-RTO 算法可防止 TCP 段的伪重传。对于 RTT 突然临时增加的环境(比如当无线客户端在无线 AP 间漫游时),F-RTO 算法可防止不必要的段重传,并更快地返回到正常传送速率上。 |
有关这些增强功能的详细信息,请参阅“下一代 TCP/IP 堆栈中的性能改进”。
IPv4 的邻居不可达检测
“邻居不可达检测”是 IPv6 的一项功能,允许节点跟踪邻近节点是否可以到达,从而在节点突然不可用时,提供更好的错误检测和恢复。下一代 TCP/IP 堆栈还通过跟踪 IPv4 路由缓存中 IPv4 邻居的可到达状态,对 IPv4 流量的“邻居不可达检测”提供支持。“IPv4 邻居不可达检测”通过单播“地址解析协议 (ARP) 请求”和“ARP 应答”消息的交换或依靠上层协议(如 TCP)确定可达性。借助“IPv4 邻居不可达检测”,基于 IPv4 的通信可通过确定何时相邻节点(包括路由器)不再可到达并报告状态而受益。
有关“IPv4 邻居不可达检测”详细信息,请参阅“下一代 TCP/IP 堆栈中的性能改进”。
失效网关检测的功能变化
在 Windows Server 2003 和 Windows XP 中,TCP/IP 中的失效网关检测提供了一种故障转移功能,但不是故障回复功能(即失效网关再次尝试确定其是否已经可用)。下一代 TCP/IP 堆栈可定期尝试通过经检测失效的网关发送 TCP 流量,从而为失效网关提供故障回复功能。若 TCP 流量成功地通过失效网关发送了出去,则下一代 TCP/IP 堆栈就会将默认网关转换为这个先前被检测为失效的网关。通过子网上的主默认网关发送流量,对故障回复到主默认网关的支持可提供更快的吞吐量。
PMTU 黑洞路由器检测的功能变化
路径最大传输单位 (PMTU) 发现(由 RFC 1191 定义)依赖于从包含下一链接 MTU 的路由器,接收 Internet 控制消息协议 (ICMP) Destination Unreachable-Fragmentation Needed 和 Don't Fragment (DF) Set 消息。但是,在某些情况下,中间路由器会在不给出提示的情况下,丢弃无法拆分的数据包。这些路由器称为黑洞 PMTU 路由器。另外,中间路由器还可能因已配置的防火墙规则而丢掉 ICMP 消息。这会导致 TCP 连接超时并终止,因为中间路由器在不给出提示的情况下,丢弃了较大的 TCP 段、重新传输连接以及 PMTU 发现的 ICMP 错误消息。
PTMU 黑洞路由器检测会发现重新传输的较大的 TCP 段,并自动对连接调节 PMTU,而不依赖于接收 ICMP Destination Unreachable-Fragmentation Needed 和 DF Set 消息。对于 Windows Server 2003 和 Windows XP 中的 TCP/IP,PMTU 黑洞路由器检测默认被禁用,因为如果启用的话,会增加对给定段执行的最大重传次数。
然而,通过加大对路由器应用防火墙规则以丢弃 ICMP 流量,下一代 TCP/IP 堆栈默认启用了 PMTU 黑洞路由器检测,以防止 TCP 连接终止。当 TCP 连接开始重新传输带有 DF 标记集的正常大小的段时,就会触发 PMTU 黑洞路由器检测。TCP 将连接的 PTMU 重新设置为 536 字节,并重新传输已清除了 DF 标记的段。这将保持 TCP 连接,虽然 PMTU 小于实际连接的 PMTU。
路由隔间
为了防止虚拟专用网络 (VPN)、终端服务器和多用户登录配置接口间不必要的流量转发,下一代 TCP/IP 堆栈还支持路由隔间。路由隔间是具有登录会话的一组接口的组合,登录会话又有自己的 IP 路由表。一台计算机可以有多个相互独立的路由隔间。每个接口只能属于一个隔间。
例如,用户通过 Windows XP 中的 TCP/IP 实现在 Internet 上发起 VPN 连接时,用户的计算机已通过操作 IPv4 路由表中的条目,连接到 Internet 和专用 Intranet。某些情况下,来自 Internet 的流量可能会通过 VPN 连接转发到专用 Intranet。对于支持路由隔间的 VPN 客户端,下一代 TCP/IP 堆栈通过独立的 IP 路由表,将 Internet 连接从专用 Intranet 连接中隔离出来。
网络诊断框架支持
网络诊断框架 (Network Diagnostics Framework) 是一种可扩展的体系结构,可帮助用户针对网络连接故障,执行恢复和故障排除操作。对于 TCP/IP 通信,网络诊断框架可为用户提供一系列选项,以排除可能的原因,并最终确认问题的根源,或者排除所有的可能性。网络诊断框架可诊断的与 TCP/IP 相关的具体问题如下:
| • |
不正确的 IP 地址 |
| • |
默认网关(路由器)不可用 |
| • |
不正确的默认网关 |
| • |
TCP/IP (NetBT) 上的网络基本输入/输出系统 (NetBIOS) 名称解析失败 |
| • |
不正确的 DNS 设置 |
| • |
本地端口已被占用 |
| • |
DHCP 客户端服务未运行 |
| • |
不存在远程侦听器 |
| • |
媒体已断开连接 |
| • |
本地端口被阻止 |
| • |
内存不足 |
ESTATS 支持
下一代 TCP/IP 堆栈支持“TCP Extended Statistics MIB”Internet 草案 (draft-ietf-tsvwg-tcp-mib-extension-08.txt)——规定了 TCP 的扩展性能统计。通过分析连接的 ESTATS,可以确定连接的性能瓶颈是发送应用程序、接收应用程序,还是网络。ESTATS 被默认禁用,并可针对各个连接启用。通过 ESTATS,第三方独立软件供应商 (ISV) 可开发出强大的诊断和网络吞吐量分析应用程序。
Windows 筛选平台上的新型数据包筛选模型
Windows 筛选平台 (WFP) 是下一代 TCP/IP 堆栈中的新型体系结构,它可提供 API,从而使第三方 ISV 可以参与对 TCP/IP 协议堆栈和整个操作系统制定筛选决策。该平台还集成并支持下一代防火墙功能,比如:经验证的通信以及基于应用程序使用 Windows Sockets API(应用程序策略)的动态防火墙配置。ISV 可开发防火墙、防病毒软件、诊断软件以及其它类型的应用程序和服务。Windows Server“Longhorn”和 Windows Vista 中的 Windows 防火墙和 IPsec 使用了 WFP API。
有关详细信息,请参阅 “Windows 筛选平台”。
IPv6 的增强功能
下一代 TCP/IP 堆栈支持以下 IPv6 的增强功能:
| • |
双 IP 堆栈
下一代 TCP/IP 堆栈支持双 IP 层体系结构,供 IPv4 和 IPv6 实现共享公共的传输层(包含 TCP 和 UDP)和帧层。下一代 TCP/IP 堆栈默认启用了 IPv4 和 IPv6。无需另外安装单独的组件来获得 IPv6 支持。 |
| • |
默认启用
在 Windows Server“Longhorn”和 Windows Vista 中,默认安装并启用了 IPv6。可以通过组策略或者在“连接和适配器”文件夹的连接属性中,取消选定 Internet 协议版本 6 (TCP/IPv6) 组件旁边的复选框,对连接禁用 IPv6。可以通过 Internet 协议版本 6 (TCP/IPv6) 组件的属性和 netsh interface ipv6 命令,配置 IPv6 设置。 |
| • |
基于 GUI 的配置
Windows Server“Longhorn”和 Windows Vista 现在允许用户在“连接和适配器”文件夹中,通过一组对话框手动配置 IPv6 设置(类似手动配置 IPv4 设置的方式)。 |
| • |
Teredo 的增强功能
默认对运行 Windows Vista 的计算机启用了 Teredo,并且也对域成员计算机启用了 Teredo。如今只要在一个或多个对称网络地址转换器 (NAT) 后面有一个 Teredo 客户端,Teredo 就可运作。对称 NAT 根据外部目标地址(针对出站流量),将相同的内部(专用)地址和端口号映射到不同的外部(公共)地址和端口。这种新行为允许 Teredo 在更大的一组 Internet 主机间运作。 |
| • |
集成的 IPsec 支持
在 Windows Server“Longhorn”和 Windows Vista 中,对于 IPv6 流量的 IPsec 支持与 IPv4 相同,包括对 Internet 密钥交换 (IKE) 和数据加密的支持。带有高级安全和 IP 安全策略的 Windows 防火墙管理单元现在支持以对 IPv4 流量相同的方式,对 IPv6 流量配置 IPsec 策略。譬如,如今若要在 IPv6 安全策略管理单元中,将某个 IP 筛选器配置为 IP 筛选器列表的一部分,则可以在指定具体的源或目标 IP 地址时,在“IP 地址或子网”中,指定 IPv6 地址和地址前缀。 |
| • |
MLDv2
多播侦听器发现版本 2 (MLDv2)(在 RFC 3810 中有具体的规定)提供了特定于源的多播流量支持。MLDv2 相当于 IPv4 的 Internet 组管理协议版本 3 (IGMPv3)。 |
| • |
LLMNR
链路本地多播名称解析 (LLMNR) 使一个子网上的多台 IPv6 主机可以在没有 DNS 服务器的情况下,互相解析彼此的名称。这项功能对于单子网家庭网络和特定的无线网络非常重要。 |
| • |
PPP 上的 IPv6
如 RFC 2472 中的定义,内置的远程访问客户端如今支持点对点协议 (PPP) 上的 IPv6 (PPPv6)。本地 IPv6 流量现在可以通过基于 PPP 的连接来发送。例如,PPPv6 支持使用户可以通过拨号连接或可能用于宽带 Internet 访问的以太网上的 PPP (PPPoE) 连接,与基于 IPv6 的 Internet 服务提供商 (ISP) 相连接。 |
| • |
IPv6 地址的随机接口 ID
为防止根据网络适配器制造商的已知公司 ID 进行 IPv6 地址扫描,Windows Server“Longhorn”和 Windows Vista 默认对非临时自动配置的 IPv6 地址(公共地址和链路本地地址),生成随机接口 ID。 |
| • |
DHCPv6 支持
Windows Server“Longhorn”和 Windows Vista 带有一个支持 DHCPv6 的 DHCP 客户端,它可同 DHCPv6 服务器一起执行状态地址自动配置。Windows Server“Longhorn”包含一个支持 DHCPv6 的 DHCP 服务器服务。 |
有关 Windows Server“Longhorn”和 Windows Vista 在 IPv6 方面的功能变化的更多信息,请查阅“Windows Vista 和 Windows Server‘Longhorn’在 IPv6 上的变化”。
服务质量
Windows Server 2003 和 Windows XP 通过常规服务质量 (GQoS) API,为应用程序提供服务质量 (QoS) 功能。使用 GQoS API 的应用程序可以访问优先的传递函数。在 Windows Server“Longhorn”和 Windows Vista 中,有一些新工具可用于管理企业和家庭的网络流量。
针对企业网络的基于策略的 QoS
Windows Server“Longhorn”和 Windows Vista 中的 QoS 策略使 IT 工作人员可以对传出网络流量的发送速率进行优先排序或管理,并可局限于特定的应用程序、特定的源和目标 IP 地址以及特定的源和目标 TCP 或 UDP 端口。QoS 策略设置属于用户配置或计算机配置组策略的一部分,通过组策略对象编辑器进行配置,并通过组策略管理控制台链接到 Active Directory? 目录服务容器(域、站点和组织单位)。QoS 策略可应用于隶属于域、站点或组织单位的用户或计算机。
若要管理带宽的使用情况,可以对 QoS 策略配置一个出站流量节流率。通过节流,QoS 策略将把聚合的传出网络流量限制在一个指定的速率内。为了指定优先的传送,流量被标上了已配置的差分服务代码点 (DSCP) 值。网络基础结构中的路由器可将标有 DSCP 值的数据包放置在差分传送的不同队列中。可同时运用 DSCP 标记和节流功能,进行有效的流量管理。由于节流和优先级标记是在网络层上执行的,因此不必修改应用程序。
有关基于策略的 QoS 的详细信息,请查阅“Windows Server‘Longhorn’和 Windows Vista 中的服务质量”。有关基于策略的 QoS 体系结构的信息,请查阅“Windows Server‘Longhorn’和 Windows Vista 中基于策略的 QoS 体系结构”
家庭网络的 qWave
由于家庭网络受到数据和音频/视频 (A/V) 应用程序越来越广泛的共享,因而一种 QoS 解决方案用于在数据流量之前,优先处理随时间变化的 A/V 流量。另外,越来越多的家庭网络实现了无线连接,从而带来了更多的延迟情况和易受带宽影响的应用程序。Windows Vista 支持优质 Windows 音频/视频体验 (Quality Windows Audio/Video Experience, qWave)——与 QoS 相关的一套软件模块,可应对 A/V 应用程序和无线网络带来的挑战。qWave 作为 QoS 子系统的一部分集成到了网络堆栈中,与多种网络和数据链接层优先级技术一道在家庭网络上同时支持多个 A/V 流(实时流需要 QoS)和数据流(尽力传送的流,比如:电子邮件或文件传输),并提供高质量的用户体验。
这套 qWave 技术可检测并监视 LAN 带宽,发现家庭网络的 QoS 功能,并对合理且一致的网络带宽使用,提供分布式许可控制。这些技术实现了高级的 AV 流技术,从而使应用程序可以动态地适应变化的网络条件。
有关 qWave 的更多信息,请查阅“优质 Windows 音频/视频体验 - qWave”。
Http.sys 的增强功能
Windows Server“Longhorn”和 Windows Vista 在以下几个方面增强了 Http.sys——服务于超文本传输协议 (HTTP) 流量的内核模式驱动程序:
| • |
HTTP Server API 2.0 |
| • |
服务器端身份验证 |
| • |
日志记录 |
| • |
HTTP 事件的 ETW 跟踪 |
| • |
Netsh 命令 |
| • |
性能计数器 |
HTTP Server API 2.0
HTTP Server API 是一种内核模式 HTTP 协议驱动程序(通过 Httpapi.dll 提供用户模式 API)。HTTP Server APIs 使服务器应用程序可以注册 HTTP URL,接收请求,并处理响应。HTTP Server API 包括:
| • |
在带有本机和受控的 Windows .NET 应用程序的 Windows 上的易用的 HTTP 侦听器功能。 |
| • |
应用程序可使用 HTTP Server API 将 TCP 端口与 Internet Information Services (IIS) 6.0 进行共存和共享。这就使得基于 HTTP Server API 的应用程序和 IIS 6.0 应用程序在处理 URL 命名空间的不同部分时,可以使用流行的 Web 流量 TCP 端口(比如:80 和 443)。 |
| • |
运行支持 HTTP/1.1 的 Windows 操作系统的计算机上的本机 HTTP 堆栈。 |
| • |
配置 HTTP 服务器的新 API:身份验证、带宽节流、日志记录、连接限制、服务器状态、503 响应、请求队列、响应缓存以及 SSL 证书绑定。有关更多信息,请参阅使用 HTTP 服务器 2.0 版 API。 |
服务器端身份验证
现在,服务器端身份验证由 Http.sys 来执行。原先,服务器应用程序自行执行身份验证。Http.sys 提供服务器端身份验证的优点包括:
| • |
服务器应用程序可在权限较低的帐户下运行。 |
| • |
服务器应用程序可在不同的帐户下运行,因为 Http.sys 现在代表它们执行服务主体名称 (SPN) 验证。 |
| • |
无缝的 NTLM 验证握手不会导致重新启动握手进程。 |
日志记录
Http.sys 现在提供了集中式 W3C(万维网联合会)日志记录,即由单个日志文件存储服务器应用程序(比如:IIS)的所有站点的条目。在集中式日志文件中,站点 ID 字段可识别日志条目所隶属的站点。
HTTP 事件的 ETW 跟踪
Windows 事件跟踪 (ETW) 是 Windows 用于获取有关组件和事件的信息(通常写入日志文件)的功能。ETW 日志文件使得故障排除变得更加简单。跟踪还可用于诊断端到端问题,活动 ID 可指示跨操作的流。Http.sys 支持以下这些跟踪类别:
| • |
HTTP 请求和响应 |
| • |
SSL 和身份验证事务 |
| • |
日志事件 |
| • |
连接和连接计时器 |
| • |
缓存 |
| • |
服务或应用程序安装;设置或删除属性 |
| • |
基于活动 ID,包括跨其它支持 ETW 的组件 |
对于上述每种跟踪类别,Http.sys 都支持四种等级的信息:错误、警告、提示和详细信息。Http.sys 跟踪可用作高级的疑难解答工具,以获取有关 Http.sys 进程和行为的信息。
若要对 Http.sys 启动 ETW 跟踪会话,请执行以下操作:
|
1. |
创建一个文件夹以存储跟踪文件。在这个文件夹中,创建一个名为 Httptrace.txt 并包含以下内容的文件: "Microsoft-Windows-HttpService" 0xFFFF |
|
2. |
使用下方的命令启动跟踪: logman start "http trace" -pf httptrace.txt -o httptrace.etl -ets |
|
3. |
执行需要跟踪的步骤或测试。 |
若要对 Http.sys 停止 ETW 跟踪会话,请使用以下命令:
logman stop "http trace" -ets
一个 Httptrace.etl 跟踪文件现在应出现在该文件夹中。通过 Tracerpt.exe 工具,可将该文件转换为 XML 格式、HTML 或 CSV 文件。譬如,如要将 Httptrace.etl 文件的内容转换为 CSV 文件,请使用以下命令:
tracerpt httptrace.etl -y -o httptrace.csv
然后就可以在文本编辑器或电子表格应用程序中查看 CSV 文件了。
针对 Http.sys 的 Netsh 命令
可以通过一组 netsh http 命令,对 Http.sys 管理配置设置并控制诊断。Netsh 是其它许多 Windows 网络服务(比如:IPsec 与路由和远程访问)所使用的命令行工具。通过这项新的支持,用户可以在 Windows 命令提示符窗口中,执行以下操作:
| • |
配置 SSL 证书绑定、IP 侦听列表或全局超时 |
| • |
删除或清除 HTTP 缓存或日志缓冲区 |
| • |
显示 Http.sys 服务或缓存状态 |
Http.sys 的性能计数器
Http.sys 现在具有以下性能度量计数器,可帮助用户对 Web 服务器进行监视、诊断和容量规划:
| • |
HTTP 服务计数器
| • |
缓存中(启动后添加或删除)的 URI 数量以及缓存刷新次数 |
| • |
缓存命中数/秒以及缓存未命中数/秒 | |
| • |
HTTP 服务 URL 组
| • |
数据发送速率、数据接收速率、已传输(发送和接收)的字节数 |
| • |
最大连接数、连接尝试速率、GET 和 HEAD 请求速率以及请求总数 | |
| • |
HTTP 服务请求队列
| • |
队列中的请求数、队列中最早的请求的存在时间 |
| • |
请求达到队列的速率、拒绝率、遭拒绝的请求总数、缓存命中率 | |
借助这些新的性能计数器,可以在诊断控制台管理单元中查看上述度量,或者通过以下 API 获取这些度量:性能计数器 API。
WinINet 的增强功能
Windows Server“Longhorn”和 Windows Vista 在以下几个方面增强了 WinINet API:
| • |
支持 IPv6 文本和范围 ID |
| • |
支持 HTTP 解压缩 |
| • |
支持国际化域名 |
| • |
支持 ETW 跟踪 |
| • |
Web 代理自动发现脚本中的 IPv6 支持 |
支持 IPv6 文本和范围 ID
WinINet 现在支持 RFC 2732 以及在 URL 中使用 IPv6 文本地址。譬如,若要连接到 IPv6 地址为 3ffe:ffff:100:2a5f::1 的 Web 服务器,用户可以在基于 WinINet 的 Web 浏览器(比如:Internet Explorer)中,键入 http://[3ffe:ffff:100:2a5f::1] 作为地址。虽然普通用户可能不会使用 IPv6 文本地址,但是在 URL 中指定 IPv6 地址的能力对于应用程序开发人员、软件测试人员和网络故障排除人员而言非常有价值。WinINet 还支持将 IPv6 范围 ID(也称为区域 ID)编码为地址的一部分,以允许用户指定 IPv6 目标的范围。有关详细信息,请查阅“IP 版本 6 支持”。
支持 HTTP 解压缩
WinINet 现在带有 gzip 和 deflate 编码方案的内置支持。在 WinINet 中处理解压缩将减少 Web 浏览器和 Web 服务器间的数据压缩/解压缩问题,同时通过更短的网页下载时间提供性能收益。这对于拥有窄带宽连接的用户(比如:拨号 Internet 用户)非常有帮助。有关详细信息,请查阅“内容编码”。
支持国际化域名
当用户使用 WinINet API 的 Unicode 版本时,WinINet 现在在主机名方面符合国际化域名 (IDN) 标准 (RFC 3490)。这一新支持确保了应用程序可以正常使用包含非 ASCII 字符的域名,而无需在 Web 应用程序中提供 IDN 支持,不必安装第三方插件,网络通信路径中也不必存在中间节点。有关详细信息,请查阅“WinINet 中的 IDN 支持”。
支持 ETW 跟踪
WinINet 如今支持 ETW 跟踪,从而使 IT 帮助台和支持专家可以获取有关 WinINet 进程和事件的详细信息,以帮助确定协议或应用程序问题的根源。用户可以通过包含所有 WinINet 事件的标识符,并使用这些标识符从相邻的网络层关联跟踪,建立横跨整个网络堆栈的一系列 ETW 跟踪。有关 ETW 跟踪的详细信息,请查阅“事件跟踪”。
Web 代理自动发现脚本中的 IPv6 支持
WinINet 提供的 Web 代理自动发现 (WPAD) 脚本助手函数已经过升级,可支持 IPv6 地址和子网前缀。使用 dnsResolve()、myIpAddress()、isInNet() 和 isResolvable() Proxy Helper API 的 WPAD 脚本现在可以从 WinINet 获取 IPv6 信息。有关 WPAD 的详细信息,请查阅“WinHTTP 自动代理支持”。
WinHTTP 的增强功能
Windows Server“Longhorn”和 Windows Vista 在以下几个方面对 WinHTTP 5.1 API 进行了升级:
| • |
支持大于 4 GB 的数据上传 |
| • |
支持分块传输编码 |
| • |
支持基于安全套接字层的客户端身份验证的颁发者检索 |
| • |
支持可选的客户端证书请求 |
| • |
支持四元组连接信息指示 |
| • |
针对 SSL 客户端身份验证的新错误代码 |
| • |
WPAD 脚本中的 IPv6 支持 |
支持大于 4 GB 的数据上传
WinHTTP 现在允许应用程序添加“内容长度”标头,以指定长达 264 字节的数据长度。
支持分块传输编码
WinHTTP 现在允许应用程序对它们的数据执行“分块”传输编码,并使用 WinHttpWriteData() API 进行发送。WinHTTP 将检测是否存在“传输编码”标头,并进行内部调整以确保传输符合 HTTP 1.1 规范。
支持基于安全套接字层的客户端身份验证的颁发者检索
WinHTTP 现在允许应用程序检索与客户端身份验证质询相关联的颁发者列表。颁发者列表罗列了经服务器授权可颁发客户端证书的证书颁发机构 (CA)。借助这一全新的支持,WinHTTP 应用程序可以确定用于客户端身份验证的正确的客户端证书
支持可选的客户端证书请求
某些安全的 HTTP 站点会请求客户端证书,但不是非要不可。如果客户端没有客户端证书来响应该请求,那么服务器就会采用其它类型的 HTTP 身份验证,或者允许匿名访问。为了支持同这些服务器配置的互操作,WinHTTP 如今允许应用程序提供一个 NULL 客户端证书,告诉服务器其没有用于安全套接字层 (SSL) 验证的客户端证书。
支持四元组连接信息指示
完成了 WinHttpReceiveResponse() API 之后,WinHTTP 现在允许应用程序查询与带来响应的 HTTP 请求相关联的源 IP/端口和目标 IP/端口。
针对 SSL 客户端身份验证的新错误代码
WinHTTP 现在包含针对以下 SSL 客户端身份验证中的常规错误的错误代码:
| • |
客户端证书没有相关联的私钥。这种情况通常是因为导入了未带有私钥的客户端证书而造成的。 |
| • |
调用 WinHttpSendRequest() 或 WinHttpReceiveResponse() 的应用程序线程无权访问与所提供的客户端证书相关联的私钥。确认该私钥的访问控制列表 (ACL) 允许应用程序访对其进行访问。 |
WPAD 脚本中的 IPv6 支持
WinINet 提供的 WPAD 脚本助手函数已经过升级,具有对 IPv6 地址和子网前缀的支持。使用 dnsResolve()、myIpAddress()、isInNet() 和 isResolvable() Proxy Helper API 的 WPAD 脚本现在可以从 WinHTTP 获取 IPv6 信息。有关 WPAD 的详细信息,请查阅“WinHTTP 自动代理支持”。
有关 Windows Server“Longhorn”和 Windows Vista 中 WinHTTP 的增强功能的更多信息,请查阅“Windows Longhorn 的新增功能” 以及“WinHTTP 中的 SSL”。
Windows 套接字的增强功能
Windows 套接字 (Winsock) 支持在以下几个方面得到了升级:
| • |
新的 Winsock API |
| • |
Winsock 事件的 ETW 跟踪 |
| • |
层次服务提供商的增强功能 |
| • |
Winsock 网络诊断框架模块 |
| • |
新的内核模式套接字 API |
新的 Winsock API
Windows Server“Longhorn”和 Windows Vista 包含以下这些新式的 Winsock API:
| • |
WSAConnectByName() 创建到指定目标的连接(给定目标主机的名称)。WSAConnectByName() 提取名称解析返回的所有目标地址以及所有本地地址,并用成功率最高的地址对来尝试连接。由传输所提供的最佳配对算法来确定地址对的顺序。WSAConnectByName() 确保了在最短的时间内建立起连接(如果可能的话)。 |
| • |
WSAConnectByList() 创建到指定目标的连接(给定目标 IP 地址的列表)。WSAConnectByList 提取 M 地址和本地计算机的 N 地址的列表,尝试使用多达 M x N 种地址组合进行连接。 |
Winsock 事件的 ETW 跟踪
| • |
以下是一些可通过 ETW 跟踪功能进行跟踪的 Winsock 事件: |
| • |
套接字创建 |
| • |
绑定 |
| • |
连接 |
| • |
接受 |
| • |
发送 |
| • |
接收 |
| • |
中止指示 |
可使用以下工具,对 Winsock 事件启用 ETW 跟踪:
| • |
事件查看器管理单元 |
| • |
Logman.exe 和 Tracerpt.exe 工具 |
若要使用事件查看器管理单元,对 Winsock 事件启用 ETW 跟踪,请执行以下操作:
|
1. |
在“管理工具”文件夹中,运行“事件查看器”工具。 |
|
2. |
在“事件查看器”管理单元树中,依次打开“应用程序日志”和“Microsoft-Windows-Winsock-AFD”。 |
|
3. |
单击“Winsock/AFD”项。 |
|
4. |
在“操作”窗格中,单击“日志属性”。 |
|
5. |
在“日志属性”对话框中,单击“启用日志”,然后单击“确定”。 |
如要查看事件,请在“操作”窗格上,单击“刷新”。若要禁用日志功能,在“Winsock/AFD”项的“日志属性”对话框上,取消选定“启用日志”复选框。
根据所要查看的事件的数量,可能需要提高日志的大小。
若要使用 Logman.exe 工具对 Winsock 事件启用 ETW 跟踪,请使用以下命令:
logman create trace afdlog ¨Co LogFileLocation logman update
afdlog ¨Cp ?°Microsoft-Windows-Winsock-AFD?± logman start afdlog
一个二进制日志文件将被写入 LogFileLocation。若要将 Logman.exe 工具编写的这个二进制文件转换为可读的本文,请使用 Tracerpt.exe 工具。譬如,使用下面的命名:
tracerpt.exe c:\afdlog.etl ¨Co afdlog.txt
若要停止日志记录,请使用下面的命令:
logman stop afdlog
层次服务提供商的增强功能
Windows Server“Longhorn”和 Windows Vista 在以下几个方面增强了 Winsock 层次服务提供商 (LSP) 支持:
| • |
LSP 的安装和删除被记录在系统事件日志中,以帮助确定哪些应用程序安装了 LSP,并对失败 LSP 安装进行疑难解答。若要在控制台窗口中查看已记录的事件,请使用 netsh winsock audit trail 命令。 |
| • |
有一个新的安装 API (WSCInstallProviderAndChains) 可供软件供应商用于将 LSP 安装到 Winsock 编录中。可使用一系列 Winsock 函数手动安装 LSP,但是若安装不正确,就会导致 Winsock LSP 编录处于不一致的状态。使用这个新的 API,可以使开发 LSP 的软件供应商少编写数百行代码。 |
| • |
有一些新功能可对 LSP 进行分类,并从系统关键服务的处理路径删除大多数 LSP。这些新工具为 Windows 提供了更高的稳定性,同时保障系统关键服务中不会存在设计不善的 LSP。 |
| • |
有一个针对网络诊断框架的特定于 Winsock 诊断模块,它允许用户通过删除那些引发问题的 LSP 来修复 Winsock 编录。 |
新的内核模式套接字 API
Windows Server“Longhorn”和 Windows Vista 的网络体系结构包含一个称为 Winsock 内核 (WSK) 的新接口,它将最终替代传输驱动程序接口 (TDI)。WSK 使软件供应商可以更轻松地开发 Windows 中的传输(协议驱动程序)。WSK 带有一个新的内核模式套接字 API。有关详细信息,请查阅“内核中的 Windows套接字”。
NDIS 6.0
Windows Server“Longhorn”和 Windows Vista 包含网络驱动程序接口规范 (NDIS) 6.0。NDIS 指定了内核模式网络驱动程序和操作系统间的标准接口。NDIS 还指定了分层网络驱动程序间的标准接口,可从上层驱动程序(比如:网络传输)提取管理硬件的低层驱动程序。有关 NDIS 6.0 的详细信息,请查阅“NDIS - 网络驱动程序接口规范”。
NDIS 6.0 包含以下功能:
| • |
全新的卸载支持 |
| • |
支持轻型筛选器驱动程序 |
| • |
接收方扩展 |
全新的卸载支持
NDIS 6.0 为将网络流量处理函数卸载到网络适配器,提供了以下全新的支持:
| • |
卸载 IPv6 流量 Windows Server 2003 和 Windows XP 中的 NDIS 5.1 已支持卸载 IPv4 流量处理。NDIS 6.0 现在支持卸载 IPv6 流量处理。 |
| • |
校验和卸载支持 IPv6 卸载 IPv6 流量的校验和计算现在得到了支持。 |
| • |
超大发送卸载 NDIS 5.1 已支持大型段卸载 (LSO),可卸载大小高达 64 KB 的数据块的 TCP 数据段。NDIS 6.0 中的超大发送卸载 (Giant Send Offload, GSO) 可卸载大小超过 64 KB 的数据块的 TCP 数据段。 |
支持轻型筛选器驱动程序
在 NDIS 6.0 中,中间筛选器驱动程序已经被轻型筛选器 (LWF) 驱动程序所取代。LWF 驱动程序由一个 NDIS 中间驱动程序和一个微型端口驱动程序组成。LWF 驱动程序具有如下优点:
| • |
不再需要编写单独的协议和微型端口。所有这些功能都包含在单个驱动程序中。 |
| • |
可以在不断开现有连接的情况下,在堆栈中添加或删除 LWF 驱动程序。 |
| • |
改善了性能。 |
| • |
LWF 驱动程序可通过忽略模式,仅检测所选的控制和数据路径。 |
Pacer.sys(原先称为 Psched.sys)就是已转换为 LWF 驱动程序的中间筛选器驱动程序的一个例子。它具有同等的功能,但利用了 NDIS 6.0 在性能方面的改进。有关详细信息(包括样例),请查阅“Windows 驱动程序工具包”。
接收方扩展
在运行 Windows Server 2003 或 Windows XP 的多处理器计算机的体系结构中,网络适配器与单个处理器相关联。无论是否有其它处理器可用,每个处理器都必须处理网络适配器接受到的所有流量。对于高容量服务器(比如:面向 Internet 的 Web 服务器或企业文件服务器),这种体系结构所带来的后果就是与网络适配器相关联的处理器所能处理的传入流量和连接数量都有限。若与网络适配器相关联的处理器无法足够快地处理传入流量,则网络适配器将丢弃流量,从而导致重新传输以及性能下滑。
在 Windows Server“Longhorn”和 Windows Vista 中,网络适配器不与单个处理器相关联。相反,传入的流量由计算机上的多个处理器共同来处理。这项名为“接收方扩展 (Receive-Side Scaling, RSS)”的新功能使得高容量服务器上的网络适配器可以接收更多的流量。多处理器计算机现在可以在不增加服务器的情况下,处理更多的传入流量,从而降低了成本。为了利用这项新功能,必须安装能够运用 Windows Server“Longhorn”和 Windows Vista 的这种新体系结构并支持 RSS 的网络适配器。许多网络适配器供应商都提供了支持 RSS 的网络适配器。
有关详细信息,请参阅 “RSS 带来的可扩展网络”。
Windows 对等网络的增强功能
Windows 对等网络(最初随 Windows XP 高级网络包一同引入)是 Windows Vista 中的一种操作系统平台和 API,可用以开发点对点 (P2P) 应用程序。Windows Vista 在以下几个方面增强了 Windows 对等网络:
| • |
易用的新型 API 在 Windows Vista 中,用于访问 Windows 对等网络功能(比如:名称解析、组创建和安全性)的 API 得到了极大的简化,可更加便捷地为 Windows 创建 P2P 应用程序。 |
| • |
新版 PNRP Windows Vista 带有新版 PNRP。该版本具有更高的可伸缩性,并使用更少的网络带宽。对于 Windows Vista 中的 PNRP v2,Windows 对等网络应用程序可通过简化的 PNRP API,访问 PNRP 名称发布和解析函数。对于 Windows Vista 中高度简化的 PNRP 名称解析,PNRP 名称现在已集成到了 getaddrinfo() Windows 套接字函数中。若要用 PNRP 将名称解析为 IPv6 地址,应用程序可以使用 getaddrinfo() 函数解析完全合格域名 (FQDN) name.prnp.net,其中 name 为被解析的对等方名称。Windows Vista 将 pnrp.net 域保留用于 PNRP 名称解析。PNRP v2 协议与运行 Windows XP 的计算机所用的 PNRP 协议不相兼容。微软正在研究有关对 Windows XP 的 Windows 对等网络组件开发并发布一个更新以支持 PNRP v2 的事宜。 |
| • |
People Near Me 这是 Windows Vista 的 Windows 对等网络的一项新功能,能够使用户动态地发现本地子网上其他用户及其已注册的支持 People-Near-Me 的应用程序,并可轻松地邀请其他用户参与协作活动。接受邀请后,被邀请用户的计算机会启动一个应用程序,随后两个应用程序就可以开始参与协作活动了,比如聊天、照片共享或玩游戏。 |
| • |
基于 P2P 的会议应用程序 Windows Vista 带有一个基于 P2P 的、新式的专用会议应用程序。该程序使用 Windows 对等网络功能。 |
Windows 防火墙
Windows Server“Longhorn”和 Windows Vista 中全新的 Windows 防火墙在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中的当前 Windows 防火墙的基础上进行了如下功能增强:
| • |
同时支持传入和传出的流量
网络管理员可以对新的 Windows 防火墙配置一组例外设置,以阻止所有流量被发送到特定的端口(比如:病毒软件所用的已知端口)或包含敏感或不必要的内容的特定地址。 |
| • |
带有高级安全 Microsoft Management Console (MMC) 管理单元的新式 Windows 防火墙可执行图形用户界面 (GUI) 配置
带有高级安全管理单元的新式 Windows 防火墙提供了例外和安全规则配置向导。若要对该防火墙的高级设置执行命令行配置,则可以使用 netsh advfirewall 命令。 |
| • |
集成了防火墙筛选和 IPsec 保护设置
使用带有高级安全管理单元的 Windows 防火墙时,可以配置防火墙筛选和受保护的流量规则。 |
| • |
例外的高级配置
可以对源和目标 IP 地址、IP 协议号、源和目标传输控制协议 (TCP) 及用户数据报协议 (UDP) 端口、所有或多个 TCP 或 UDP 端口、特定类型的接口、ICMP 和 ICMP for IPv6 (ICMPv6) 流量(按类型和代码)以及服务配置防火墙筛选例外。 |
有关这些改进功能的详细信息,请查阅“Windows Vista 和 Windows Server‘Longhorn’中的全新 Windows 防火墙”。
IPsec 的改进功能
Windows Server“Longhorn”和 Windows Vista 对 Internet 协议安全 (IPsec) 进行了如下功能改进:
| • |
集成的防火墙和 IPsec 配置 |
| • |
简化的 IPsec 策略配置 |
| • |
客户端到域控制器 IPsec 保护 |
| • |
改进的负载平衡和群集服务器支持 |
| • |
改进的 IPsec 身份验证 |
| • |
全新的加密支持 |
| • |
集成网络访问保护 |
| • |
针对受保护通信的附加配置选项 |
| • |
集成的 IPv4 和 IPv6 支持 |
| • |
扩展的事件和性能监视器计数器 |
| • |
网络诊断框架支持 |
集成的防火墙和 IPsec 配置
在 Windows Server 2003 和 Windows XP 中,Windows 防火墙和 IPsec 都是必须单独配置的组件和服务。虽然 Windows 防火墙的用途是阻止或允许传入流量,但是 IPsec 也可以被配置为阻止或允许传入流量。由于可以通过两种完全不同的服务,对传入流量配置阻止和允许行为,因此可能存在重复或矛盾的设置。另外,Windows 防火墙和 IPsec 均支持指定允许的传入流量的不同配置选项。譬如,Windows 防火墙通过指定应用程序名来允许例外(允许的入站流量),而 IPsec 则不是。IPsec 根据 IP 协议号来允许例外,而 Windows 防火墙则不然。
在 Windows Server“Longhorn”和 Windows Vista 中,Windows 防火墙和 IPsec 被整合到一个可配置的工具中,即带有高级安全管理单元的全新 Windows 防火墙。现在,该工具控制着传统的防火墙职责(阻止和允许入站和出站流量),并通过 IPsec 保护流量。此外,netsh advfirewall 命令可用于通过命令行配置防火墙和 IPsec 行为。Windows 防火墙与 IPsec 的集成为运行 Windows Server“Longhorn”或 Windows Vista 的计算机提供了验证防火墙。
简化的 IPsec 策略配置
在 Windows Server 2003 和 Windows XP 中,许多方案(服务器隔离和域隔离)中的 IPsec 策略配置都包含一套用于保护大多数网络流量的规则以及另一套针对受保护流量例外的规则。与网络基础结构服务器(比如:DHCP 和 DNS 服务器以及域控制器)的不受保护的通信需要有例外。启动时,计算机必须能够获取 IP 地址,使用 DNS 查找域控制器,然后在开始使用 Kerberos 身份验证将自身验证为 IPsec 对等方之前,登录到其所在的域。与不支持 IPsec 的网络节点进行的通信需要其它的例外。在某些情况下,会有数十个或数百个例外,从而更难在专用网络上部署 IPsec 保护,并持续加以维护。
Windows Server“Longhorn”和 Windows Vista 中的 IPsec 在协商 IPsec 保护时,提供了一个可选行为。若启用该行为,则在发起与其它网络节点的通信时,运行 Windows Server“Longhorn”和 Windows Vista 的 IPsec 节点将同时尝试进行通信并协商受保护的通信。如果发起的 IPsec 对等方未接收到最初协商尝试的响应,那么通信将继续进行。若发起的 IPsec 对等方接收到了响应,则在协商完成之前将停止通信。
通过这一可选行为和推荐的配置来要求保护已发起的传入和传出的通信,发起节点可发现与之通信的节点是否支持 IPsec,并采取相应的操作,从而大幅简化 IPsec 策略配置。例如,对于一组不应该或不能够通过 IPsec 保护网络流量的主机的例外,发起节点不需要一套预定义的 IPsec 筛选器。发起节点会同时尝试受保护和不受保护的通信,若受保护的通信行不通,则采用不受保护的通信。
这种新的协商行为还提高了到主机的不受保护连接的性能。运行 Windows Server 2003 或 Windows XP 的 IPsec 节点在被配置为请求受保护通信但允许不受保护通信——这种行为被称为“后退”——的情况下,会发送协商消息,然后等待响应。在后退以尝试进行不受保护通信之前,发起节点会等待 3 秒钟。对于 Windows Server“Longhorn”和 Windows Vista,后退时不再有 3 秒钟的延迟,因为在发起节点等待响应时,通信就已经处在进行当中。
客户端到域控制器 IPsec 保护
在 Windows Server 2003 和 Windows XP 中,微软目前建议用户不要运用 IPsec 保护功能来保护域控制器和成员计算机间的流量(但是,微软并不推荐保护域控制器间的流量)。这是由于 IPsec 策略配置会因为域成员与域控制器间传输的不同类型的流量而变得非常复杂。另外,还存在一个域加入引导问题。如果域控制器从必须提供基于域的凭据用于身份验证的计算机请求受 IPsec 保护的流量,那么不属于域的计算机就无法联系域控制器以加入域。
Windows Server“Longhorn”和 Windows Vista 支持在下列部署模式中,保护域成员和域控制器间的流量:
| • |
由于有了新的协商行为,用户不再需要对域控制器配置免除,从而简化了 IPsec 策略以及 IPsec 保护在域中的部署。 |
| • |
可以在域中配置 IPsec 策略以请求受保护的流量,但不是非要不可。
域控制器将保护域成员的大部分流量,但允许明文形式的域加入及其它类型的流量。 |
| • |
可以配置 IPsec 策略,为域控制器请求受保护的流量。
当运行 Windows Server“Longhorn”和 Windows Vista 的计算机尝试加入域时,会提示用户输入域用户帐户的用户名和密码。带有域控制器的 IPsec 与 Windows NT/LAN Manager 版本 2 (NTLM v2) 用户凭据就受保护的域加入进行协商。这一新行为仅针对运行 Windows Vista 或 Windows Server“Longhorn”的域成员计算机以及运行 Windows Server“Longhorn”的域控制器。 |
改进的负载平衡和群集服务器支持
Windows Server 2003 中的 IPsec 支持负载平衡和群集服务器。然而,重新建立到群集虚拟 IP 地址的 IPsec 连接的故障转移时间如下:
| • |
对于群集资源的管理行为,通常为 3-6 秒。 |
| • |
当某个群集节点突然不可用或者再次失去连接时,这个时间会长达两分钟。这两分钟超时包括一分钟用于等待 IPsec 闲置时间的到期,另一分钟用于协商 SA。这么长的闲置时间会导致到群集的活动 TCP 连接失败。 |
在 Windows Server“Longhorn”和 Windows Vista 中,群集节点故障的超时时间被大幅缩短了。Windows Server“Longhorn”和 Windows Vista 中的 IPsec 被更紧密地集成到下一代 TCP/IP 堆栈中。Windows Server“Longhorn”和 Windows Vista 中的 IPsec 并不依赖于通过 IPsec 闲置超时来检测群集节点故障,而对已建立的 SA 的 TCP 连接进行监视。若已建立的 SA 的 TCP 连接开始重新传输 TCP 段,则 IPsec 将重新协商 SA。因此可以很快地执行到新群集节点的故障转移,通常不会使应用程序失败。
改进的 IPsec 身份验证
Windows Server 2003 和 Windows XP 中的 IPsec 支持 Internet 密钥交换 (IKE) 以及主模式协商期间的三种身份验证方法:Kerberos(针对 Active Directory 域成员)、数字证书和预共享密钥。对于所有这几种身份验证方法,身份验证过程将验证计算机的身份和可信性而不是用户。IKE 仅使用一种身份验证方法,尝试进行单一身份验证。
Windows Server“Longhorn”和 Windows Vista 支持以下 IPsec 身份验证功能:
| • |
要求 IPsec 对等方使用状况证书进行身份验证的功能
当网络访问保护客户端证明其状态符合当前状况策略时,状况证书服务器将颁发状况证书。有关网络访问保护平台的详细信息,请在本文中参阅“网络访问保护”部分的内容。 |
| • |
在扩展模式期间指定基于用户或状况的身份验证的功能
Windows Server“Longhorn”和 Windows Vista 中的 IPsec 定义了一个称为“扩展模式”的新型协商模式。在扩展模式中,Windows Server“Longhorn”和 Windows Vista 中的 IPsec 可执行另一个级别的身份验证。扩展模式身份验证期间所用的凭据可基于:
| • |
已登录用户帐户的 Kerberos 凭据 |
| • |
已登录用户帐户的 NTLM v2 凭据 |
| • |
用户证书 |
| • |
计算机状况证书 |
扩展模式身份验证可以结合或不结合主模式身份验证。譬如,可以使用主模式身份验证和 Kerberos 凭据对计算机执行身份验证,然后用扩展模式身份验证和状况证书验证计算机的状态。 |
| • |
尝试多种身份验证方法
在 Windows Server 2003 和 Windows XP 中,可以在主模式 IPsec 身份验证的首选顺序中,选择多种身份验证方法。然而,仅有一种身份验证方法用于身份验证。若已协商身份验证方法的身份验证过程失败了,则主模式将失败,并且无法执行 IPsec 保护。当对运行 Windows Server“Longhorn”或 Windows Vista 的计算机选择了多种身份验证方法后,IPsec 将尝试多种身份验证,以便执行相互身份验证。例如,若指定使用 Kerberos 和计算机证书以及特定的证书颁发机构 (CA)(按此顺序)进行身份验证,则 IPsec 对等方会终止 Kerberos 身份验证,然后尝试执行证书身份验证。 |
全新的加密支持
为了符合政府的安全要求并跟上安全行业支持强加密的发展趋势,Windows Server“Longhorn”和 Windows Vista 支持额外的密钥派生和加密算法。
Windows Server“Longhorn”和 Windows Vista 支持以下这些额外的算法,以协商主模式协商期间派生的主密钥材料:
| • |
Diffie-Hellman (DH) Group 19,一种使用 256 位随机曲线组(NIST 标识符 P-256)的椭圆曲线算法 |
| • |
DH Group 20,一种使用 384 位随机曲线组(NIST 标识符 P-384)的椭圆曲线算法 |
这两种方法强于受 Windows Server 2003 和 Windows XP Service Pack 2 支持并包含在 Windows Server“Longhorn”和 Windows Vista 中的 Diffie-Hellman (DH)-768、DH-1024 和 DH-2048 算法。有关这些算法的详细信息,请查阅标题为“IKE 和 IKEv2 的 ECP 组”的 Internet 草案。上述这两种新的 DH 算法可用于运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机的主模式协商。
除了数据加密标准 (DES) 和 Triple-DES (3DES) 以外,Windows Server“Longhorn”和 Windows Vista 还支持一些额外的数据加密算法:
| • |
带有密码块链接 (CBC) 且密钥大小为 128 位的高级加密标准 (AES) (AES 128) |
| • |
带有 CBC 且密钥大小为 192 位的 AES (AES 192) |
| • |
带有 CBC 且密钥大小为 256 位的 AES (AES 256) |
这些新式的加密算法无法用于运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机的安全协商。
集成网络访问保护
借助全新的网络访问保护平台,用户可以要求 IPsec 节点在扩展模式协商期间使用状况证书(验证 IPsec 节点符合当前的系统状况要求)进行身份验证。在网络策略服务器 (NPS) 评估了 IPsec 对等方的状态后,状况证书服务器会颁发一个状况证书。有关详细信息,请在本文中参阅“网络访问保护”部分的内容。
针对受保护通信的附加配置选项
对 IPsec 策略配置带有高级安全管理单元的全新 Windows 防火墙时,用户可以对受保护通信配置一下这些新的设置:
| • |
按应用程序名 (By application name) 该设置大大简化了受保护的流量配置,因为不必手动配置应用程序所用的端口。 |
| • |
针对所有或多个端口 (All or multiple ports) 现在可以在逗号分隔列表中指定所有或多个 TCP 或 UDP 端口,从而简化了配置。 |
| • |
针对某个数字范围内的所有地址 (For all addresses in a numeric range) 现在可以通过数字范围(比如:10.1.17.23 至 10.1.17.219),指定 IP 地址范围。 |
| • |
针对本地子网上的所有地址 (For all addresses on the local subnet) 一组预定义的地址动态地映射到 IPv4 地址和子网掩码或 IPv6 本地子网前缀所定义的地址。 |
| • |
针对所有无线适配器 (For all wireless adapters) 可以根据接口类型(除了 LAN 和远程访问以外,现在还包括无线)保护流量。 |
| • |
按 Active Directory 用户或计算机帐户 (By Active Directory user or computer account) 可指定计算机或用户帐户或者组(授权以发起受保护通信)的列表。例如,该设置允许用户指定必须保护到带有敏感数据的特定服务器的流量,而且这些流量只能来自特定 Active Directory 安全组中的特定用户帐户。 |
| • |
按 ICMP 或 ICMPv6 类型或者代码值 (By ICMP or ICMPv6 Type or Code value) 可以通过指定 ICMP 或 ICMPv6 消息类型和代码字段值,指定 ICMP 或 ICMPv6 消息。 |
| • |
针对服务 (For services) 可以指定例外应用于任何进程、仅针对服务、针对特定的服务(按服务名称),或者可以键入服务的简称。 |
集成的 IPv4 和 IPv6 支持
在 Windows XP 和 Windows Server 2003 中,针对 IPv6 流量的 IPsec 支持受到一定的限制。不支持 Internet 密钥交换 (IKE) 或数据加密。必须通过本文文件,配置 IPsec 安全策略、安全关联和密钥,并通过命令行工具 (IPsec6.exe) 加以激活。
在 Windows Server“Longhorn”和 Windows Vista 中,对于 IPv6 流量的 IPsec 支持与 IPv4 相同,包括对 IKE 和数据加密的支持。可使用带有高级安全或 IP 安全策略管理单元的 Windows 防火墙,以同样的方式配置针对 IPv4 和 IPv6 流量的策略设置。
扩展的事件和性能监视器计数器
Windows Server“Longhorn”和 Windows Vista 包含 15 个特定于 IPsec 审核的新事件,并且以更实用的信息更新了 25 个现有事件的本文。这些改进功能将有助于用户对失败的 IPsec 协商进行疑难解答,而不必启用高级的 Oakley 日志功能。
Windows Server“Longhorn”和 Windows Vista 还包含一些 IPsec 性能计数器,可协助识别有关受 IPsec 保护的流量的性能和网络问题。
网络诊断框架支持
网络诊断框架 (Network Diagnostics Framework) 是一种可扩展的体系结构,可帮助用户针对网络连接故障执行恢复和故障排除操作。对于失败的 IPsec 协商,网络诊断框架会对用户发出提示,提供识别和纠正问题的选项。然后,网络诊断框架的 IPsec 支持会尝试发现失败连接的根源,并自动纠正问题或基于安全方面的考虑,提示用户进行适当的配置更改。
无线和基于 802.1X 的有线连接
Windows Server“Longhorn”和 Windows Vista 包含了许多增强功能,以支持 IEEE 802.11 无线网络和使用身份验证交换机的网络。
IEEE 802.11 无线功能变化与增强
Windows Server“Longhorn”和 Windows Vista 在 IEEE 802.11 无线支持方面进行了如下功能调整和增强:
| • |
纯 Wi-Fi 体系结构 |
| • |
针对无线连接的用户界面改进 |
| • |
无线组策略的增强功能 |
| • |
无线自动配置的功能变化 |
| • |
WPA2 支持 |
| • |
单一登录 |
| • |
在采用 802.1X 身份验证的情况下集成网络访问保护 |
| • |
EAPHost 基础结构 |
| • |
802.11 无线诊断 |
| • |
针对配置无线设置的命令行支持 |
| • |
网络位置识别和网络配置文件 |
| • |
下一代 TCP/IP 堆栈对于无线环境的增强功能 |
纯 Wi-Fi 体系结构
在 Windows Server 2003 和 Windows XP 中,构建支持无线连接的软件基础结构是为了模拟以太网连接,并且只能通过支持 IEEE 802.1X 身份验证的其它 EAP 类型加以扩展。在 Windows Server“Longhorn”和 Windows Vista 中,802.11 无线连接的软件基础结构(称为“纯 Wi-Fi 体系结构 [Native Wi-Fi Architecture]”)已经针对以下几个方面进行了重新设计:
| • |
IEEE 802.11 现在在 Windows 中作为一种不同于 IEEE 802.3 的媒体类型。这就使得 IHV 可以更灵活地支持 IEEE 802.11 网络的高级功能(比如:比以太网更大的帧大小)。 |
| • |
由纯 Wi-Fi 体系结构中的一些新组件执行 802.11 连接验证、授权和管理,减轻了 IHV 将这些功能整合到他们的无线网络适配器驱动程序中所带来的负担。这就使得无线网络适配器驱动程序的开发变得轻松得多了。在 Windows Server“Longhorn”和 Windows Vista 中,IHV 必须开发一种更小的 NDIS 6.0 微型端口驱动程序,用以在其上端公开纯 802.11 接口。 |
| • |
纯 Wi-Fi 体系结构支持 API,以便 ISV 和 IHV 能够针对其它无线服务和自定义功能,扩展内置的无线客户端。ISV 和 IHV 编写的可扩展组件还可提供自定义的配置对话框和向导。 |
针对无线连接的用户界面改进
无线配置用户界面 (UI) 已在以下几个方面得到了改进:
| • |
可扩展的无线 UI 正如本文的“纯 Wi-Fi 体系结构”一节所描述的,可以编写自定义的无线培植对话框或向导,并添加到内置的 Windows 无线客户端中,从而可以配置 ISV 或 IHV 自定义的无线功能特性。 |
| • |
可标记隐藏的无线网络 隐藏的无线网络不会公布其网络名称,也称为“服务集标识符 (SSID)”。隐藏的无线网络的无线访问点可被配置为发送信号帧或发送 SSID 被设为 NULL 的信号帧。这种做法被称为使用菲广播 SSID。在 Windows Server 2003 和 Windows XP 中,不可将首选的无线网络标记为隐藏,否则有时在自动连接到无线网络(有些隐藏,有些不隐藏)时会产生混乱的行为。在 Windows Server“Longhorn”和 Windows Vista 中,可将首选的无线网络配置为非广播网络,来表示其被隐藏。 |
| • |
在连接到不安全的无线网络时提示用户 由于在不安全的无线网络上进行通信存在着风险,因此 Windows Server“Longhorn”和 Windows Vista 现在会在连接到不安全的无线网络时提示用户,以便用户对连接尝试加以确认。 |
| • |
配置向导默认采用无线网络适配器支持的最高安全性 Windows Server“Longhorn”和 Windows Vista 中的“无线网络安装向导”会检索无线网络适配器的安全功能,并推荐用户采用无线网络适配器所支持的最高安全性。譬如,若无线网络适配器同时支持有线对等保密 (WEP) 和 Wi-Fi 保护访问 (WPA),则“无线网络安装向导”将默认配置 WPA 设置。 |
无线组策略的增强功能
在 Windows Server“Longhorn”和 Windows Vista 中,无线组策略设置(位于“组策略”管理单元的 Computer Configuration/Windows Settings/Security Settings 节点中)进行了如下改进:
| • |
WPA2 身份验证选项 带有用于 Windows XP Service Pack 2 的 Wi-Fi 保护访问 2 (WPA2)/无线配置服务信息元素 (WPS IE) 更新 的 Windows XP 支持配置 WPA2 身份验证选项;WPA2(针对 WPA2 Enterprise [企业])和 WPA2-PSK(针对 WPA2 Personal [个人])。然而,Windows Server 2003 Service Pack 1 中的无线网络 (IEEE 802.11) 策略并不支持集中配置 WPA2 身份验证选项。Windows Server“Longhorn”中的无线组策略设置支持配置 WPA2 身份验证选项。微软正在研究在将来的 Windows Server 2003 更新的无线组策略设置中,加入对 WPA2 身份验证选项的支持。 |
| • |
允许和拒绝的无线网络名称列表 Windows Server 2003 和 Windows XP 中的无线客户端会在未找到首选的无线网络或者所有到已发现的首选无线网络的连接都失败时,提示用户连接到已发现的无线网络。不可将运行 Windows Server 2003 或 Windows XP 的无线客户端计算机配置为提示用户仅连接到特定的无线网络,或者永远不提示用户连接到特定的无线网络。用户可以通过 Windows Server“Longhorn”和 Windows Vista 中的无线组策略设置,配置允许和拒绝的无线网络的名称列表。通过允许列表,用户可以按名称 (SSID) 指定 Windows Server“Longhorn”和 Windows Vista 无线客户端所能连接的一组无线网络。这对于需要通过企业的便携式计算机连接到特定的一组无线网络(可能包含企业的无线网络和无线 Internet 服务提供商)的网络管理员来说非常有帮助。通过拒绝列表,用户可以按名称指定不允许无线客户端连接的一组无线网络。这有助于防止便携式计算机连接到企业的无线网络范围内的其它无线网络(比如:企业在一幢建筑物中有一层楼的办公空间,而在相邻楼层的另一家企业也建有一些无线网络),或者防止受控的便携式计算机连接到已知的不安全无线网络。 |
| • |
其它的首选无线网络设置 可通过 Windows Server“Longhorn”中的无线组策略设置,对首选无线网络配置以下设置:
| • |
快速漫游设置 快速漫游是 WPA2 无线网络的一项高级功能,可使无线客户端运用预身份验证和成对主密钥 (PMK) 缓存,更快地在无线访问点间漫游。在用于 Windows XP Service Pack 2 的 Wi-Fi 保护访问 2 (WPA2)/无线配置服务信息元素 (WPS IE) 更新中,用户可以通过注册表设置,控制预身份验证和 PMK 缓存行为。在 Windows Server“Longhorn”中,可通过无线组策略设置配置这一行为。 |
| • |
隐藏的无线网络 正如本文的“针对无线连接的用户界面改进”一节所描述的,用户可以在本地将首选的无线网络配置为隐藏的无线网络。在 Windows Server“Longhorn”中,用户现在可以在无线组策略设置中,将首选的无线网络配置为隐藏网络。 |
| • |
自动或手动连接 在 Windows XP Service Pack 2、Windows Server 2003 Service Pack 1、Windows Server“Longhorn”和 Windows Vista 中,可以在首选无线网络的“连接”选项卡上,对自动(默认)或手动连接配置首选的无线网络。通过 Windows Server“Longhorn”中的无线组策略设置,用户现在可以对自动或手动连接配置首选的无线网络。 | |
无线自动配置的功能变化
无线自动配置是一项根据首选项或默认设置,动态选择计算机所要自动连接的无线网络的服务。这包括在更优先的无线网络可用时,自动选择并连接到该网络。Windows Server“Longhorn”和 Windows Vista 在无线自动配置方面的功能变化如下:
| • |
当没有可用的首选无线网络时的行为变化 在 Windows XP 和 Windows Server 2003 中,如果无法连接首选的无线网络,并且无线网络被配置为防止连接到不在首选列表之中的无线网络(默认),那么无线自动配置会创建一个随机的无线网络名称,并将无线网络适配器置于基础结构模式中。之后,无线适配器不会连接到任何无线网络,但将继续每隔 60 秒扫描一次首选的无线网络。在 Windows Server“Longhorn”和 Windows Vista 中,无线自动配置会在继续定期扫描首选网络时,先停用无线网络适配器,从而防止对匹配随机无线网络名称的无线网络建立无线连接。 |
| • |
针对隐藏的无线网络的全新支持 在 Windows XP 和 Windows Server 2003 中,无线自动配置会尝试将已配置的首选无线网络与广播其网络名称的无线网络进行匹配。若没有可用的网络匹配首选的无线网络,则无线自动配置将发送探测请求,以确定顺序列表中的首选网络是否处于隐藏状态。这种行为所带来的结果就是将先于隐藏网络连接到广播网络,即使隐藏网络在首选列表中的位置高于广播网络。另一种结果就是 Windows XP 或 Windows Server 2003 无线客户端在发送探测请求时,公布自身的首选无线网络列表。
在 Windows Server“Longhorn”和 Windows Vista 中,可将无线网络配置为广播(无线网络名称包含在无线访问点发送的信号帧中)或非广播(无线网络名称被隐藏了,因为无线访问点没有发送信号帧,或者信号帧包含一个被设为 NULL 的网络名称)。通过将隐藏的网络放在首选的无线网络列表中,首选无线网络连接尝试的顺序将维持不变,而且 Windows Server“Longhorn”和 Windows Vista 无线客户端不会再公布其首选无线网络列表。 |
WPA2 支持
Windows Server“Longhorn”和 Windows Vista 为通过组策略设置对 WPA2 身份验证选项配置标准配置文件(本地配置的首选无线网络)和域配置文件,提供了内置支持。WPA2 是一种由 Wi-Fi 联盟授予的产品认证。Wi-Fi 联盟专门对无线设备与 IEEE 802.11i 标准的兼容性进行认证。Windows Server“Longhorn”和 Windows Vista 中的 WPA2 同时支持 Enterprise(IEEE 802.1X 身份验证) 和 Personal(预共享密钥身份验证)操作模式。
Windows Server“Longhorn”和 Windows Vista 还对特殊模式的无线网络(无线客户端间不使用无线访问点的无线网络)提供了 WPA2 支持。
单一登录
安全的无线技术的部署促进了第 2 层网络身份验证(比如:802.1X)的运用,从而确保了在受保护的网络上只能存在一个恰当的用户或设备,并且为其数据提供无线传输级别的保护。Windows Server“Longhorn”和 Windows Vista 的单一登录 (Single Sign-On) 功能可在恰当的时间,根据网络安全配置来执行 802.1X 身份验证,同时无缝地集成用户的 Windows 登录体验。
网络管理员可使用组策略设置或新的 netsh wireless 命令,对无线客户端计算机配置单一登录配置文件。配置完单一登录配置文件之后,802.1X 身份验证将在计算机登录到域之前执行,并且仅提示用户提供凭据信息(若需要的话)。这个功能确保了在执行计算机域登录之前建立无线连接,从而实现了要求在用户登录之前建立网络连接的应用方案,比如:组策略更新、执行登录脚本以及无线客户端域加入。
在采用 802.1X 身份验证的情况下集成网络访问保护
WPA2-Enterprise、WPA-Enterprise 以及采用 802.1X 身份验证的动态 WEP 连接均可运用网络访问保护平台,阻止不符合系统状况要求的无线客户端获取专用网络的无限访问权。 有关网络访问保护平台的详细信息,请在本文中参阅“网络访问保护”部分的内容。
EAPHost 基础结构
为了更方便地对经 IEEE 802.1X 验证的无线连接,部署可扩展身份验证协议 (EAP) 身份验证方法,Windows Server“Longhorn”和 Windows Vista 支持新式的 EAPHost 基础结构。有关详细信息,请在本文中参阅“EAPHost 基础结构”一节的内容。
新式的默认 EAP 身份验证方法
在 Windows Server 2003 和 Windows XP 中,经 802.1X 验证的无线连接的默认 EAP 身份验证方法为 EAP-传输层安全 (TLS)。虽然大多数安全的身份验证方式采用了数字证书相互身份验证,但是 EAP-TLS 需要公钥基础结构来分发、吊销和续订用户和计算机证书。
许多情况下,企业都希望利用 Active Directory 中现有的基于帐户名和密码的身份验证基础结构。所以,在 Windows Server“Longhorn”和 Windows Vista 中,经 802.1X 验证的无线连接的默认 EAP 身份验证方法已被更改为受保护的 EAP-Microsoft 质询握手身份验证协议版本 (PEAP-MS-CHAP v2)。PEAP-MS-CHAP v2 是一种针对无线连接的基于密码的 802.1X 身份验证方法,仅要求用户在远程身份验证拨入用户服务 (RADIUS) 服务器上安装计算机证书。有关PEAP-MS-CHAP v2 的详细信息,请查阅“针对基于安全密码的无线访问的 PEAP-MS-CHAP 版本 2”。
针对无线连接的诊断支持
虽然在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中得到了改进,但是对失败的无线连接进行疑难解答仍然很困难。在 Windows Server“Longhorn”和 Windows Vista 中,以下这些功能使得无线网络的疑难解答变得更加简单:
| • |
无线连接支持全新的网络诊断框架 网络诊断框架 (Network Diagnostics Framework) 是一种可扩展的体系结构,可帮助用户针对网络连接故障执行恢复和故障排除操作。对于失败的无线连接,网络诊断框架会对用户发出提示,提供识别和纠正问题的选项。然后,网络诊断框架的无线支持会尝试发现失败连接的根源,并自动纠正问题或基于安全方面的考虑,提示用户进行适当的配置更改。 |
| • |
保存在 Windows 事件日志中的新信息 对于失败的无线连接尝试,Windows Server“Longhorn”和 Windows Vista 的无线组件会在 Windows 事件日志中,记录有关此连接尝试的详细信息。当无线诊断无法解决问题或者可以解决但无法通过更改无线客户端设置来修复问题,企业里的支持专业人士可以使用这些事件记录,执行进一步的疑难解答。Windows 事件日志中的信息可缩短解决无线连接支持问题所需的时间。此外,网络管理员可使用 Microsoft Operations Manager 或其它类型的中央管理工具,自动收集这些事件日志条目,并就趋势和无线基础结构设计更改进行分析。 |
| • |
信息可发送给微软以便分析和改进 遇到无线连接问题的用户还将通过 Windows 错误报告 (WER) 得到提示,告诉他们可以将连接信息发送给微软以供分析。另外,成功的诊断可通过软件质量度量 (SQM) 基础结构(在 Windows XP 中也称为“客户体验改善计划”)发送给微软。在这两种情况中,仅发送无线网络诊断信息(不包含任何有关计算机或用户的个人信息)。微软将使用该信息确定无线连接失败的根本原因,确定新的无线连接问题及其原因,并采取适当的行动以改善 Windows 中的无线客户端软件,或者与无线供应商携手改善无线硬件产品。 |
用于配置无线设置的命令行界面
Windows Server 2003 或 Windows XP 没有可供用户配置无线设置(通过“网络连接”文件夹中的无线对话框或“无线网络 [IEEE 802.11] 策略”组策略设置)的命令行界面。通过命令行配置无线设置,有助于在以下情况中部署无线网络:
| • |
无线设置的自动脚本支持(不使用组策略) “无线网络 (IEEE 802.11) 策略”组策略设置仅应用于 Active Directory 域。对于没有 Active Directory 或组策略基础结构的环境,可以通过手动或自动方式(比如:登录脚本的一部分)运行实现无线连接自动化配置的脚本。 |
| • |
将无线客户端引导到安全的企业无线网络上 不属于域成员的无线客户端计算机无法连接到企业的安全无线网络。另外,计算机只有在成功连接到企业的安全无线网络之后,才能加入域。命令行脚本提供了一种连接到企业的安全无线网络以加入域的方法。 |
在 Windows Server“Longhorn”和 Windows Vista 中,可以使用 netsh wireless 这类 Netsh 命令执行以下操作:
| • |
在已命名的配置文件中,配置所有无线客户端设置,包括常规设置(所访问的无线网络的类型)、802.11 设置(SSID、身份验证类型、数据加密类型)以及 802.1X 身份验证设置(EAP 类型及其配置)。 |
| • |
指定允许和拒绝的无线网络的名称列表。 |
| • |
指定首选无线网络的顺序。 |
| • |
显示无线客户端的配置。 |
| • |
从无线客户端删除无线配置。 |
| • |
在无线客户端之间迁移无线配置设置。 |
网络位置识别和网络配置文件
许多应用程序都不具备网络识别支持,从而使用户产生混乱,给开发人员带来负载。譬如,应用程序无法根据当前连接的网络和条件,自动调整其行为。用户可以必须根据所连接的网络(雇主的专用网络、用户的家庭网络、Internet),重新配置应用程序设置。为了消除配置负担,应用程序开发人员可以使用低级 Windows API 和数据构造,或者甚至自行探测网络以确定当前网络,并相应地调整应用程序的行为。
为了提供操作系统基础结构,以使应用程序开发人员更轻松地根据当前连接的网络重新配置应用程序行为,Windows Server“Longhorn”和 Windows Vista 中的网络位置识别 (NLA) 服务可代表应用程序汇集 Windows 中的网络信息,并使这些应用程序可以方便、有效地适应这些变化的环境。NLA 通过为应用程序提供一个统一的 API 以使它们可以获取最新的网络信息和位置变更通知来实现这一点。
有关详细信息,请查阅“如何编写具有网络识别支持的应用程序” 和“Longhorn 网络位置识别服务”。
下一代 TCP/IP 堆栈对于无线环境的增强功能
正如本文中的“针对高丢失率环境的增强功能”一节的描述,下一代 TCP/IP 堆栈支持一些新式的 TCP 算法。这些算法可通过从一次或多次数据包丢失中执行恢复并检测虚假的重新传输,进而改善无线网络环境的性能。
基于 IEEE 802.1X 的有线连接的增强功能
在 Windows Server 2003 和 Windows XP 中,对到身份验证交换机的有线连接部署 802.1X 身份验证设置的支持较为有限。Windows Server“Longhorn”和 Windows Vista 通过以下功能改进,简化了经 802.1X 验证的有线连接的部署:
| • |
有线 802.1X 设置的组策略支持 |
| • |
用于配置有线 802.1X 设置的命令行界面 |
| • |
在采用 802.1X 身份验证的情况下集成网络访问保护 |
| • |
EAPHost 基础结构 |
| • |
802.1X 服务状态的变化 |
| • |
单一登录 |
有线 802.1X 设置的组策略支持
对于使用 Active Directory 和组策略的环境,Windows Server“Longhorn”和 Windows Vista 在 Computer Configuration/Windows Settings/Security Settings/Wired Network (IEEE 802.3) Policies 路径下,为有线连接的 802.1X 身份验证设置,提供了组策略支持。
用于配置有线 802.1X 设置的命令行界面
对于不使用 Active Directory 和组策略的环境或者引导方案,Windows Server“Longhorn”和 Windows Vista 还支持一个用于为有线连接配置 802.1X 身份验证设置的命令行界面。可以使用 netsh wired 命令,执行以下任务:
| • |
在已命名的配置文件中,配置所有有线客户端设置,包括 802.1X 身份验证设置(EAP 类型及其配置) |
| • |
显示有线客户端的配置 |
| • |
从有线客户端删除有线配置 |
| • |
在有线客户端之间迁移有线配置设置 |
在采用 802.1X 身份验证的情况下集成网络访问保护
经 IEEE 802.1X 验证的有线连接可利用网络访问保护平台,阻止不符合系统状况要求的有线客户端获取专用网络的无限访问权。有关网络访问保护平台的详细信息,请在本文中参阅“网络访问保护”部分的内容。
EAPHost 基础结构
为了更方便地对经 IEEE 802.1X 验证的有线连接,部署 EAP 身份验证方法,Windows Server“Longhorn”和 Windows Vista 支持新式的 EAPHost 基础结构。有关详细信息,请在本文中参阅“EAPHost 基础结构”一节的内容。
802.1X 服务状态的变化
在 Windows XP 和 Windows Server 2003 中,802.1X 服务默认被启用,但被置于被动侦听模式中。在 Windows Vista 中,802.1X 服务默认被禁用,不过一旦启用后,即以主动模式运行。
单一登录
身份验证交换机的部署促进了第 2 层网络身份验证(比如:802.1X)的运用,从而确保仅允许适当的用户或设备与交换机进行帧交换。Windows Server“Longhorn”和 Windows Vista 的单一登录 (Single Sign-On) 功能可在恰当的时间,根据网络安全配置来执行 802.1X 身份验证,同时无缝地集成用户的 Windows 登录体验。
网络管理员可使用组策略设置或新的 netsh wired 命令,对有线客户端计算机配置单一登录配置文件。配置完单一登录配置文件之后,802.1X 身份验证将在计算机登录到域之前执行,并且仅提示用户提供凭据信息(若需要的话)。这个功能确保了在执行计算机域登录之前建立有线连接,从而实现了要求在用户登录之前建立网络连接的应用方案,比如:组策略更新、执行登录脚本以及有线客户端域加入。
网络基础结构
Windows Server“Longhorn”和 Windows Vista 更改了以下网络基础结构组件:
| • |
网络访问保护 |
| • |
网络策略服务器 |
| • |
全新的 EAPHost 体系结构 |
| • |
远程访问和 VPN 连接的增强功能 |
| • |
DHCP 的增强功能 |
网络访问保护
Windows Server“Longhorn”和 Windows Vista 中的网络访问保护 (NAP) 提供了策略强制组件,以帮助确保连接到网络或在网络上进行通信的计算机符合管理员规定的系统状况要求。譬如,系统状况要求可能包括所有计算机都必须安装有最新的操作系统更新和防病毒签名文件。
管理员可以结合使用策略验证和网络访问限制组件,控制网络访问或通信。管理员还可以选择临时限制不符合要求的计算机访问受限的网络。根据所选的配置,受限的网络可能包含更新不合格的计算机所需的资源,从而使这些计算机可以符合无限网络访问和正常通信的状况要求。NAP 为开发人员和供应商提供了一个 API 集,用以创建状况策略验证、网络访问限制、自动修复和持续符合状况策略的完整解决方案。
NAP 强制技术
Windows Server“Longhorn”和 Windows Vista 包含以下这些 NAP 强制技术:
| • |
DHCP 通过“DHCP 强制 (DHCP Enforcement)”,DHCP 服务器可以在计算机尝试在网络上租赁或续订 IP 地址配置时,强制执行状况策略要求。“DHCP 强制”是最容易部署的强制技术,因为所有 DHCP 客户端计算机都必须租赁 IP 地址。 |
| • |
VPN 通过“VPN 强制 (VPN Enforcement)”,VPN 服务器可以在计算机与网络建立 VPN 连接时,强制执行状况策略要求。“VPN 强制”对通过 VPN 连接访问网络的所有计算机,提供了严格的有限网络访问。带有 NAP 的“VPN 强制”不同于“网络访问隔离控制”——Windows Server?2003 中的功能。 |
| • |
IEEE 802.1X 通过“802.1X 强制 (802.1X Enforcement)”,网络策略服务器 (NPS) 可指定基于 802.1X 的访问点(以太网交换机或无线访问点)将受限的访问配置文件放在 802.1X 客户端上,以便执行一组修复功能。受限的访问配置文件可由一组 IP 数据包筛选器或一个虚拟 LAN 识别符组成,用以限制 802.1X 客户端的流量。“802.1X 强制”对通过 802.1X 连接访问网络的所有计算机,提供了严格的有限网络访问。有关 NPS 的详细信息,请在本文中参阅“网络策略服务器”部分的内容。 |
| • |
IPsec 通过“IPsec 强制 (IPsec Enforcement)”,用户可以将网络通信仅限于合格的计算机,并且由于运用了 IPsec,因此可以针对每个 IP 地址或 TCP/UDP 端口号,对合格客户端定义受保护的通信要求。不同于“DHCP 强制”、“VPN 强制”和“802.1X 强制”,“IPsec 强制”在合格的计算机成功连接并获得有效的 IP 地址配置后,将通信仅限于这些计算机。“IPsec 强制”是网络访问保护中最强大的有限网络访问形式。 |
第三方软件供应商可使用 NAP API,创建他们自己的 NAP 强制技术。
有关 NAP 平台的详细信息,请访问“网络访问保护”网页。
网络策略服务器
网络策略服务器 (NPS) 是远程身份验证拨入用户服务 (RADIUS) 服务器和代理的 Microsoft 实现。NPS 替代了 Windows Server 2003 中的 Internet 验证服务 (IAS)。NPS 可对基于 VPN 和 802.1X 的无线和有线连接身份验证,执行 Windows Server 2003 中的所有 IAS 功能,并可对网络访问保护客户端执行状况评估,并授予其无限或有限的访问权。更多信息,请在本文中参阅“网络访问保护”一节的内容。
NPS 还支持通过 IPv6 发送 RADIUS 流量(如 RFC 3162 中的定义)。
全新的 EAPHost 体系结构
Windows Server“Longhorn”和 Windows Vista 包含 EAPHost——针对可扩展身份验证协议 (EAP) 身份验证方法和基于 EAP 的请求者的全新体系结构。EAPHost 提供了以下不受 Windows Server 2003 和 Windows XP 中的 EAP 实现支持的功能:
| • |
支持其它 EAP 方法 EAPHost 将支持其它流行的 EAP 方法。 |
| • |
网络发现 EAPHost 将支持“Identity Hints for EAP (EAP 身份提示)”Internet 草案 (draft-adrangi-eap-network-discovery-13.txt) 所定义的网络发现。 |
| • |
符合 RFC 3748 EAPHost 将符合 EAP 状态机,并解决 RFC 3748 所指定的众多安全漏洞。另外,EAPHost 还将支持扩展的 EAP 类型等功能(包括特定于供应商的 EAP 方法)。 |
| • |
EAP 方法共存 EAPHost 允许同一个 EAP 方法的多个实现共存。例如,可以同时安装和选择微软的 PEAP 与 Cisco Systems, Inc. 的 PEAP。 |
| • |
模块化请求者体系结构 除了支持模块化 EAP 方法以外,EAPHost 还支持一个模块化请求者体系结构。在该体系结构中,可以轻松地添加新的请求者,而不必置换整个 EAP 实现。 |
对于 EAP 方法供应商,EAPHost 提供了对已为 Windows Server 2003 和 Windows XP 开发的 EAP 方法的支持,并提供了一种更加简单的方法,用以为 Windows Server“Longhorn”和 Windows Vista 开发新的 EAP 方法p认证的 EAP 方法可通过 Windows Update 进行分发。EAPHost 还可以更好地对 EAP 类型进行分类,从而可供基于内置的 802.1X 和 PPP 的 Windows 请求者使用。
对于请求者方法供应商,EAPHost 为新链路层的模块化和可插入请求者提供了支持。由于 EAPHost 同 NAP 相集成,因此新的请求者不必具备识别 NAP 的功能。为了加入 NAP,新的请求者只需注册一个连接标识符和一个通知请求重新进行身份验证的回调函数。
远程访问和 VPN 连接的增强功能
Windows Server“Longhorn”中的远程访问和 VPN 连接包含以下增强功能:
| • |
支持路由隔间 通过利用下一代 TCP/IP 堆栈中的路由隔间支持,Windows Server“Longhorn”和 Windows Vista 中的 VPN 客户端能够创建其流量可同 Internet 流量相分离的 VPN 连接,从而确保来自 Internet 的流量不会通过 VPN 连接被转发到专用网络上。有关详细信息,请在本文中参阅“路由隔间”一节的内容。 |
| • |
远程访问 VPN 连接的“VPN 强制” 内置的 VPN 客户端与路由和远程访问添加了一些组件,以支持 NAP 平台中的 “VPN 强制”。更多信息,请在本文中参阅“网络访问保护”一节的内容。 |
| • |
IPv6 支持 如 RFC 2472 中的定义,内置的远程访问客户端与路由和远程访问如今支持点对点协议 (PPP) 上的 IPv6 (PPPv6)。本地 IPv6 流量现在可以通过基于 PPP 的连接来发送。例如,PPPv6 支持使用户可以通过拨号连接或基于以太网 (PPPoE) 的连接(用于宽带 Internet 访问),与基于 IPv6 的 Internet 服务提供商 (ISP) 相连接。内置的远程访问客户端与路由和远程访问还支持基于 IPv6 的带有 IPsec 的第二层隧道协议 (L2TP/IPsec) VPN 连接。 |
| • |
经修订的“连接”向导 这个全新的向导提供了一种简化的方法来配置拨号、宽带 Internet、VPN 和传入的连接。 |
| • |
经更新的 Winlogin 支持 允许第三方访问提供商插入他们的连接,以便在用户登录期间自动创建远程访问连接。 |
| • |
连接管理器管理工具包的多区域支持 允许在任何区域的服务器上,对运行 Windows Vista 或 Windows XP 的任何其它区域的客户端上的安装,创建连接管理器配置文件,从而简化了基于连接管理器管理工具包 (CMAK) 的客户端管理。 |
| • |
连接管理器客户端支持 DNS 动态更新 连接管理器客户端现在支持使用 DNS 动态更新注册 DNS 名称和 IP 地址。 |
| • |
支持网络诊断框架 基于客户端的连接支持网络诊断框架的基本诊断功能。 |
DHCP 的增强功能
DHCP 服务器和 DHCP 客户端服务包含以下增强功能:
| • |
针对 IPv6 的动态主机配置协议 (DHCPv6) 支持 RFC 3315 所定义的针对 IPv6 的动态主机配置协议 (DHCPv6) 对本地 IPv6 网络上的 IPv6 主机提供了状态地址配置。 |
| • |
网络访问保护强制支持 网络访问保护 (NAP) 平台中的“DHCP 强制”要求计算机在接收到无限访问的地址配置之前,证明其系统状况。更多信息,请在本文中参阅“网络访问保护”一节的内容。 |
弃用的技术
Windows Server“Longhorn”和 Windows Vista 放弃了对以下技术的支持:
| • |
带宽分配协议 (BAP) |
| • |
X.25 |
| • |
串行接口协议 (SLIP)
基于 SLIP 的连接将自动升级为基于 PPP 的连接。 |
| • |
Macintosh 服务 (SFM) |
总结
Windows Server“Longhorn”和 Windows Vista 包含了许多增强功能,用以改善连接和性能,并简化协议及核心网络组件的配置;提高安全性、易用性,并改进无线和经 802.1X 验证的有线连接的部署;而且通过要求连接的计算机符合系统状况策略,改进对专用网络的保护。