Windows Server 2008 和 Windows Vista 的新網路功能

本頁內容

提要
簡介
通訊協定和核心網路元件
無線和 802.1X 型有線連線
網路基礎結構
技術移除
摘要
相關連結

提要

Microsoft (R) Windows Server (R) 2008 和 Windows Vista (TM) 中包含了許多網路技術的變革和增強功能。本文說明在 Windows Server 2008 和 Windows Vista 中通訊協定和核心網路元件、無線和 802.1X 驗證的有線技術,以及網路基礎結構元件和服務的變革。

簡介

在這個全球市場競爭激烈的時代,網路和通訊已經成為組織成功的關鍵因素。員工必須可以隨時隨地從任何裝置連線至網路。網路外部的合作夥伴和廠商等等也必須與主要資源有效互動,因此安全性考量比以往更為重要。

本文提供 Windows Server 2008 和 Windows Vista 網路和通訊增強功能的技術概觀,並進一步探討連線能力、簡易的使用方式、管理、可靠性和安全性。使用 Windows Server 2008 和 Windows Vista 的 IT 系統管理員可擁有更多、更有彈性的選項來管理網路基礎結構、要求電腦證明其系統健康情況以保護網路、透過群組原則或指令碼為已驗證的無線和有線連線部署設定,以及部署受保護的流量案例。

通訊協定和核心網路元件

Windows Server 2008 和 Windows Vista 針對下列通訊協定和核心網路元件進行多項變更,並增加了許多增強功能:

  • 下一代 TCP/IP 堆疊

  • 網域名稱系統

  • 服務品質

  • 伺服器訊息區 2.0

  • Http.sys 增強功能

  • WinINet 增強功能

  • Windows Sockets 增強功能

  • 網路裝置介面規格 (NDIS) 6.0 和 6.1

  • 網路覺察

  • Windows 對等網路增強功能

  • Windows 防火牆增強功能

  • 網際網路通訊協定安全性 (IPsec) 改良功能

下一代 TCP/IP 堆疊

Windows Server 2008 和 Windows Vista 包含 TCP/IP 通訊協定堆疊的新實作,稱為下一代 TCP/IP 堆疊。下一代 TCP/IP 堆疊針對網際網路通訊協定第 4 版 (IPv4) 和網際網路通訊協定第 6 版 (IPv6) 的 TCP/IP 功能進行全面重新設計,可符合現今多樣網路環境和技術的連線和效能需求。

如需完整資源清單,請參閱下一代 TCP/IP 堆疊網頁 (英文) [ http://www.microsoft.com/technet/network/tcpip/default.mspx ]。

接收視窗自動調整

TCP 接收視窗大小是 TCP 接收者允許 TCP 傳送者傳送的資料量,超過該數量就必須等待通知。為了根據目前網路狀況正確判斷連線的最大接收視窗大小值,下一代 TCP/IP 堆疊會支援接收視窗自動調整。接收視窗自動調整會透過測量頻寬延遲的乘積 (頻寬乘以連線延遲) 和應用程式擷取速率來持續判斷每個連線的最佳接收視窗大小,並不斷地自動調整最大接收視窗的大小。

隨著 TCP 對等之間的輸送量的提升,資料傳輸期間的網路頻寬使用率也會提高。如果所有應用程式都以最佳化的方式接收 TCP 資料,則網路的整體使用率會顯著增加,對以 (接近) 最大容量運作的網路而言,使用服務品質 (QoS) 會變得更加重要。如需相關資訊,請參閱本文中的<服務品質>。

如需接收視窗自動調整的相關資訊,請參閱"下一代 TCP/IP 堆疊中的效能增強功能 (英文) [http://www.microsoft.com/technet/community/columns/cableguy/cg1105.mspx ] 和 TCP 接收視窗自動調整 [http://www.microsoft.com/technet/technetmag/issues/2007/01/CableGuy/default.aspx ]。

複合 TCP

對使用大型接收視窗大小和大型頻寬延遲乘積的 TCP 連線而言,下一代 TCP/IP 堆疊中的複合 TCP (CTCP) 會監控頻寬延遲乘積、延遲變化和封包遺失來大量提高一次可傳送的資料量。CTCP 也可確保其行為不會對其他 TCP 連線造成負面影響。在 Microsoft 內部執行的測試中,每秒 1 GB 的連線與來回時間 50 毫秒的大型檔案備份時間幾乎減少了一半。使用更大的頻寬延遲乘積來連線可取得更高的效能。

接收視窗調整會最佳化接收端的輸送量,而 CTCP 則會最佳化傳送端的輸送量。結合兩者可為大型頻寬延遲乘積連線提高連結使用率,進而大量提升效能。

執行 Windows Server 2008 的電腦預設會啟用 CTCP,但執行 Windows Vista 的電腦預設會停用 CTCP。您可以使用 netsh interface tcp set global congestionprovider=ctcp 命令來啟用 CTCP,並使用 netsh interface tcp set global congestionprovider=none 命令來停用 CTCP。

ECN 支援

當 TCP 區段遺失時,TCP 會假設區段是因路由器阻塞而遺失,並執行阻塞控制以大幅降低 TCP 傳送者的傳輸速率。另外,因為明確阻塞通知 (Explicit Congestion Notification,ECN) 支援 (RFC 3168) 會同時在路由基礎結構中的 TCP 對等和路由器中運用,所以遭遇阻塞的路由器會在轉送封包時標示封包。收到已標示封包的 TCP 對等會降低其傳輸速率,以減輕阻塞並防止區段遺失。若在發生封包遺失之前偵測到阻塞,就可以提高 TCP 對等之間的整體輸送量。Windows Server 2008 和 Windows Vista 都支援 ECN,不過 ECN 預設為停用。您可以使用 netsh interface tcp set global ecncapability=enabled 命令來啟用 ECN 支援。

如需相關資訊,請參閱 TCP/IP 的明確阻塞通知 (Explicit Congestion Notification,ECN) (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg1006.mspx ]。

高遺失環境的增強功能

下一代 TCP/IP 堆疊支援下列 RFC,可最佳化高遺失環境中的輸送量:

  • RFC 2582:The NewReno Modification to TCP's Fast Recovery Algorithm (TCP 快速修復演算法的 NewReno 修改)

    NewReno 演算法可在資料視窗中的多個區段遺失,且傳送者收到部分通知 (只有成功收到部分資料的通知) 時,變更傳送者可提高其傳送速率的方式,以提供更快速的輸送量。

  • RFC 2883:An Extension to the Selective Acknowledgement (SACK) Option for TCP (TCP 選擇性通知 (SACK) 選項的延伸)

    在 RFC 2018 中定義的 SACK 可讓接收者最多指出四個不連續的已接收資料區塊。RFC 2883 定義 SACK TCP 選項中欄位的其他使用方式以識別重複的封包。如此可讓收到包含 SACK 選項 TCP 區段的接收者,判斷何時非必要地傳輸了區段,並調整其行為以防止未來重新傳輸這個區段。重新傳輸的次數越少,整體輸送量便會越高。

  • RFC 3517:A Conservative Selective Acknowledgment (SACK)-based Loss Recovery Algorithm for TCP (基於保守選擇性通知 (SACK) 的 TCP 遺失修復演算法)

    Windows Server 2003 和 Windows (R) XP 的 TCP/IP 實作只是為了使用 SACK 資訊來判斷哪些 TCP 區段未到達目的地。RFC 3517 定義了在收到重複通知時使用 SACK 資訊執行遺失修復的方法,並於連線啟用 SACK 時取代快速修復演算法。下一代 TCP/IP 堆疊會根據每個連線來追蹤 SACK 資訊,並監視傳入的通知和重複的通知。當目的地未收到多個區段時便可更加快速地復原。

  • RFC 4138:Forward RTO-Recovery (F-RTO):An Algorithm for Detecting Spurious Retransmission Timeouts with TCP and the Stream Control Transmission Protocol (SCTP) (使用 TCP 及資料流控制傳輸通訊協定 (SCTP) 來偵測偽造重新傳輸逾時的演算法)

    當來回時間 (RTT) 突然短暫增加時,可能發生 TCP 區段的偽造重新傳輸。F-RTO 演算法可避免 TCP 區段的偽造重新傳輸。F-RTO 演算法的結果特別針對 RTT 突然短暫增加的環境,例如當無線用戶端從一個無線存取點 (AP) 漫遊至另一個 AP 時,F-RTO 可避免發生不必要的區段重新傳輸,並能更快速地返回其正常傳送速率。

  • RFC 3042:Enhancing TCP's Loss Recovery Using Limited Transmit (使用有限傳輸增強 TCP 的遺失修復能力)

    運用有限傳輸後,當 TCP 有額外的資料要在連線中傳送,並已收到兩個連續的重複 ACK 時,如果接收者的已公告視窗允許傳輸額外的區段,且額外的區段所含資料在不在目前阻塞視窗的兩個區段內,則 TCP 便可在連線中傳送額外的區段。TCP 可傳送額外區段的能力,有助於確保能使用快速重新傳輸來偵測區段遺失,而非等待 RTO 計時器逾期。

如需這些增強功能的相關資訊,請參閱下一代 TCP/IP 堆疊中的效能增強功能 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg1105.mspx ]。

如需 TCP 連線、資料流程,以及重新傳輸和逾時行為的相關資訊,請參閱 Microsoft Press 出版的《Windows Server 2008 TCP/IP 通訊協定和服務》(英文) [ http://www.microsoft.com/MSPress/books/11630.aspx ]。

IPv4 的鄰居無法連線偵測

鄰居無法連線偵測是 IPv6 的功能,可允許節點追蹤鄰近的節點是否可以連線。當鄰近的節點突然無法連線時,可提供更佳的錯誤偵測與修復。下一代 TCP/IP 堆疊也會在位址解析通訊協定 (ARP) 快取中追蹤 IPv4 鄰居的可連線狀態,並對 IPv4 流量提供鄰居無法連線偵測支援。IPv4 的鄰居無法連線偵測功能會透過交換單點傳播 ARP 要求和 ARP 回覆訊息,或依賴如 TCP 等上層通訊協定來判斷連線能力。運用 IPv4 的鄰居無法連線偵測功能後,IPv4 型通訊便可判斷如路由器等鄰近節點是否無法再連線。

如需 IPv4 的鄰居無法連線偵測功能相關資訊,請參閱下一代 TCP/IP 堆疊中的效能增強功能 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg1105.mspx ]。

預設閘道變更的錯誤後回復支援

Windows Server 2003 和 Windows XP 之 TCP/IP 中的失效閘道偵測 (Dead Gateway Detection) 提供容錯移轉功能,但未提供錯誤後回復功能,後者是指再次嘗試失效閘道會以判斷它是否變成可用。下一代 TCP/IP 堆疊會定期嘗試透過先前偵測到的無法使用閘道來傳送 TCP 流量,藉此提供預設閘道變更的錯誤後回復支援。如果成功地透過先前的閘道傳送 TCP 流量,則下一代 TCP/IP 堆疊會將預設閘道切換回先前的預設閘道。對主要預設閘道的錯誤後回復支援可透過子網路上的主要預設閘道傳送流量,來提供更快速的輸送量。

PMTU 黑洞路由器偵測中的變更

在 RFC 1191 中所定義的路徑傳輸單元最大值 (PMTU) 探索仰賴從含有下一連結之 MTU 的路由器,來接收網際網路控制訊息通訊協定 (ICMP) 的 Destination Unreachable-Fragmentation Needed 和 Don't Fragment (DF) Set 訊息。不過,在某些情況下,中繼路由器會無訊息地捨棄無法分段的封包。這些類型的路由器稱為黑洞 PMTU 路由器。此外,中繼路由器可能會因已設定的封包篩選規則而捨棄 ICMP 訊息。結果是 TCP 連線可能逾時並終止,因為中繼路由器無訊息地捨棄了大型 TCP 區段、其重新傳輸,以及 PMTU 探索的 ICMP 錯誤訊息。

PMTU 黑洞路由器偵測會感測到正在重新傳輸的大型 TCP 區段,並自動為連線調整 PMTU,而非依賴 ICMP Destination Unreachable-Fragmentation Needed 和 DF Set 訊息的接收。在 Windows Server 2003 和 Windows XP 中使用 TCP/IP 時,PMTU 黑洞路由器偵測的預設值為停用,因為啟用此功能通常會產生誤判結果,如此會非必要地減少 MTU 並降低效能。

由於在路由器上使用封包篩選規則來捨棄 ICMP 流量的情形越來越多,下一代 TCP/IP 堆疊預設為啟用 PMTU 黑洞路由器偵測以防止 TCP 連線終止,並使用改善的 PMTU 黑洞路由器偵測方法。當 TCP 連線開始重新傳輸已設定 DF 旗標的完整大小區段時,便會在 TCP 連線中觸發 PMTU 黑洞路由器偵測。TCP 會將連線的 PMTU 重設為 536 個位元組,並在清除 DF 旗標後重新傳輸其區段。如此可維持 TCP 連線,不過 PMTU 大小可能會小於連線實際的 PMTU 大小。

此行為也適用於 IPv6 流量。針對 IPv6,如果偵測到 PMTU 黑洞路由器,則 PMTU 會設定為 1220 個位元組。

網路診斷架構支援

網路診斷架構是一種可延伸的架構,可協助使用者從網路連線問題中復原,並進行問題的疑難排解。針對 TCP/IP 型通訊,網路診斷架構會透過一連串用於排除可能原因的選項來提示使用者,直到識別出問題的根本原因或排除所有可能性為止。網路診斷架構可診斷的特定 TCP/IP 相關問題如下:

  • 不正確的 IP 位址

  • 預設閘道 (路由器) 無法使用

  • 不正確的預設閘道

  • 網路基本輸入/輸出系統 (NetBIOS) over TCP/IP (NetBT) 名稱解析失敗

  • 不正確的網域名稱系統 (DNS) 設定

  • 本機連接埠已在使用中

  • 未執行動態主機設定通訊協定 (DHCP) 用戶端服務

  • 沒有遠端接聽程式

  • 媒體中斷連線

  • 本機連接埠被封鎖

  • 記憶體不足

如需相關資訊,請參閱 Windows Vista 的網路診斷架構 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0706.mspx ] 和 Windows Vista 的網路診斷技術 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=1698e42b-03fd-4cd9-b568-d948de55b0f8&displaylang=en ]。

ESTATS 支援

下一代 TCP/IP 堆疊支援 "TCP Extended Statistics MIB" 網際網路草案 (draft-ietf-tsvwg-tcp-mib-extension-15.txt),該草案定義了 TCP 的延伸效能統計。透過分析連線中的 ESTATS,系統可以判斷連線的效能瓶頸是傳送應用程式、接收應用程式還是網路。ESTATS 預設為停用,且可針對個別連線啟用。運用 ESTATS 後,第三方獨立軟體廠商 (ISV) 可以建立強大的診斷和網路輸送量分析應用程式。在 Windows Vista SDK 中提供的 Tcpanalyzer.exe 是以 ESTATS 為基礎的診斷工具。

Windows 篩選平台上的新封包篩選模型

Windows 篩選平台 (WFP) 是下一代 TCP/IP 堆疊中的新架構,它提供了一些 API,使第三方 ISV 可參與在 TCP/IP 通訊協定堆疊多個層級和整個作業系統中進行的篩選決策。WFP 還可整合並支援下一代防火牆功能,例如已驗證的通訊,以及利用應用程式的 Windows Sockets API (應用程式型原則) 為基礎的動態防火牆設定。ISV 可以建立防火牆、防毒軟體、診斷軟體,以及其他類型的應用程式和服務。Windows Server 2008 和 Windows Vista 的 Windows 防火牆和 IPsec 使用 WFP API。

如需相關資訊,請參閱 Windows 篩選平台 (英文) [ http://msdn2.microsoft.com/en-us/library/aa366510.aspx ]。

IPv6 增強功能

下一代 TCP/IP 堆疊支援下列 IPv6 的增強功能:

  • 雙重 IP 層堆疊

    下一代 TCP/IP 堆疊支援雙重 IP 層架構,在該架構中 IPv4 和 IPv6 實作共用共同的傳輸 (包含 TCP 和 UDP) 和框架層。下一代 TCP/IP 堆疊預設啟用 IPv4 和 IPv6 兩者。不需要另外安裝單獨的元件,便可獲得 IPv6 支援。

  • 預設為啟用

    IPv6 在 Windows Server 2008 和 Windows Vista 中會依預設安裝並啟用。您可透過 [網路連線] 資料夾中網際網路通訊協定第 6 版 (TCP/IPv6) 元件的內容,或透過 netsh interface ipv6 內容中的命令來設定 IPv6 設定。

    Windows Server 2008 和 Windows Vista 的 IPv6 無法解除安裝,但可以停用。如需相關資訊,請參閱使用 Windows Vista 設定 IPv6 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0506.mspx ]。

  • GUI 型設定

    Windows Server 2008 和 Windows Vista 現在可讓您在 [網路連線] 資料夾中,透過一組對話方塊手動設定 IPv6,類似手動設定 IPv4 的方式。

    如需相關資訊,請參閱使用 Windows Vista 設定 IPv6 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0506.mspx ]。

  • Teredo 增強功能

    雖然會啟用 Windows Vista 的 Teredo 用戶端,但 Teredo 用戶端視電腦設定可能會處於使用中或非使用中狀態。

    Windows Server 2008 和 Windows Vista 的 Teredo 用戶端會使用 IANA 所指派的 2001::/32 首碼以及 Teredo 位址旗標欄位中的未使用位元,來協助避免 Teredo 位址的位址掃描。如需相關資訊,請參閱 Teredo 概觀 (英文) [ http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/teredo.mspx ]。

    Teredo 現在可針對網域成員電腦手動啟用,且只要有一個 Teredo 用戶端位於一或多個對稱式網路位址轉譯器 (NAT) 之後即可運作。對稱式 NAT 會根據 (輸出流量的) 外部目的位址,將相同內部 (私人) 位址和連接埠號碼對應至不同外部 (公用) 位址和連接埠。此新行為可讓 Teredo 在更大的網際網路連線主機組之間運作。

    如需 IPv6 和 Teredo 的相關資訊,請參閱使用 IPv6 和 Teredo (英文) [ http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/ipv6_teredo.mspx ]。

  • 整合式 IPsec 支援

    在 Windows Server 2008 和 Windows Vista 中,IPv6 流量的 IPsec 支援與 IPv4 的相同,包括網際網路金鑰交換 (IKE) 和資料加密的支援。具有進階安全性的 Windows 防火牆和 IP 安全性原則嵌入式管理單元,現在支援與 IPv4 流量使用的相同方式來設定 IPv6 的 IPsec 原則。例如,當您設定 IP 篩選器做為 IP 安全性原則嵌入式管理單元中 IP 篩選器清單中的一部分時,您便可以在指定特定來源或目的 IP 位址時,指定 IPv6 位址和位址首碼。

    如需相關資訊,請參閱 Windows Vista 和 Windows Server 2008 的新 Windows 防火牆 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx ]。

  • MLDv2

    在 RFC 3810 中指定的多點傳送接聽程式探索第 2 版 (Multicast Listener Discovery Version 2,MLDv2) 提供來源特定多點傳送流量的支援。MLDv2 相當於 IPv4 的網際網路群組管理通訊協定第 3 版 (IGMPv3)。

  • LLMNR

    連結本機多點傳送名稱解析 (Link-Local Multicast Name Resolution,LLMNR) 可讓單一子網路上的 IPv6 和 IPv4 主機,在沒有 DNS 伺服器的情況下互相解析彼此的名稱。此功能對單一子網路家用網路和臨機操作無線網路而言相當有用。如需相關資訊,請參閱連結本機多點傳送名稱解析 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg1106.mspx ]。

  • ipv6-literal.net 名稱支援

    Windows Vista 和 Windows Server 2008 支援使用 IPv6Address.ivp6-literal.net 名稱。ipv6-literal.net 名稱可用於無法辨識一般 IPv6 位址語法的服務或應用程式。

    若要在 ipv6-literal.net 名稱內指定 IPv6 位址,請將位址中的冒號 (:) 轉換成連字號 (-)。例如,以 IPv6 位址 2001:db8:28:3:f98a:5b31:67b7:67ef 為例,對應的 ipv6-literal.net 名稱為 2001-db8-28-3-f98a-5b31-67b7-67ef.ipv6-literal.net。若要指定區域識別碼 (也稱為範圍識別碼),請使用 "S" 取代用來將 IPv6 位址從區域識別碼隔開的 "%"。例如,若要指定目的地 fe80::218:8bff:fe17:a226%4,則名稱為 fe80--218-8bff-fe17-a226s4.ipv6-literal.net。

    您可以在通用命名慣例 (UNC) 路徑的電腦名稱部分中使用 ipv6-literal.net 名稱。例如,若要使用 2001:db8:28:3:f98a:5b31:67b7:67ef 的 IPv6 位址指定電腦的 Docs 共用,請使用 UNC 路徑 \\2001-db8-28-3-f98a-5b31-67b7-67ef.ipv6-literal.net\docs。

  • 透過 PPP 的 IPv6

    內建遠端存取用戶端和路由及遠端存取服務現在支援 IPv6 控制通訊協定 (IPV6CP) (如 RFC 2472 中所定義),可在點對點通訊協定 (PPP) 連結上設定 IPv6 節點。原生 IPv6 流量現在可透過 PPP 型連線傳送。例如,IPV6CP 支援可讓您透過撥號連線或透過可用於寬頻網際網路存取的 PPP 透過乙太網路 (PPPoE) 型連線,來與 IPv6 型網際網路服務提供者 (ISP) 連接。

    如需透過 PPP 的 IPv6 相關資訊,請參閱透過點對點通訊協定連結的 IPv6 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg1206.mspx ]。

  • IPv6 位址的隨機介面識別碼

    為了避免根據網路介面卡製造商的已知公司識別碼進行 IPv6 位址的位址掃描,Windows Server 2008 和 Windows Vista 依預設會為非暫存自動設定 IPv6 位址產生隨機介面識別碼,包括公用和連結本機位址。Windows XP 和 Windows Server 2003 會使用延伸唯一識別碼 (EUI)-64 型介面識別碼來自動設定的 IPv6 位址。

  • DHCPv6 支援

    Windows Server 2008 和 Windows Vista 包含具備 DHCPv6 能力的 DHCP 用戶端,能與 DHCPv6 伺服器一起執行可設定狀態的位址自動設定。Windows Server 2008 包含具備 DHCPv6 能力的 DHCP 伺服器。

    如需 DHCPv6 的相關資訊,請參閱 DHCPv6 通訊協定 [ http://www.microsoft.com/technet/technetmag/issues/2007/03/CableGuy/default.aspx ]。

如需 Windows Server 2008 和 Windows Vista 的 IPv6 變更相關資訊,請參閱 Windows Vista 和 Windows Server 2008 的 IPv6 變更 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg1005.mspx ]。

如需 Windows Server 2008 和 Windows Vista 中 IPv6 的相關資訊,請參閱 Microsoft Press 出版的《瞭解 IPv6 第二版》(英文) [ http://www.microsoft.com/MSPress/books/11607.aspx ]。

TCP Chimney 卸載

管理 TCP 連線涉及大量的處理程序,包括:

  • 剖析 TCP 標頭的欄位 (驗證 TCP 總和檢查碼,並處理序號和通知編號、TCP 旗標,以及來源和目的連接埠)。

  • 針對已接收的資料建立並傳送通知。

  • 分割傳送的資料。

  • 在接收視窗、傳送視窗和應用程式的記憶體位置之間複製資料。

  • 管理 TCP 重新傳輸行為的計時器。

藉由將此處理程序卸載至專用硬體,便可將伺服器電腦的 CPU 用於執行其他工作。Windows Server 2008 和 Windows Vista 的 TCP Chimney 卸載能以自動化、可設定狀態的方式,將所有 TCP 流量處理程序卸載至實作 TCP 卸載引擎 (TCP Offload Engine,TOE) 的特定網路介面卡。

具備 TOE 能力的網路介面卡會維持連線重要屬性的狀態 (例如 IP 位址、TCP 連接埠和區段序號),而非卸載個別工作。如此可讓網路介面卡執行 TCP 流量的所有處理程序,卻不會影響伺服器的 CPU。將 TCP Chimney 卸載用於含有大型封包裝載之長時間執行的連線時 (例如進行檔案備份和多媒體串流的 TCP 連線),卸載所有 TCP 處理程序的好處最為顯著。

藉由將這些 TCP 處理工作移至有 TOE 能力的網路介面卡,便可釋放伺服器的 CPU 並用於其他應用程式工作,例如支援更多使用者工作階段,或更快速地處理傳入的要求。

如需相關資訊,請參閱可擴充的網路:網路通訊協定卸載 - TCP Chimney 簡介 (英文) [ http://www.microsoft.com/whdc/device/network/TCP_Chimney.mspx ]。

網域名稱系統

Windows Server 2008 包含下列對網域名稱系統 (DNS) 伺服器服務的變更和增強功能:

  • 背景區域載入 裝載儲存在 Active Directory 網域服務中的大型 DNS 區域的 DNS 伺服器,可在重新啟動時更快速地回應用戶端查詢,因為區域資料現在已在背景中載入。

  • IPv6 支援 DNS 伺服器服務現在可提供 IPv6 和透過 IPv6 的 DNS 流量完整的正向和反向查閱支援。

  • 唯讀網域控制站 (RODC) 支援 Windows Server 2008 的 DNS 伺服器角色在 RODC 上提供主要唯讀區域。

  • 全域單一名稱 Windows Server 2008 的 DNS 伺服器服務提供新的區域類型,即 GlobalNames 區域,可用於儲存整個樹系中唯一的單一標籤名稱。GlobalNames 區域可針對未部署 WINS 以及不適合使用 DNS 名稱尾碼提供單一標籤名稱解析的大型企業網路,提供單一標籤名稱解析。如需相關資訊,請參閱 DNS 伺服器 GlobalNames 區域部署 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=1c6b31cd-3dd9-4c3f-8acd-3201a57194f1&displaylang=en ]。

如需 Windows Server 2008 的 DNS 支援相關資訊,請參閱 Windows Server 2008 技術文件庫中的 DNS 伺服器 (英文) [ http://technet2.microsoft.com/windowsserver2008/en/servermanager/dnsserver.mspx ] 和 Windows Server 2008 的 DNS 增強功能 [ http://www.microsoft.com/technet/technetmag/issues/2008/01/CableGuy/default.aspx ]。如需 Windows 的 DNS 支援相關資訊,請參閱 Microsoft DNS 網頁 (英文) [ http://www.microsoft.com/technet/network/dns/default.mspx ]。

服務品質

在 Windows Server 2003 和 Windows XP 中,服務品質 (QoS) 功能會透過 QoS API 提供給應用程式。使用 QoS API 的應用程式可存取排定優先順序的傳遞清單。Windows Server 2008 和 Windows Vista 內含可讓企業和家用網路管理網路流量的新功能。

企業網路原則為主的 QoS

在 Windows Server 2008 和 Windows Vista 中,QoS 原則可讓 IT 人員為傳出的網路流量排定優先順序或管理傳送速率,且可被限制在應用程式 (透過執行檔名稱或應用程式資料夾路徑)、來源和目的 IPv4 或 IPv6 位址、來源和目的 TCP 或 UDP 連接埠,以及連接埠範圍。QoS 原則設定是使用者設定或電腦設定群組原則的一部分,且使用群組原則物件編輯器進行設定,並透過群組原則管理主控台連結至 Active Directory 容器 (網域、網站和組織單位)。您可將 QoS 原則套用至屬於網域、網站或組織單位之成員的使用者或電腦,或在 Active Directory 容器內為安全性群組篩選 QoS 原則。

若要管理頻寬的使用,可為輸出流量設定含有節流閥速率的 QoS 原則。透過節流,QoS 原則可將彙總輸出網路流量限制為指定的速率。為了指定優先的傳遞,流量會以設定的區別服務代碼點 (DSCP) 值來標示。網路基礎結構中的路由器可將特別標示 DSCP 的封包放在不同佇列以進行區別傳遞。針對啟用 Wi-Fi 多媒體 (WMM) 的無線網路,DSCP 值會對應至 WMM 存取類別。DSCP 標示和節流可一起搭配使用,以更有效地管理流量。由於節流和優先順序標示是在網路層發生的,因此不需要修改應用程式。

進階原則為主的 QoS 設定可讓您透過指定 TCP 接收視窗的大小上限 (預設大小為 16 MB) 以及指定應用程式是否可設定 DSCP 值 (預設為允許),來間接控制傳入的 TCP 資料。進階 QoS 設定只適用於電腦設定群組原則。

如需 Windows Vista 和其他 Windows 版本的 QoS 支援相關資訊,請參閱服務品質網頁 (英文) [ http://www.microsoft.com/technet/network/qos/default.mspx ]。

家用網路的 qWave 和 QoS2 API

由於透過資料和音訊/視訊 (A/V) 應用程式共用家用網路的情形日益增多,您需要 QoS 解決方案來對資料流量中的時間相依 A/V 流量進行適當處理。此外,越來越多家用網路走向無線化,因而對具有延遲和頻寬敏感性的應用程式增添額外的複雜度。Windows Vista 支援高品質 Windows 音訊/視訊體驗 (qWave),這是 QoS 相關軟體元件的集合,可處理 A/V 應用程式和無線網路所帶來的網路挑戰。qWave 整合到網路堆疊中做為 QoS 子系統的一部分,並與多種網路和資料連結層封包優先順序技術搭配運作,以支援同時透過家用網路傳送多重 A/V 串流 (需要 QoS 的即時流量) 和資料流 (最佳效果流量,例如電子郵件或檔案傳輸),從而提供高品質的使用者體驗。

qWave 技術集合會偵測並監視 LAN 頻寬、探索家用網路的 QoS 能力,並提供分散式許可控制,以公平且一致地使用網路頻寬。這些技術運用了進階 A/V 串流技巧,使應用程式可動態調整以適合各種網路狀況。

如需 qWave 的相關資訊,請參閱高品質 Windows 音訊/視訊體驗 - qWave (英文) [ http://www.microsoft.com/whdc/device/stream/qWave.mspx ]。

伺服器訊息區 2.0

伺服器訊息區 (SMB) 也稱為 Common Internet File System (CIFS),是 Windows 型電腦預設使用的檔案共用通訊協定。Windows 包含 SMB 用戶端 (透過網路連線內容安裝的 Microsoft Windows 的用戶端元件) 和 SMB 伺服器 (透過網路連線內容安裝的 Microsoft Windows 的檔案及印表機共用元件)。Windows Server 2008 和 Windows Vista 之前 Windows 版本中的 SMB (稱為 SMB 1.0) 是在 15 年前,針對 Microsoft LAN Manager 和 Windows for Workgroups 等早期 Windows 型網路作業系統所設計,因而在先天上受其初始設計的限制。

Windows Server 2008 和 Windows Vista 的 SMB 也支援 SMB 2.0,此新版 SMB 已重新設計以符合現今網路環境與下一代檔案伺服器的需要。SMB 2.0 具有下列增強功能:

  • 支援在相同封包內傳送多個 SMB 命令。如此可減少在 SMB 用戶端與伺服器之間傳送的封包數,這是 SMB 1.0 常遭抱怨的問題。

  • 比 SMB 1.0 支援更大的緩衝區大小。

  • 提高通訊協定設計內的限制常數以獲得延展性。範例包括增加伺服器上同時開啟的檔案控制代碼數,以及伺服器可具有的檔案共用數。

  • 支援持久的控制代碼,可承受網路的短暫中斷。

  • 支援符號連結。

執行 Windows Server 2008 或 Windows Vista 的電腦同時支援 SMB 1.0 和 SMB 2.0。用於檔案共用作業的 SMB 版本會在 SMB 工作階段交涉期間確定。下表顯示用於各種不同用戶端和伺服器電腦組合的 SMB 版本。

用戶端

伺服器

使用的 SMB 版本

Windows Server 2008 或 Windows Vista

Windows Server 2008 或 Windows Vista

SMB 2.0

Windows Server 2008 或 Windows Vista

Windows XP、Windows Server 2003 或 Windows 2000

SMB 1.0

Windows XP、Windows Server 2003 或 Windows 2000

Windows Server 2008 或 Windows Vista

SMB 1.0

Windows XP、Windows Server 2003 或 Windows 2000

Windows XP、Windows Server 2003 或 Windows 2000

SMB 1.0

Http.sys 增強功能

Http.sys 是服務超文字傳輸通訊協定 (HTTP) 流量的核心模式驅動程式,它已在 Windows Server 2008 和 Windows Vista 中增強下列功能:

  • HTTP Server API 2.0

  • 伺服器端驗證

  • 記錄

  • HTTP 事件的 ETW 追蹤

  • Netsh 命令

  • 效能計數器

HTTP Server API 2.0

HTTP Server API 是核心模式 HTTP 通訊協定驅動程式,含可透過 Httpapi.dll 使用的使用者模式 API。HTTP Server API 可讓伺服器應用程式登錄 HTTP URL、接收要求,以及服務回應。HTTP Server API 包括:

  • 在 Windows 上用於原生 Windows 應用程式的簡易 HTTP 接聽程式功能。

  • 應用程式可使用 HTTP Server API 與 HTTP Server API 應用程式 (例如 Internet Information Services (IIS) 6.0) 共同存在,並共用 TCP 連接埠。如此可讓熱門的 Web 流量 TCP 連接埠 (例如 80 和 443) 同時由多個伺服器應用程式使用,只要它們是服務 URL 命名空間的不同部分即可。

  • 在與執行 HTTP/1.1 相容的 Windows 作業系統上執行的電腦的原生 HTTP 堆疊。

  • 用於設定 HTTP 伺服器的新 API:驗證、頻寬、節流、記錄、連線限制、伺服器狀態、503 回應、要求佇列、回應快取,以及 SSL 憑證繫結。如需相關資訊,請參閱使用 HTTP Server 2.0 版 API (英文) [ http://msdn2.microsoft.com/en-us/library/aa364703.aspx ]。

伺服器端驗證

Http.sys 現在透過 HTTP Server 2.0 API,為下列架構提供伺服器端驗證:Negotiate (Kerberos | NTLM)、NTLM、Basic 和 Digest。以前,伺服器應用程式必須實作其自己的驗證。提供給伺服器端驗證的 Http.sys 優點包括:

  • 伺服器應用程式能以權限較低的帳戶執行。

  • 支援 Kerberos 驗證的伺服器應用程式現在能以不同帳戶執行,不一定要使用與本機電腦之服務主要名稱 (Service Principle Name,SPN) 關聯的預設帳戶。使用 Http.sys 驗證的服務現在可支援 Kerberos 交互驗證,而不需要任何明確的 SPN 設定。

  • 無接縫 NTLM 驗證信號交換不會導致信號交換處理程序重新啟動。

記錄

Http.sys 現在透過 HTTP Server 2.0 API 提供記錄功能,支援的格式如下:W3C、集中式 W3C、NCSA、IIS 和集中式二進位記錄檔格式。在集中式記錄檔內,網站識別碼欄位可識別記錄項目所屬的網站。

IDNA 支援

Http.sys 現在支援主機名稱的國際化網域名稱 (IDN)。用戶端可要求使用 IDN 主機名稱的網站。Http.sys 可先將 IDN 主機名稱轉換成 Unicode,然後再傳遞至伺服器應用程式。針對主機名稱中用戶端所用的所有編碼格式,Http.sys 會根據 IDN in Applications (IDNA) 標準 (RFC 3490),執行主機名稱的檢查和正規化。

HTTP 事件的 ETW 追蹤

Windows 事件追蹤 (ETW) 是 Windows 用來取得元件和事件相關資訊的功能,該資訊通常會寫入記錄檔。ETW 記錄檔可使疑難排解問題變得容易許多。追蹤也可診斷端點對端點問題,並藉由活動識別碼指出跨作業的流程。Http.sys 支援下列類別的追蹤:

  • HTTP 要求和回應

  • SSL 和驗證交易

  • 記錄事件

  • 連線和連線計時器

  • 快取

  • 服務或應用程式安裝、設定或刪除內容

  • 以活動識別碼為基礎,包括跨其他啟用 ETW 的元件

針對每個追蹤類別,Http.sys 支援下列四個資訊層級:錯誤、警告、資訊,以及詳細資訊。Http.sys 追蹤可用來做為進階疑難排解工具,進而取得 Http.sys 處理程序和行為的相關資訊。

若要啟動 Http.sys 的 ETW 追蹤工作階段,請執行下列動作:

  1. 建立資料夾以儲存追蹤檔案。從這個資料夾建立名稱為 Httptrace.txt 的檔案來包含下列內容:

    "Microsoft-Windows-HttpService" 0xFFFF
  2. 使用下列命令啟動追蹤:

    logman start "http trace" -pf httptrace.txt -o httptrace.etl -ets
  3. 執行需要追蹤的步驟或測試。

若要停止 Http.sys 的 ETW 追蹤工作階段,請使用下列命令:

logman stop "http trace" -ets

Httptrace.etl 追蹤檔案現在應顯示在資料夾中。使用 Tracerpt.exe 工具可將此檔案轉換成 XML 格式、HTML 或 CSV 檔案。例如,若要將 Httptrace.etl 檔案的內容轉換成 CSV 檔案,請使用下列命令:

tracerpt httptrace.etl -y -o httptrace.csv

然後,CSV 檔案便可在文字編輯器或試算表應用程式中檢視。

Http.sys 的 Netsh 命令

您現在可透過 netsh http 內容中的一組命令,設定並控制 Http.sys 管理組態的診斷。Netsh 是許多其他 Windows 網路服務使用的命令列工具,例如 IPsec,以及路由及遠端存取。netsh http 內容中的命令會取代範例工具 Httpconfig.exe。您可以運用這項新支援在 Windows 命令提示字元執行下列動作:

  • 設定 SSL 憑證繫結、URL 保留項目、IP 接聽清單或通用逾時

  • 刪除或清除 HTTP 快取或記錄緩衝區

  • 顯示 Http.sys 服務或快取狀態

Http.sys 的效能計數器

Http.sys 現在具有下列效能計量計數器,可協助您進行網頁伺服器的監視、診斷和流量規劃:

  • HTTP 服務計數器

    • 快取中的URI 數量、自啟動後新增的URI 數量、自啟動後刪除的URI 數量 ,以及快取的清除次數

    • 快取點擊數/秒和快取遺失數/秒

  • HTTP 服務 URL 群組

    • 資料傳送速率、資料接收速率、已傳輸的位元組 (已傳送和已接收)

    • 最大連線數目、連線嘗試速率、GET 和 HEAD 要求的速率,以及要求總數

  • HTTP 服務要求佇列

    • 佇列中的要求數、佇列中等待最久的等待時間

    • 要求到達佇列中的速率、拒絕率、拒絕的要求總數、快取點擊速率

運用這些新的效能計數器,便可透過診斷主控台嵌入式管理單元來檢視計量,或透過效能計數器 API (英文) [ http://msdn2.microsoft.com/en-us/library/aa373083.aspx ] 來取得計量。

WinINet 增強功能

Windows Server 2008 和 Windows Vista 的 WinINet API 增強功能包括:

  • IPv6 常值和範圍識別碼支援

  • HTTP 解壓縮支援

  • 國際化網域名稱支援

  • ETW 追蹤支援

  • Web Proxy 自動探索指令碼的 IPv6 支援

IPv6 常值和範圍識別碼支援

WinINet 現在支援 RFC 3986,以及在 URL 中使用 IPv6 常值位址。例如,若要連線至位在 IPv6 位址 2001:db8:100:2a5f::1 的網頁伺服器,使用 WinINet 型網頁瀏覽器 (例如 Internet Explorer) 的使用者可輸入 http://[2001:db8:100:2a5f::1] 做為位址。雖然一般使用者可能不會使用 IPv6 常值位址,但對於應用程式開發人員、軟體測試者和網路疑難排解人員而言,在 URL 中指定 IPv6 位址的能力相當有價值。WinINet 還支援將 IPv6 範圍識別碼 (也稱為區域識別碼) 編碼視為位址的一部分,讓使用者指定 IPv6 目的地的範圍。如需相關資訊,請參閱 IP 第 6 版支援 (英文) [ http://msdn2.microsoft.com/en-us/library/aa385325.aspx ]。

HTTP 解壓縮支援

WinINet 現在包含 gzip 和 deflate 內容編碼架構的內建支援。在 WinINet 內處理解壓縮可減少網頁瀏覽器和網頁伺服器之間的資料壓縮/解壓縮問題,同時透過降低網頁下載時間來改善效能。如此可為使用低頻寬連線的使用者 (例如撥接網際網路使用者) 提供極大好處。如需相關資訊,請參閱內容編碼 (英文) [ http://msdn2.microsoft.com/en-us/library/aa383955.aspx ]。

國際化網域名稱支援

當您使用 WinINet API 的 Unicode 版本時,WinINet 現在符合主機名稱的國際化網域名稱 (IDN) 標準 (RFC 3490)。此項新支援可確保應用程式能在使用包含非 ASCII 字元的網域名稱時正確運作,而不需要 Web 應用程式中的 IDN 支援、安裝協力廠商外掛程式,或網路通訊路徑中的中繼節點。如需相關資訊,請參閱 WinINet 的 IDN 支援 (英文) [ http://msdn2.microsoft.com/en-us/library/aa384328.aspx ]。

ETW 追蹤支援

WinINet 現在支援 ETW 追蹤,可讓 IT 技術支援中心和支援專家取得 WinINet 處理程序和事件的詳細資訊,進而協助判斷通訊協定或應用程式的問題來源。藉由包含所有 WinINet 事件的識別碼,您可以使用識別碼來關聯來自相鄰網路層的追蹤,並建構跨整個網路堆疊的 ETW 追蹤鏈結。如需 ETW 追蹤的相關資訊,請參閱事件追蹤 (英文) [ http://msdn2.microsoft.com/en-us/library/aa363787.aspx ]。

Web Proxy 自動探索指令碼的 IPv6 支援

WinINet 所公開的 Web Proxy 自動探索 (Web Proxy Auto-Discovery,WPAD) 指令碼 Helper 函數已經過更新,並加入了對 IPv6 位址和子網路首碼的支援。使用 dnsResolve、myIpAddress、isInNet 和 isResolvable Proxy Helper API 的 WPAD 指令碼現在可從 WinINet 取得 IPv6 資訊。如需 WPAD 的相關資訊,請參閱 WinHTTP AutoProxy 支援 (英文) [ http://msdn2.microsoft.com/en-us/library/aa384240.aspx ]。

WinHTTP 增強功能

Windows Server 2008 和 Windows Vista 的 WinHTTP 5.1 API 更新包括:

  • 大於 4GB 的資料上載支援

  • 區塊傳送編碼支援

  • 安全通訊端層 (SSL) 型用戶端驗證的簽發者清單擷取支援

  • 選用的用戶端憑證要求支援

  • 4 Tuple 連線資訊指示支援

  • SSL 用戶端驗證的新錯誤碼

  • WPAD 指令碼的 IPv6 支援

大於 4GB 的資料上載支援

WinHTTP 現在允許應用程式新增 "Content-Length" 標頭來指定多達 264 個位元組的資料長度。

區塊傳送編碼支援

WinHTTP 現在允許應用程式為其資料執行「區塊」傳送編碼,並使用 WinHttpWriteData API 傳送資料。WinHTTP 將偵測 "Transfer-Encoding" 標頭是否存在,並進行內部調整以確認傳輸與 HTTP 1.1 規格相容。

安全通訊端層 (SSL) 型用戶端驗證的簽發者清單擷取支援

WinHTTP 現在允許應用程式擷取與用戶端驗證質詢關聯的簽發者清單。簽發者清單指定伺服器所授權之憑證授權 (CA) 清單以核發用戶端憑證。運用這項新的支援,WinHTTP 應用程式便可判斷用於用戶端驗證的正確用戶端憑證。

選用的用戶端憑證要求支援

某些安全 HTTP 網站會要求用戶端憑證,但並未將它視為必要。如果用戶端沒有用戶端憑證可回應要求,則伺服器可改為使用其他類型的 HTTP 驗證,或允許匿名存取。為了支援與此類伺服器設定的互通性,WinHTTP 現在允許應用程式提供 NULL 用戶端憑證來向伺服器指出它沒有安全通訊端層 (SSL) 驗證的用戶端憑證。

4 Tuple 連線資訊指示支援

在 WinHttpReceiveResponse API 完成之後,WinHTTP 現在允許應用程式查詢與產生回應之 HTTP 要求關聯的來源 IP/連接埠,以及目的 IP/連接埠。

SSL 用戶端驗證的新錯誤碼

WinHTTP 現在包含下列 SSL 用戶端驗證常見錯誤的錯誤碼:

  • 用戶端憑證沒有關聯的私人金鑰,這通常是由於匯入不含私人金鑰的用戶端憑證所導致。

  • 呼叫 WinHttpSendRequest 或 WinHttpReceiveResponse 的應用程式執行緒沒有權限可存取與所提供用戶端憑證關聯的私人金鑰。請確認私人金鑰的存取控制清單 (ACL) 可允許應用程式對其進行存取。

WPAD 指令碼的 IPv6 支援

WinHTTP 所公開的 WPAD 指令碼 Helper 函數已經過更新,並加入了對 IPv6 位址和子網路首碼的支援。現在使用 dnsResolve、myIpAddress、isInNet 和 isResolvable Proxy Helper API 的 WPAD 指令碼可從 WinHTTP 取得 IPv6 資訊。如需 WPAD 的相關資訊,請參閱 WinHTTP AutoProxy 支援 (英文) [ http://msdn2.microsoft.com/en-us/library/aa384240.aspx ]。

如需 Windows Server 2008 和 Windows Vista 的 WinHTTP 增強功能相關資訊,請參閱 Windows Server 2008 和 Windows Vista 的新功能 (英文) [ http://msdn2.microsoft.com/en-us/library/aa384085.aspx ] 和 WinHTTP 中的 SSL (英文) [ http://msdn2.microsoft.com/en-us/library/aa384076.aspx ]。

Windows Sockets 增強功能

Windows Sockets (Winsock) 支援已進行下列更新:

  • 新 Winsock API

  • Winsock 事件的 ETW 追蹤

  • 階層服務提供者增強功能

  • Winsock 網路診斷架構模組

  • 新核心模式通訊端 API

新 Winsock API

Windows Server 2008 和 Windows Vista 包含下列新的 Winsock API:

  • WSAConnectByName 根據目的主機的名稱,建立與指定目的地的連線。WSAConnectByName 會用名稱解析所傳回的所有目的位址,以及所有本機位址,然後使用成功機會最高的位址配對嘗試進行連線。傳輸層所提供的最佳配對演算法決定位址配對的順序。WSAConnectByName 會確保連線在最短的時間內建立 (如果可能)。

  • WSAConnectByList 根據目的 IP 位址清單,建立與指定目的地的連線。WSAConnectByList 會取得清單中 M 個位址和本機電腦的 N 個位址,並使用多達 M x N 個位址組合嘗試進行連線,最後才會確定無法連線。

  • WSASendMsg 從已連線和未連線的通訊端傳送資料和選用控制資訊。WSASendMsg 函數可用於取代 WSASend 和 WSASendTo 函數。

  • WSAPoll 決定一或多個通訊端的狀態。

如需有關這些新 API 的詳細資訊,請在 MSDN [ http://www.msdn.com/ ] 中搜尋 API 名稱。

Winsock 事件的 ETW 追蹤

以下是一些可使用 ETW 追蹤來追蹤的 Winsock 事件:

  • 通訊端建立

  • 繫結

  • 連接

  • 接受

  • 傳送

  • 接收

  • 中止指示

您可以使用下列工具啟用 Winsock 事件的 ETW 追蹤:

  • 事件檢視器嵌入式管理單元

  • Logman.exe 和 Tracerpt.exe 工具

若要使用事件檢視器嵌入式管理單元來啟用 Winsock 事件的 ETW 追蹤,請執行下列動作:

  1. 執行 [系統管理工具] 資料夾中的 [事件檢視器] 工具。

  2. 在事件檢視器嵌入式管理單元的樹狀目錄中,開啟 [應用程式記錄檔 (Application Logs)],然後開啟 [Microsoft-Windows-Winsock-AFD]

  3. 按一下 [Winsock/AFD] 項目。

  4. [動作 (Action)] 窗格中,按一下 [記錄內容 (Log Properties)]

  5. [記錄內容 (Log Properties)] 對話方塊中,按一下 [啟用記錄 (Enable Logging)],然後按一下 [確定 (OK)]

若要檢視事件,請在 [動作 (Action)] 窗格中,按一下 [重新整理 (Refresh)]。若要停用記錄,請在 [記錄內容 (Log Properties)] 對話方塊中清除 [Winsock/AFD] 項目的 [啟用記錄 (Enable Logging)] 核取方塊。

根據您需要檢視的事件多寡來決定是否增加記錄的大小。

若要使用 Logman.exe 工具來啟用 Winsock 事件的 ETW 追蹤,請使用下列命令:

logman create trace afdlog –o LogFileLocation
logman update afdlog –p “Microsoft-Windows-Winsock-AFD”
logman start afdlog

二進位記錄檔會寫入 LogFileLocation。若要將 Logman.exe 工具所寫入的二進位檔案轉換成可讀取的文字,請使用 Tracerpt.exe 工具。例如,使用下列命令:

tracerpt.exe c:\afdlog.etl –o afdlog.txt

若要停止記錄,請使用下列命令:

logman stop afdlog

階層服務提供者增強功能

Windows Server 2008 和 Windows Vista 的 Winsock 階層服務提供者 (LSP) 支援已增強下列功能:

  • LSP 的安裝和移除會記錄在系統事件日誌中以協助判斷哪些應用程式正在安裝 LSP,並疑難排解失敗的 LSP 安裝。若要檢視記錄在主控台視窗中的事件,請使用 netsh winsock audit trail 命令。

  • 軟體廠商可使用新的安裝 API (WSCInstallProviderAndChains) 來將 LSP 安裝到 Winsock 類別目錄中。使用一系列 Winsock 函數可手動安裝 LSP,但若未執行正確,則可能會導致 Winsock LSP 類別目錄處於不一致的狀態。使用這個新 API 可讓正在開發 LSP 的軟體廠商少寫數百行程式碼。

  • 有一些新功能可用於分類 LSP,並將大多數 LSP 從系統重要服務的處理路徑移除。這些新功能可為 Windows 提供更高的穩定性,並避免系統重要服務遭到不當設計的 LSP 影響。

  • 新的 netsh winsock remove provider Winsock_catalog_ID 命令可讓您移除單一 LSP。請使用這個命令而非 netsh winsock reset 命令,後者會將 Winsock 類別目錄重設到一個初始狀態。

  • 使用者可運用網路診斷架構的 Winsock 特定診斷模組,這個模組可讓您只移除導致問題的 LSP,並選擇性地修復 Winsock 類別目錄。

    如需網路診斷架構的相關資訊,請參閱 Windows Vista 的網路診斷架構 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0706.mspx ] 和 Windows Vista 的網路診斷技術 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=1698e42b-03fd-4cd9-b568-d948de55b0f8&displaylang=en ]。

新核心模式通訊端 API

Windows Server 2008 和 Windows Vista 的網路架構包含名為 Winsock Kernel (WSK) 的新介面。WSK 是新的獨立傳輸核心模式網路程式設計介面 (Network Programming Interface,NPI),適用於 TDI 用戶端。使用 WSK 後,核心模式軟體模組便可利用類似通訊端的程式設計語意 (類似於在使用者模式 Windows Sockets 2 API 中所支援的語意),來執行網路通訊。雖然 Windows Vista 的回溯相容性可支援 TDI,但仍應更新 TDI 用戶端以使用 WSK 達到最佳效能。

如需背景資訊,請參閱 WinSock Kernel (WSK) 簡介 (英文) [ http://blogs.msdn.com/wndp/archive/2006/02/24/538746.aspx ] 和使用 Winsock Kernel (WSK) 進行網路程式設計 (英文) [ http://blogs.msdn.com/wndp/archive/2006/05/04/Winhec_blog_wsk.aspx ]。如需 WSK API 資訊,請參閱 Winsock Kernel (英文) [ http://msdn2.microsoft.com/en-us/library/aa504179.aspx ]。

NDIS 6.0

未安裝 Service Pack 的 Windows Server 2008 和 Windows Vista 包含網路驅動程式介面規格 (NDIS) 6.0。NDIS 指定核心模式網路驅動程式和作業系統之間的標準介面。NDIS 也會指定分層網路驅動程式之間的標準介面,從較上層驅動程式 (例如網路傳輸) 取得管理硬體的較低層驅動程式。如需 NDIS 的相關資訊,請參閱 NDIS - 網路驅動程式介面規格 (英文) [ http://www.microsoft.com/whdc/device/network/ndis/default.mspx ]。

NDIS 6.0 包含下列功能:

  • 新卸載支援

  • 輕量型篩選驅動程式支援

  • 接收端調整

新卸載支援

NDIS 6.0 針對卸載網路流量處理功能至網路介面卡提供以下新的支援:

  • IPv6 流量卸載 Windows Server 2003 和 Windows XP 中的 NDIS 5.1 已支援 IPv4 流量處理的卸載。NDIS 6.0 現在支援 IPv6 流量處理的卸載。

  • 檢查值卸載支援 IPv6 現在可支援卸載 IPv6 流量的檢查值計算。

  • 大型傳送卸載第 2 版 NDIS 5.1 已支援大型區段卸載 (Large Segment Offload,LSO),其可為大小最多為 64 KB 的資料區塊卸載 TCP 資料分割。NDIS 6.0 中的大型傳送卸載第 2 版 (LSOv2) 可為大小超過 64 KB 的資料區塊卸載 TCP 資料分割。

輕量型篩選驅動程式支援

在 NDIS 6.0 中,中繼篩選驅動程式已被輕量型篩選 (LWF) 驅動程式所取代,後者是 NDIS 中繼驅動程式和迷你連接埠驅動程式的組合。LWF 驅動程式有下列優點:

  • 不再需要另外撰寫通訊協定和迷你連接埠。所有這些功能都包含在單一驅動程式內。

  • 改善的效能。

  • 略過模式讓 LWF 驅動程式只檢查選取的控制和資料路徑。

已轉換成 LWF 驅動程式的中繼篩選驅動程式範例是 Pacer.sys,先前稱為 Psched.sys。它具備相同的功能,不過還利用了 NDIS 6.0 所具有的效能改良優勢。如需包括範例在內的詳細資訊,請參閱 Windows Driver Kit (英文) [ http://www.microsoft.com/whdc/driver/WDK/aboutWDK.mspx ]。

接收端調整

在執行 Windows Server 2003 或 Windows XP 的多處理器電腦的架構中,網路介面卡與單一處理器相關聯。單一處理器必須處理網路介面卡所接收的所有流量,無論是否有其他可用的處理器。對高容量伺服器 (例如連接網際網路的網頁伺服器或企業檔案伺服器) 而言,這種架構導致的結果就是與網路介面卡關聯的處理器可服務的傳入流量和連線數都有限。如果與網路介面卡關聯的處理器無法以足夠快的速度來處理傳入流量,則網路介面卡便會捨棄流量,造成重新傳輸及效能降低的情形。

在 Windows Server 2008 和 Windows Vista 中,網路介面卡不是與單一處理器關聯。相反地,傳入流量的處理會分散到電腦上的所有處理器。這項新功能稱為接收端調整 (Receive-side Scaling),可讓高容量伺服器上的網路介面卡接收更多流量。多處理器電腦現在不需增加伺服器即可處理更多傳入流量,從而降低成本。若要運用此項新功能,您必須安裝可利用 Windows Server 2008 和 Windows Vista 中新架構的接收端調整相容網路介面卡。有許多網路介面卡廠商提供接收端調整相容網路介面卡。

如需相關資訊,請參閱使用 RSS 的可調整網路 (英文) [ http://www.microsoft.com/whdc/device/network/NDIS_RSS.mspx ]。

NDIS 6.1

Windows Server 2008 和 Windows Vista (含 SP1) 支援 NDIS 6.1,其包括下列功能:

  • 標頭-資料分割服務

  • 直接 OID 要求介面

  • IPsec 工作卸載第 2 版

  • NETDMA 更新

如需相關資訊,請參閱 NDIS 6.1 簡介 (英文) [ http://msdn2.microsoft.com/en-us/library/bb961651.aspx ]。

標頭-資料分割服務

標頭-資料分割服務可將已接收乙太網路框架中的標頭和資料分割至不同的緩衝區中,以改善網路效能。透過分隔標頭和資料,這些服務可將標頭一起收集到較小的記憶體區域中。如此單一記憶體頁面可納入更多標頭,且系統快取也可納入更多標頭。如此一來,驅動程式堆疊中記憶體存取的負荷便會降低。標頭-資料分割介面是選用服務,提供給有標頭-資料分割能力的網路介面卡。

直接 OID 要求介面

NDIS 6.1 提供直接 OID 要求介面,供 NDIS 6.1 和更新的驅動程式使用。直接 OID 要求路徑支援經常查詢或設定的 OID 要求。直接 OID 要求介面是 NDIS 驅動程式的選用項目。為了支援直接 OID 路徑,驅動程式會提供進入點,NDIS 則會為通訊協定、篩選和迷你連接埠驅動程式提供 NdisXxx 函數。

對 NDIS 6.1 而言,唯一使用直接 OID 要求介面的介面是 IPsec 卸載第 2 版 (IPsecOV2)。

IPsec 工作卸載第 2 版

IPsec 工作卸載會將 IPsec 網路資料處理的卸載服務提供給具備 IPsec 卸載能力的網路介面卡。NDIS 6.1 支援 IPsecOV2。IPsecOV2 可支援額外的密碼編譯演算法、IPv6,並與大型傳送承載 (LSO) 共同存在。IPsecOV2 使用 NDIS 6.1 直接 OID 要求介面。

NETDMA 更新

NETDMA 提供的服務可在接收網路封包時,將網路子系統所執行的記憶體複製作業卸載至專用 DMA 引擎。Windows Server 2008 和 Windows Vista (含 SP1) 支援 NETDMA 1.1 和 2.0 版。NETDMA 2.0 版支援更有效率的 DMA 設定和隨插即用功能。此外,在 Windows Server 2008 和 Windows Vista SP1 上,NETDMA 1.1 和 2.0 版會運用在更多實例和設定中。

網路覺察

對開發人員而言,建立可隨不斷改變之網路狀況自動調整的應用程式相當困難。Windows Vista 的網路覺察 API 可讓應用程式執行下列動作:

  • 向 Windows Vista 註冊,當與電腦連接的網路發生變更時收到通知。

    例如,使用者在工作地點將膝上型電腦置於待命模式,然後在無線網路作用點開啟它。在收到 Windows Vista 的網路變更警示後,應用程式就可自動自行設定,或採用不同的行為方式,以提供更順暢的使用者體驗。

  • 向 Windows Vista 查詢目前連接的網路特性,以判斷應用程式設定和行為。特性包括:

    • 連線能力 網路可能中斷連線、可能只提供區域網路的存取,或提供區域網路和網際網路的存取。

    • 連線 電腦可能透過一個或多個連線 (例如網路介面卡) 連線至網路。網路覺察 API 可讓應用程式判斷 Windows Vista 目前用來連接網路的連線。

    • 位置類型 (也稱為類別) 應用程式可針對 Windows Vista 網路位置類型自動自行設定。如需相關資訊,請參閱 Windows Vista 的網路位置類型 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0906.mspx ]。

開發人員可針對不同類型的連線能力、連線和網路位置類型增強其 Windows Vista 應用程式,而不必建立其自己的網路偵測元件。網路覺察 API 可讓開發人員著重在協助使用者瞭解網路連線的功能,而不是較低層網路判斷的細節。

如需網路覺察 API 的相關資訊,請參閱 Windows Vista 的網路覺察 (英文) [ http://msdn2.microsoft.com/en-us/library/ms697388.aspx ]。

Windows 對等網路增強功能

最初隨 Advanced Networking Pack for Windows XP 提供的 Windows 對等網路增強功能,是 Windows Vista 中可允許開發對等式 (P2P) 應用程式的作業系統平台元件和 API。Windows Vista 包含下列對 Windows 對等網路的增強功能:

  • 全新、容易使用的 API 在 Windows Vista 中已高度簡化用來存取 Windows 對等網路功能 (例如名稱解析、群組建立和安全性) 的 API,您可更輕易地為 Windows 建立 P2P 應用程式。

  • 新版 PNRP Windows Vista 包含對等名稱解析通訊協定 (PNRP) 的第 2 版,該版本具有更高的延展性,且使用較少的網路頻寬。針對 Windows Vista 中的 PNRP v2,Windows 對等網路應用程式可透過簡化的 PNRP API 來存取 PNRP 名稱發佈和解析功能。針對 Windows Vista 中經過高度簡化的 PNRP 名稱解析,PNRP 名稱現在已整合至 Getaddrinfo Windows Sockets 函數中。若要使用 PNRP 將名稱解析為 IPv6 位址,應用程式可使用 Getaddrinfo 函數來解析完整網域名稱 (FQDN) name.prnp.net,其中 name 是要解析的對等名稱。pnrp.net 網域是 Windows Vista 中用於 PNRP 名稱解析的保留網域。PNRP v2 通訊協定與 Advanced Networking Pack for Windows XP 隨附的 PNRP 第 1 版不相容。Microsoft 已發行 Windows XP 的 PNRP v2 升級,該程式可透過 Windows Update 或從 Microsoft 下載中心 [ http://www.microsoft.com/downloads/details.aspx?FamilyId=55219164-EC71-4A32-A648-4ED2582EBC7C ] 取得。如需 PNRP 的相關資訊,請參閱對等名稱解析通訊協定 (英文) [ http://technet.microsoft.com/en-us/library/bb726971(printer).aspx ]。

  • 近端分享 Windows Vista 的 Windows 對等網路新功能,可讓使用者動態探索本機子網路上的其他使用者。如需相關資訊,請參閱近端分享 (英文) [ http://technet.microsoft.com/en-us/library/bb726969(printer).aspx ]。

  • 連絡人管理和無伺服器狀態 對等網路可與 Windows 通訊錄整合,以提供長期連絡人管理的功能。使用者可透過互相交換 "Me" 連絡人檔案,將受信任連絡人加入 Windows 通訊錄。當使用者首次啟動協同基礎結構時,會自動建立 "Me" 連絡人檔案。它包含了識別使用者的資訊,且可讓他人用來防範詐騙並透過網際網路追蹤使用者的狀態。

  • 應用程式邀請 此新功能可讓應用程式邀請其他使用者參與協同作業活動。其他使用者可以是連絡人,或使用近端分享在本機子網路上探索到的使用者。當邀請被接受後,便會在受邀使用者的電腦上啟動應用程式,然後兩個應用程式便可開始共同運作。

  • Windows 會議空間 Windows Vista 包含 Windows 會議空間,此全新 P2P 型應用程式可讓使用者輕鬆建立會議、共用檔案、傳遞附註,以及將應用程式展現給群組。Windows 會議空間使用 Windows 對等網路功能。

  • Netsh 設定支援 您現在可以使用 netsh p2p 內容中的命令來設定 Windows 對等網路設定。

  • 群組原則設定支援 您現在可以從電腦設定\系統管理範本\網路\Microsoft 對等網路服務節點,使用群組原則來設定 Windows 對等網路設定。

Windows 防火牆

Windows Server 2008 和 Windows Vista 中全新的 Windows 防火牆,針對目前 Windows XP (含 Service Pack 2 和更新版本) 及 Windows Server 2003 (含 Service Pack 1 和更新版本) 中的 Windows 防火牆增強了下列功能:

  • 支援同時篩選傳入和傳出的流量

    網路系統管理員可以使用一組規則 (稱為 Windows XP (含 Service Pack 2 和更新版本) 及 Windows Server 2003 (含 Service Pack 1 和更新版本) 的 Windows 防火牆例外狀況) 來設定新的 Windows 防火牆,以封鎖所有傳送至特定連接埠的流量,例如病毒軟體使用的已知連接埠,或是封鎖傳送至含有敏感或不想要內容的特定位址。

  • 具有進階安全性 Microsoft Management Console (MMC) 嵌入式管理單元的新 Windows 防火牆,可支援圖形使用者介面 (GUI) 設定

    可從 [系統管理工具] 資料夾使用的具有進階安全性的全新 Windows 防火牆嵌入式管理單元,提供用於設定輸入和輸出流量之防火牆規則以及連線安全性規則的精靈。若要設定新 Windows 防火牆之進階設定的命令列設定,可以使用 netsh advfirewall 內容中的命令。

  • 已整合防火牆篩選和網際網路通訊協定安全性 (IPsec) 保護設定

    當使用具有進階安全性的 Windows 防火牆嵌入式管理單元時,可同時設定防火牆篩選和流量保護規則。

  • 規則 (例外狀況) 的進階設定

    防火牆篩選規則的設定選項包括三個不同的設定檔 (網域、公用和私人)、來源和目的 IP 位址、IP 通訊協定編號、來源和目的傳輸控制通訊協定 (TCP) 和使用者資料包通訊協定 (UDP) 連接埠、所有或多個 TCP 或 UDP 連接埠、特定介面類型、依類型和代碼的 ICMP 和 ICMP for IPv6 (ICMPv6) 流量、服務、保護狀態 (使用 IPsec 保護)、邊緣周遊,以及 Active Directory 帳戶的指定使用者和電腦。

不像 Windows Server 2003 (含 Service Pack 1) 和 Windows Server 2003 (含 Service Pack 2) 中的 Windows 防火牆,Windows Server 2008 的新 Windows 防火牆預設會啟動。

如需這些改良功能的相關資訊,請參閱 Windows Vista 和 Windows Server 2008 的新 Windows 防火牆 (英文)。[ http://www.microsoft.com/technet/community/columns/cableguy/cg0106.mspx ] 如需其他資訊,請參閱具有進階安全性的 Windows 防火牆簡介 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyId=DF192E1B-A92A-4075-9F69-C12B7C54B52B&displaylang=en ]。

IPsec 改良功能

Windows Server 2008 和 Windows Vista 包含下列對網際網路通訊協定安全性 (IPsec) 的改良功能:

  • 整合式防火牆和 IPsec 設定

  • 簡化的 IPsec 原則設定

  • 用戶端到 DC IPsec 保護

  • 改善的負載平衡和叢集伺服器支援

  • 改善的 IPsec 驗證

  • 新的密碼編譯支援

  • 與網路存取保護整合

  • 其他受保護通訊的設定選項

  • 整合式 IPv4 和 IPv6 支援

  • 延伸事件和效能監視器計數器

  • 網路診斷架構支援

整合式防火牆和 IPsec 設定

在 Windows Server 2003 和 Windows XP 中,Windows 防火牆和 IPsec 是必須分開設定的元件和服務。雖然 Windows 防火牆的目的是要封鎖或允許傳入的流量,不過您也可設定 IPsec 來封鎖或允許傳入的流量。由於封鎖和允許傳入流量的行為可透過兩種不同且分開的服務來設定,因此有可能會發生重複或衝突的設定。此外,Windows 防火牆和 IPsec 支援使用不同的設定選項來指定允許的傳入流量。例如,Windows 防火牆透過指定應用程式名稱來允許例外狀況 (允許輸入流量),但 IPsec 並非如此。IPsec 是根據 IP 通訊協定編號來允許例外狀況,但 Windows 防火牆並不是。

在 Windows Server 2008 和 Windows Vista 中,Windows 防火牆和 IPsec 設定已使用全新具有進階安全性的 Windows 防火牆嵌入式管理單元結合成單一工具,可同時控制傳統防火牆責任 (封鎖或允許輸入和輸出流量) 並以 IPsec 保護流量。結合防火牆和保護設定有助於避免衝突的規則。此外,還可使用 netsh advfirewall 內容中的命令,進行防火牆和 IPsec 行為的命令列設定。Windows 防火牆與 IPsec 的整合,可為執行 Windows Server 2008 或 Windows Vista 的電腦提供驗證防火牆。

簡化的 IPsec 原則設定

在 Windows Server 2003 和 Windows XP 中,如伺服器及網域隔離 (英文) [ http://www.microsoft.com/technet/itsolutions/network/sdiso/default.mspx ] 等許多案例中的 IPsec 原則設定,是由一組用於保護網路上大部分流量的規則,以及另一組用於受保護流量豁免的規則所組成。與網路基礎結構伺服器 (DHCP 和 DNS 伺服器) 以及網域控制站進行未受保護的通訊時,需要使用豁免。當電腦正在啟動時,必須可以取得 IP 位址,並使用 DNS 尋找網域控制站,然後在開始使用 Kerberos 驗證將本身驗證為 IPsec 對等前登入其網域。與沒有 IPsec 能力的網路節點進行通訊時,需要使用其他豁免。某些情況下可能會有數十或數百個例外狀況,這些例外狀況讓在企業網路上部署 IPsec 保護以及在一段時間後進行維護變得相當困難。

Windows Server 2008 和 Windows Vista 的 IPsec 在交涉 IPsec 保護時可提供選用的行為。如果啟用,在初始化與其他網路節點的通訊之後,執行 Windows Server 2008 或 Windows Vista 的 IPsec 節點將嘗試以平行方式在開放式和交涉保護的通訊中進行通訊。如果初始 IPsec 對等未收到對初始交涉嘗試的回應,便會繼續進行開放式通訊。如果初始 IPsec 對等收到對初始交涉嘗試的回應,則開放式通訊會持續到交涉完成為止,接著後續的通訊將會受到保護。

運用此選用行為和建議設定以要求保護輸入的初始通訊,並要求保護輸出的初始通訊時,初始節點便可探索目前正與其通訊的節點是否具有 IPsec 能力以及相應的行為。此新行為可大幅簡化 IPsec 原則設定。例如,初始節點不需要一組預先定義的 IPsec 篩選器,即可豁免一組不應或不能使用 IPsec 保護網路流量的主機。初始節點會以平行方式同時嘗試受保護和未受保護的流量,如果受保護的通訊不可行,則初始節點會使用未受保護的通訊。

此新的交涉行為也可以針對主機未受保護的連線改善效能。執行 Windows Server 2003 或 Windows XP 的 IPsec 節點若設定為要求受保護的通訊,但允許未受保護的通訊 (此行為稱為應變除障 (fallback to clear)),則該節點會傳送交涉訊息,然後等待回應。初始節點會等待 3 秒後才會應變除障,並嘗試進行未受保護的通訊。使用 Windows Server 2008 和 Windows Vista 時,應變除障不再有 3 秒的延遲,因為當初始節點正在等待回應時,開放式通訊便已在進行中。

注意

Windows Server 2003 和 Windows XP 的 IPsec 簡易原則更新 (機器翻譯) [ http://support.microsoft.com/default.aspx/kb/914841/en-us ] 中包含可簡化 IPsec 原則的新交涉行為。Windows Server 2003 Service Pack 2 和 Windows XP Service Pack 3 包含 Simple Policy Update。如需相關資訊,請參閱使用 Simple Policy Update 簡化 IPsec 原則 (英文) [ http://technet.microsoft.com/en-us/library/bb726975(printer).aspx ]。

用戶端到 DC IPsec 保護

針對 Windows Server 2003 和 Windows XP,Microsoft 不支援使用 IPsec 來保護網域控制站和成員電腦之間的流量 (但 Microsoft 支援保護網域控制站之間的流量)。這是由於在網域成員和網域控制站之間傳送的不同類型流量,可能會使 IPsec 原則設定變得非常複雜。此外,還存在加入網域問題。如果網域控制站從電腦 (必須提供網域型認證以供驗證) 要求 IPsec 保護的流量,則不是網域成員的電腦便無法連絡網域控制站以加入網域。這需要使用各種技術來進行初始電腦設定,例如設定單獨、未受保護的子網路以加入網域。

Windows Server 2008 和 Windows Vista 支援下列保護網域成員和網域控制站之間流量的部署模式:

  • 您可以在網域中設定 IPsec 原則來要求受保護的流量,但不將此視為必要。

    網域控制站會保護網域成員之間的大部分流量,但允許加入網域和其他類型的流量使用純文字。

  • 您可以設定 IPsec 原則,以針對網域控制站要求受保護的流量。

    網域控制站是使用 IPsec 設定來設定的,IPsec 設定允許使用 Windows NT/LAN Manager 第 2 版 (NTLM v2) 使用者認證進行驗證。當執行 Windows Server 2008 或 Windows Vista 的電腦嘗試加入網域時,會提示使用者輸入網域使用者帳戶的使用者名稱和密碼。網域控制站的 IPsec 保護會與 Windows NT/LAN Manager 第 2 版 (NTLM v2) 使用者認證交涉,以進行受保護的加入網域。此新行為只適用於執行 Windows Vista 或 Windows Server 2008 的網域成員電腦,或是執行 Windows Server 2008 的網域控制站。

有了新的交涉行為,您不必再為網域控制站設定豁免,因而簡化 IPsec 原則以及網域中的 IPsec 保護部署。

改善的負載平衡和叢集伺服器支援

Windows Server 2003 的 IPsec 支援負載平衡和叢集伺服器。不過,將 IPsec 連線重新建立至叢集虛擬 IP 位址的容錯移轉時間如下:

  • 叢集資源的管理移動一般為 3-6 秒。

  • 當叢集節點突然無法使用,或發生另一次連線突然遺失時,最多為 2 分鐘。兩分鐘的逾時包括一分鐘的 IPsec 閒置到期時間,以及一分鐘的重新交涉安全性關聯 (SA)。此過長的閒置時間可能導致與叢集的使用中 TCP 連線失敗。

在 Windows Server 2008 和 Windows Vista 中,叢集節點失敗逾時的情形已大幅減少。Windows Server 2008 和 Windows Vista 的 IPsec 已更緊密地整合至下一代 TCP/IP 堆疊中。Windows Server 2008 和 Windows Vista 的 IPsec 會監視已建立 SA 的 TCP 連線,而非依賴 IPsec 閒置逾時來偵測叢集節點失敗。如果已建立 SA 的 TCP 連線開始重新傳輸區段,則 IPsec 將會重新交涉 SA。如此會產生快速容錯移轉至新叢集節點的結果,且通常可及時避免應用程式失敗。

改善的 IPsec 驗證

Windows Server 2003 和 Windows XP 的IPsec 在主要模式交涉期間支援網際網路金鑰交換 (IKE),以及三種驗證方法:Kerberos (適用於 Active Directory 網域成員)、數位憑證,以及預先共用金鑰。這三種驗證方法的驗證處理程序都是驗證電腦的身分識別和信任度,而非電腦的使用者。IKE 只會嘗試使用單一驗證方法進行單一驗證。

Windows Server 2008 和 Windows Vista 支援下列對 IPsec 驗證的改良功能:

  • 要求 IPsec 對等以健康情況憑證進行驗證的能力

    當網路存取保護用戶端證明其健康狀態符合目前的系統健康需求時,便可透過健康情況登錄授權 (HRA) 取得健康情況憑證。如需網路存取保護平台的相關資訊,請參閱本文中的<網路存取保護>。

  • 在次要驗證期間指定使用者驗證或健康情況驗證的能力

    運用對已驗證網際網路通訊協定 (Authenticated IP,AuthIP) 的支援,Windows Server 2008 和 Windows Vista 的 IPsec 可允許對 IPsec 保護的通訊進行次要驗證。Windows Server 2008 和 Windows Vista 的 IPsec 可透過次要驗證執行其他層級的驗證,並以下列幾項為基礎:

    • 已登入使用者帳戶的 Kerberos 認證

    • 電腦帳戶的 NTLM v2 認證

    • 已登入使用者帳戶的 NTLM v2 認證

    • 使用者憑證

    • 電腦健康情況憑證

    例如,您可以使用主要驗證和 Kerberos 認證來驗證電腦,然後使用次要驗證和健康情況憑證來驗證電腦的健康狀態。無論有無主要驗證,都可以設定次要驗證。

  • 嘗試多個驗證方法

    在 Windows Server 2003 和 Windows XP 中您可以按照喜好設定順序,為主要模式 IPsec 驗證選取多個驗證方法。不過,只會使用一個驗證方法來驗證。如果已交涉驗證方法的驗證處理程序失敗,則主要模式會失敗,且無法執行 IPsec 保護。當您為執行 Windows Server 2008 或 Windows Vista 的電腦選取了多個驗證方法時,IPsec 會進行多次驗證嘗試以便執行交互驗證。例如,如果您指定使用特定憑證授權單位 (CA) 的電腦憑證來驗證,然後使用 Kerberos 驗證,則 IPsec 對等會在憑證驗證失敗時嘗試 Kerberos 驗證。

如需 IPsec 驗證改良功能的相關資訊,請參閱 Windows Vista 的 AuthIP (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0806.mspx ]。如需 AuthIP 的相關資訊,請參閱已驗證網際網路通訊協定 [ http://www.microsoft.com/technet/technetmag/issues/2007/10/CableGuy/default.aspx ]。

新的密碼編譯支援

為了因應政府的安全性需求,以及安全性產業中支援更強大密碼編譯的趨勢,Windows Server 2008 和 Windows Vista 可支援其他金鑰衍生和加密演算法。

Windows Server 2008 和 Windows Vista 支援下列額外的演算法,可交涉在主要模式交涉期間衍生的主要金鑰資料:

  • Diffie-Hellman (DH) 群組 19,這是使用 256 位元隨機曲線群組 (NIST 識別碼 P-256) 的橢圓曲線演算法。

  • DH 群組 20,這是使用 384 位元隨機曲線群組 (NIST 識別碼 P-384) 的橢圓曲線演算法。

這些方法比 Windows Server 2003 和 Windows XP (含 Service Pack 2 和更新版本) 所支援的 DH 演算法更強大。如需這些演算法的相關資訊,請參閱 RFC 4753。這些新的 DH 演算法無法用來和執行 Windows Server 2003、Windows XP 或 Windows 2000 的電腦進行主要模式交涉。

除了資料加密標準 (DES) 和三重資料加密標準 (3DES) 外,Windows Server 2008 和 Windows Vista 還支援下列其他資料加密演算法:

  • 具有加密區塊鏈結 (Cipher Block Chaining,CBC) 和 128 位元金鑰大小 (AES 128) 的進階加密標準 (AES)

  • 具有 CBC 和 192 位元金鑰大小 (AES 192) 的 AES

  • 具有 CBC 和 256 位元金鑰大小 (AES 256) 的 AES

這些新的加密演算法無法用來和執行 Windows Server 2003、Windows XP 或 Windows 2000 的電腦交涉 IPsec SA。

Windows Server 2008 和 Windows Vista SP1 也包含對 Suite B 的支援,Suite B 是來自美國國家安全局 (National Security Agency,NSA) 的標準,該標準定義了一組常用的密碼編譯演算法,以符合美國政府的需求。

為了支援 Suite B,Windows Server 2008 和 Windows Vista SP1 包含下列額外的完整性演算法以用於主要模式交涉:

  • 安全雜湊演算法 (SHA)-256

  • SHA-38

Windows Server 2008 和 Windows Vista SP1 包含下列完整性演算法,可以在使用驗證標頭 (AH) 或封裝安全承載 (ESP) 時提供資料完整性:

  • SHA-256

  • AES-Galois 訊息驗證碼 (GMAC)-128

  • AES-GMAC-192

  • AES-GMAC-25

Windows Server 2008 和 Windows Vista SP1 包含下列完整性演算法,可以在僅使用 ESP 時提供資料完整性和加密:

  • AES-Galois/計數器模式 (GCM)-128

  • AES-GCM-192

  • AES-GCM-256

Windows Server 2008 和 Windows Vista SP1 還包含下列驗證方法:

  • 具有橢圓曲線數位簽章演算法 (ECDSA)-P256 簽章的電腦憑證

  • 具有 ECDSA-P384 簽章的電腦憑證

這些新的完整性演算法和驗證方法可使用 netsh advfirewall 內容中的命令來設定。它們無法使用具有進階安全性的 Windows 防火牆或 IPsec 原則嵌入式管理單元來設定。

這些額外的 Suite B 完整性演算法和驗證方法無法用來和執行 Windows Server 2003、Windows XP 或 Windows 2000 的電腦交涉 IPsec SA。

如需 IPsec 的 Suite B 支援相關資訊,請參閱 RFC 4869。

與網路存取保護整合

您可以運用新的網路存取保護平台來要求 IPsec 節點使用健康情況憑證執行次要驗證,以確認 IPsec 節點符合目前的系統健康需求。在 IPsec 對等的健康狀態經過網路原則伺服器 (NPS) 評估之後,健康情況登錄授權便可取得 IPsec 對等的健康情況憑證。如需相關資訊,請參閱本文中的<網路存取保護>。

其他受保護通訊的設定選項

使用全新具有進階安全性的 Windows 防火牆嵌入式管理單元設定連線安全性規則時,可以指定下列額外設定:

  • 依應用程式名稱 這可大幅簡化受保護的流量設定,因為應用程式所用的連接埠不需要手動設定。

  • 所有或多個連接埠 您現在可在逗號分隔的清單中指定所有 TCP 或 UDP 連接埠,或多個 TCP 或 UDP 連接埠,從而簡化設定。

  • 針對數字範圍內的所有位址 您現在可以使用數字範圍 (例如 10.1.17.23 到 10.1.17.219),指定某個範圍內的 IP 位址。

  • 針對本機子網路上的所有位址 一組預先定義的位址,可動態對應至一組由 IPv4 位址和子網路遮罩或由 IPv6 本機子網路首碼所定義的位址。

  • 針對所有無線介面卡 您可以根據介面類型來保護流量,現在除了 LAN 和遠端存取外還包括無線。

  • 依 Active Directory 使用者或電腦帳戶 您可以指定有權初始化受保護通訊的電腦或使用者帳戶或群組清單。例如,您可以指定必須保護傳送至特定伺服器且包含敏感性資料的流量,且只能來自屬於特定 Active Directory 安全性群組之成員的使用者帳戶。

  • 依 ICMP 或 ICMPv6 類型或代碼值 您可以使用 ICMP 或 ICMPv6 訊息 [類型] 和 [代碼] 欄位的值,來指定 ICMP 或 ICMPv6 訊息。

  • 針對服務 您可指定將例外狀況套用至任何處理程序、僅套用於服務、依其服務名稱套用於特定服務,或者您也可輸入服務的短名稱。

整合式 IPv4 和 IPv6 支援

在 Windows XP 和 Windows Server 2003 中,IPv6 流量的 IPsec 支援是有限的。例如,不支援網際網路金鑰交換 (IKE) 或資料加密。IPsec 安全性原則、安全性關聯和金鑰必須透過文字檔來設定,並使用 Ipsec6.exe 命令列工具來啟動。

在 Windows Server 2008 和 Windows Vista 中,IPv6 流量的 IPsec 支援與 IPv4 的相同,包括 IKE 和資料加密的支援。IPv4 和 IPv6 流量的 IPsec 原則設定都是透過相同的方式,使用具有進階安全性的 Windows 防火牆或 IP 安全性原則嵌入式管理單元來設定。

延伸事件和效能監視器計數器

Windows Server 2008 和 Windows Vista 包含新的 IPsec 稽核特定事件,並以更有用的資訊來更新現有事件的文字。這些改良功能可協助您疑難排解失敗的 IPsec 交涉,而不必啟用進階 Oakley 記錄功能。

Windows Server 2008 和 Windows Vista 也包含 IPsec 效能計數器,可協助識別 IPsec 保護的流量之效能和網路問題。

網路診斷架構支援

網路診斷架構是一種可延伸的架構,可協助使用者從網路連線問題中復原,並進行問題的疑難排解。針對失敗的 IPsec 交涉,網路診斷架構會提供使用者識別和修正問題的選項。然後,網路診斷架構的 IPsec 支援會嘗試探索失敗連線的起源,並自動修正問題,或依據安全性考量提示使用者進行適當的設定變更。

如需網路診斷架構的相關資訊,請參閱 Windows Vista 的網路診斷架構 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0706.mspx ] 和 Windows Vista 的網路診斷技術 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=1698e42b-03fd-4cd9-b568-d948de55b0f8&displaylang=en ]。

無線和 802.1X 型有線連線

Windows Server 2008 和 Windows Vista 包含許多增強功能,可支援 IEEE 802.11 無線網路和使用 IEEE 802.1X 驗證交換器的網路。

IEEE 802.11 無線變更和增強功能

Windows Server 2008 和 Windows Vista 包括下列對 IEEE 802.11 無線支援的變更和增強功能:

  • 原生 Wi-Fi 架構

  • 無線連線的使用者介面改良功能

  • 無線群組原則增強功能

  • 無線自動設定的變更

  • WPA2 支援

  • FIPS 140-2 認證模式

  • 使用 802.1X 驗證時與網路存取保護整合

  • EAPHost 基礎結構

  • 802.11 無線診斷

  • 設定無線設定的命令列支援

  • 網路位置覺察和網路設定檔

  • 無線環境的下一代 TCP/IP 堆疊增強功能

  • 單一登入

如需其他資訊,請參閱 Windows Vista 的無線網路 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=eb958617-b3d3-42cf-a434-87ad81259fc6&displaylang=en ]。

原生 Wi-Fi 架構

在 Windows Server 2003 和 Windows XP 中,支援無線連線的軟體基礎結構是建造來仿效乙太網路連線的,且只能透過支援 IEEE 802.1X 驗證的其他 EAP 類型來延伸。在 Windows Server 2008 和 Windows Vista 中,802.11 無線連線的軟體基礎結構稱為原生 Wi-Fi 架構,它已經過下列重新設計:

  • IEEE 802.11 現在以與 IEEE 802.3 不同的媒體類型呈現在 Windows 內部。如此可讓獨立硬體廠商 (IHV) 更有彈性地支援 IEEE 802.11 網路的進階功能,例如比乙太網路更大的框架大小。

  • 原生 Wi-Fi 架構中的新元件可執行 802.11 連線的驗證、授權和管理,因而降低將這些功能納入無線網路介面卡驅動程式時對 IHV 造成的負擔。如此會使無線網路介面卡驅動程式的開發更為容易。在 Windows Server 2008 和 Windows Vista 中,IHV 必須開發較小的 NDIS 6.0 迷你連接埠驅動程式,該驅動程式會在其上緣公開原生 802.11 介面。

  • 原生 Wi-Fi 架構支援 API,可讓 ISV 和 IHV 延伸內建無線用戶端以獲得額外的無線服務和自訂能力。由 ISV 和 IHV 所撰寫的可延伸元件,也可提供自訂的設定對話方塊和精靈。

無線連線的使用者介面改良功能

無線設定使用者介面 (UI) 具有下列改良功能:

  • 整合至新網路和共用中心的無線設定 無線網路的連線能力已整合至 Windows Vista 的新 [網路和共用中心],而不是透過無線網路介面卡的內容使用。您可從 [網路和共用中心] 連線至無線網路、設定使用無線存取點 (AP) 的無線網路或臨機操作無線網路,以及管理您的無線網路。

  • 可為所有使用者或個別使用者設定無線網路 您現在可在 [管理無線網路] 資料夾中 (可從 [網路和共用中心] 找到),指定無線網路設定檔類型。這可讓您指定將新的無線網路 (稱為設定檔) 套用至電腦的所有使用者,或可設定為套用至特定使用者。只有在要套用設定檔的使用者登入電腦時,才會連接個別使用者無線設定檔。當使用者登出或切換至其他使用者時,便會與個別使用者設定檔中斷連線。

  • 可延伸的無線 UI 如本文中<原生 Wi-Fi 架構>一節中所述,自訂無線設定對話方塊或精靈可寫入或加入至內建 Windows 無線用戶端,以允許設定自訂 ISV 或 IHV 無線功能和能力。

  • 可設定非廣播無線網路 非廣播無線網路 (也稱為隱藏無線網路) 不會廣告其網路名稱,也稱為服務組識別元 (SSID)。非廣播無線網路的無線 AP 可設定為在 SSID 設為 NULL 的情況下傳送指標框架。此作法就是使用非廣播 SSID。在 Windows Server 2003 和 Windows XP 中,無法將慣用無線網路設定為非廣播,因為有時會在自動連線至慣用無線網路時產生混淆的行為,造成某些慣用無線網路為非廣播,某些則不是。針對執行 Windows XP (含 SP3)、Windows XP (含 SP2 和 Windows XP Service Pack 2 的無線用戶端更新 [ http://support.microsoft.com/?kbid=917021 ] ) 或 Windows Server 2003 (含 Service Pack 2) 的電腦,您現在可將慣用無線網路設定為非廣播網路。在 Windows Server 2008 和 Windows Vista 中,也可將慣用無線網路設定為非廣播網路。

  • 非廣播無線網路顯示為「未命名的網路」 在 Windows Vista 和 Windows Server 2008 的連線到網路精靈中,可用網路清單中的非廣播網路會以「未命名的網路」之名稱顯示。當連線至非廣播無線網路時,會提示您輸入非廣播無線網路的名稱。

  • 連線至不安全的無線網路時提示使用者 由於在不安全的無線網路上通訊所伴隨的風險,Windows Server 2008 和 Windows Vista 現在會在連線至不安全的無線網路時提示使用者,並允許他們確認連線嘗試。

  • 網路連線精靈列出無線網路介面卡所支援的安全性方法 Windows Server 2008 和 Windows Vista 的連線到網路精靈會擷取無線網路介面卡的安全性功能,並讓使用者可選取最強的安全性方法。例如,如果無線網路介面卡同時支援有線等位私密 (WEP) 和 Wi-Fi 保護的存取 (WPA),則連線到網路精靈可讓使用者選取 WPA 或 WEP 做為安全性方法。

如需新無線設定 UI 的相關資訊,請參閱使用 Windows Vista 連線至無線網路 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0406.mspx ]。

無線群組原則增強功能

在 Windows Server 2008 和 Windows Vista 中,無線群組原則設定 (位在群組原則嵌入式管理單元的電腦設定/Windows 設定/安全性設定節點中) 包括下列增強功能:

  • WPA2 驗證選項 Windows Server 2008 和 Windows Vista 的無線群組原則設定可讓您設定 WPA2 驗證選項:WPA2 (適用於 WPA2 Enterprise) 和 WPA2-PSK (適用於 WPA2 Personal)。若要為執行 Windows XP 的電腦設定 WPA2 驗證選項,必須安裝 Windows XP Service Pack 3 或 Windows XP Service Pack 2 和 Windows XP Service Pack 2 的無線用戶端更新 [ http://support.microsoft.com/?kbid=917021 ]。然後,必須從執行 Windows Vista 的電腦設定群組原則中的 WPA2 驗證設定。

  • 允許和拒絕的無線網路名稱清單 Windows Server 2003 和 Windows XP 的無線用戶端會在找不到任何慣用無線網路時,或是與偵測到之慣用無線網路的所有連線均失敗時,提示使用者連線至偵測到的無線網路。執行 Windows Server 2003 或 Windows XP 的無線用戶端電腦,無法設定為提示使用者只連線至特定無線網路,或永遠不提示使用者連線至特定無線網路。Windows Server 2008 和 Windows Vista 的無線群組原則設定,可讓您設定允許和拒絕的無線網路名稱清單。例如:

    • 使用允許的清單時,您可依名稱 (SSID) 指定一組允許 Windows Server 2008 或 Windows Vista 無線用戶端連線的無線網路。如果網路系統管理員希望組織的膝上型電腦連線至一組特定的無線網路,其中可能包括組織的無線網路和無線網際網路服務提供者,則此功能會很實用。

    • 使用拒絕清單時,您可依名稱指定一組不允許無線用戶端連線的無線網路。這可有效防止受管理的膝上型電腦連線至位在組織無線網路範圍內的其他無線網路 (例如組織佔據建築物的某個樓層,而相鄰樓層上還有其他組織的無線網路),或防止受管理的膝上型電腦連線至已知未受保護的無線網路。

  • 其他慣用無線網路設定 Windows Server 2008 的無線群組原則設定,可允許為慣用無線網路進行下列設定:

    • 快速漫遊設定 快速漫遊是 WPA2 無線網路的進階功能,可讓無線用戶端使用預先驗證和成對主鑰 (PMK) 快取,更快速地從一個無線 AP 漫遊至另一個。使用 Windows Server 2008 和 Windows Vista 時,可以透過無線群組原則設定來設定此行為。使用 Windows XP SP3 或 Windows XP SP2 和 Windows XP Service Pack 2 的無線用戶端更新 [ http://support.microsoft.com/?kbid=917021 ] 時,您可以透過 Windows XP (含 Service Pack 2) 的 Wi-Fi 保護的存取 2 (WPA2)/無線提供服務資訊元素 (WPS IE) 更新 (機器翻譯) [ http://support.microsoft.com/?id=893357 ] 中所述的登錄設定來控制此行為。

    • 非廣播無線網路 如本文的<無線連線的使用者介面改良功能>一節中所述,您可以在本機將慣用無線網路設定為非廣播無線網路。使用 Windows Server 2008 時,可以在無線群組原則設定中將慣用無線網路設定為非廣播網路。

    • 自動或手動連線 使用 Windows XP Service Pack 3、Windows XP Service Pack 2、Windows Server 2003 Service Pack 1、Windows Server 2008 和 Windows Vista 時,可以在慣用無線網路之內容的 [連線] 標籤中,將慣用無線網路設定為自動 (預設值) 或手動連線。使用 Windows Server 2008 的無線群組原則設定時,可以將慣用無線網路設定為自動或手動連線。

如需相關資訊,請參閱 Windows Vista 的無線群組原則設定 [ http://www.microsoft.com/technet/technetmag/issues/2007/04/CableGuy/default.aspx ]。

如需有關如何延伸 Windows Server 2003 Active Directory 環境的配置,以支援 Windows Vista 的無線和有線群組原則增強功能的資訊,請參閱 Windows Vista 無線和有線群組原則增強功能的 Active Directory 配置延伸 (英文) [ http://technet.microsoft.com/en-us/library/bb727029(printer).aspx ]。

無線自動設定的變更

無線自動設定服務可根據您的喜好設定或預設設定,動態選取電腦會自動連線的無線網路。這包含當慣用的無線網路變為可用時,自動選取和連線至慣用的無線網路。Windows Server 2008 和 Windows Vista 包含下列無線自動設定的變更:

  • 沒有慣用無線網路可用時變更行為

    在 Windows XP 和 Windows Server 2003 中,如果慣用無線網路無法連線,且無線用戶端設定為防止自動連線至不在慣用清單中的無線網路 (預設值),則無線自動設定會建立隨機無線網路名稱,並將無線網路介面卡置於基礎結構模式。不過,隨機無線網路並沒有安全性設定,因此可能會讓惡意使用者利用隨機無線網路名稱連線至無線用戶端。Windows XP SP3 及 Windows XP SP2 (搭配 Windows XP Service Pack 2 的無線用戶端更新) [ http://support.microsoft.com/?kbid=917021 ] 已透過使用隨機名稱和安全性設定 (由 128 位元隨機加密金鑰和無線網路介面卡所支援的最強加密方法所組成) 來設定無線網路介面卡,並藉此修改此行為。此新行為有助於防止惡意使用者使用隨機無線網路名稱連線至無線用戶端。

    執行 Windows Server 2008 或 Windows Vista 的電腦,如果使用專為 Windows Vista 設計的已更新無線驅動程式,則無線自動設定會藉由將無線網路介面卡駐留在被動接聽模式,來移除此弱點。在駐留時,無線網路介面卡將不會傳送隨機網路名稱或任何其他名稱的探查要求框架,且惡意使用者無法連線至無線用戶端。大部分的無線網路驅動程式已針對 Windows Vista 進行更新。如果您使用專為 Windows XP 設計的無線網路介面卡驅動程式,則執行 Windows Vista 或 Windows Server 2008 的電腦將使用具有安全性設定的隨機無線網路名稱。

  • 非廣播無線網路的新支援

    在 Windows XP 和 Windows Server 2003 中,無線自動設定會嘗試將已設定的慣用無線網路與廣播其網路名稱的無線網路比對。如果沒有任何可用網路符合慣用無線網路,則無線自動設定會傳送探查要求以判斷排序清單中的慣用網路是否為非廣播網路。此行為的結果是即使非廣播網路在慣用清單中的位置高於廣播網路,廣播網路還是會在非廣播網路之前先連線。另一個結果是 Windows XP 或 Windows Server 2003 無線用戶端會在傳送探查要求時,廣告其慣用無線網路清單。針對執行 Windows XP (含 SP3)、Windows XP (含 SP2 和 Windows XP Service Pack 2 的無線用戶端更新) 或 Windows Server 2003 (含 SP 2) 的電腦,您現在可將慣用無線網路設定為非廣播網路。

    在 Windows Server 2008 和 Windows Vista 中,您可以將無線網路設定為廣播 (無線網路名稱包含在無線 AP 所傳送的指標框架中) 或非廣播 (指標框架包含設為 NULL 的無線網路名稱)。無線自動設定現在會按照慣用網路清單順序嘗試連接無線網路,而不管網路為廣播或非廣播。由於無線網路現在明確標示為廣播或非廣播,因此 Windows Server 2008 或 Windows Vista 無線用戶端只會針對非廣播無線網路傳送探查要求。

WPA2 支援

Windows Server 2008 和 Windows Vista 包含設定 WPA2 驗證選項的內建支援,且可使用標準設定檔 (本機設定的慣用無線網路) 和網域設定檔 (透過群組原則設定) 進行設定。WPA2 是透過 Wi-Fi Alliance 使用的產品憑證,可以將無線設備認證為與 IEEE 802.11i 標準相容。Windows Server 2008 和 Windows Vista 的 WPA2 支援 WPA2-Enterprise (IEEE 802.1X 驗證) 和 WPA2-Personal (預先共用金鑰驗證) 操作模式。

Windows Server 2008 和 Windows Vista 也為臨機操作模式無線網路 (未使用無線 AP 之無線用戶端之間的無線網路) 提供 WPA2 支援。

FIPS 140-2 認證模式

Windows Server 2008 和 Windows Vista (含 Service Pack 1) 支援聯邦資訊處理標準 (FIPS) 140-2 認證模式中的 AES 的加密。FIPS 140-2 是美國政府的電腦安全性標準,該標準指定密碼編譯模組的設計和實作需求。Windows Server 2008 和 Windows Vista (含 Service Pack 1) 已通過 FIPS 140-2 認証。當您啟用 FIPS 140-2 認證模式時,Windows Server 2008 或 Windows Vista (含 Service Pack 1) 會在軟體中執行 AES 加密,而非依賴無線網路介面卡。您可以使用 netsh wlan set profileparameter 命令,以及透過無線群組原則中無線網路設定檔的進階安全性設定,啟用 FIPS 140-2 認證模式。

使用 802.1X 驗證時與網路存取保護整合

使用 802.1X 驗證的 WPA2-Enterprise、WPA-Enterprise 和動態 WEP 連線可利用網路存取保護平台,來防止不符合系統健康需求的無線用戶端無限制地存取內部網路。如需網路存取保護平台的相關資訊,請參閱本文中的<網路存取保護 (NAP)>。

EAPHost 基礎結構

為了更容易為 IEEE 802.1X 驗證的無線連線開發可延伸驗證通訊協定 (EAP) 驗證方法,Windows Server 2008 和 Windows Vista 支援新的 EAPHost 基礎結構。如需相關資訊,請參閱本文中的<EAPHost 架構>。

新預設 EAP 驗證方法

在 Windows Server 2003 和 Windows XP 中,802.1X 驗證無線連線的預設 EAP 驗證方法是 EAP-傳輸層安全性 (TLS)。雖然最安全的驗證形式採用的是含數位憑證的交互驗證,但 EAP-TLS 需要公開金鑰基礎結構 (PKI) 來散佈、撤銷或更新使用者和電腦憑證。

在許多情況下,組織會希望利用帳戶名稱,以及已存在於 Active Directory 中的密碼型驗證基礎結構。因此,在 Windows Server 2008 和 Windows Vista 中,802.1X 驗證無線連線的預設 EAP 驗證方法已變更為受保護 EAP-Microsoft Challenge Handshake 驗證通訊協定第 2 版 (PEAP-MS-CHAP v2)。PEAP-MS-CHAP v2 是密碼型 802.1X 驗證方法,適用於只要求將電腦憑證安裝在遠端驗證撥入使用者服務 (RADIUS) 伺服器上的無線連線。如需 PEAP-MS-CHAP v2 的相關資訊,請參閱使用 PEAP-MS-CHAP 第 2 版進行安全密碼型無線存取 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0702.mspx ]。

無線連線的診斷支援

雖然在 Windows XP Service Pack 3 和 Windows Server 2003 Service Pack 2 中已提升疑難排解失敗無線連線的能力,但仍然相當困難。在 Windows Server 2008 和 Windows Vista 中,已透過下列功能使無線連線的疑難排解變得更容易:

  • 無線連線支援新網路診斷架構 網路診斷架構是可延伸的架構,可協助使用者從網路連線問題中復原,並進行問題的疑難排解。針對失敗的無線連線,網路診斷架構會提供使用者識別和修正問題的選項。然後,網路診斷架構的無線支援會嘗試探索失敗連線的起源,並自動修正問題,或依據安全性考量提示使用者進行適當的設定變更。

    如需網路診斷架構的相關資訊,請參閱 Windows Vista 的網路診斷架構 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0706.mspx ] 和 Windows Vista 的網路診斷技術 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=1698e42b-03fd-4cd9-b568-d948de55b0f8&displaylang=en ]。

  • 儲存在 Windows 事件日誌中的新資訊 針對失敗的無線連線嘗試,Windows Server 2008 和 Windows Vista 的無線元件會將連線嘗試的詳細資訊記錄在 Windows 事件日誌中。當無線診斷無法解決問題,或是可以解決問題但無法透過變更無線用戶端設定來修正問題時,組織內部的支援專業人員可使用這些事件記錄來執行進一步的疑難排解。Windows 事件日誌中的資訊可縮短解決無線連線支援問題所需的時間。此外,網路系統管理員可使用 Microsoft Operations Manager 或其他類型的集中管理工具,自動收集這些事件日誌項目,然後進行分析以瞭解趨勢和無線基礎結構設計的變更。

  • 無線診斷追蹤 為了執行詳細的分析,Microsoft 或您的支援專家需要深入的相關資訊,包括電腦的狀態和 Windows 中的無線元件,以及它們在問題發生時的互動情況。您可以在 Windows Vista 和 Windows Server 2008 中使用無線診斷追蹤取得此資訊。若要使用無線診斷追蹤,必須啟動追蹤、重現問題、停止追蹤,然後收集追蹤報告。若要啟動無線診斷追蹤,請使用 netsh wlan set tracing mode=yes 命令。若要停止無線診斷追蹤,請使用 netsh wlan set tracing mode=no 命令。若要檢視追蹤報告,請在可靠性和效能監視器嵌入式管理單元的主控台樹狀目錄中,依序開啟 [報告 (Reports)]、[系統 (System)] 和 [網路診斷 (Wireless Diagnostics)]。如需 Windows Vista 之網路診斷功能的其他資訊,請參閱 Windows Vista 的無線網路 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=eb958617-b3d3-42cf-a434-87ad81259fc6&displaylang=en ]。

  • 可將資訊傳送給 Microsoft 以供分析和改善 系統也會提示遇到無線連線問題的使用者,透過 Windows 錯誤報告 (WER) 基礎結構將連線資訊傳送給 Microsoft 以供分析。此外,還可透過軟體品質標準 (SQM) 基礎結構 (在 Windows XP 中也稱為客戶經驗改進計畫),將成功的診斷傳送給 Microsoft。在這兩種情況下,都只會傳送無線網路診斷資訊 (不會傳送有關電腦和使用者的任何個人資訊)。Microsoft 將使用此資訊來識別無線連線失敗的主要根本原因、識別新的無線連線問題及其原因,以及採取適當動作來改善 Windows 的無線用戶端軟體,或與無線廠商共同合作以加強無線硬體產品。

設定無線設定的命令列介面

Windows Server 2003 或 Windows XP 並未提供可讓您設定無線設定的命令列介面,該無線設定可從 [網路連線] 資料夾中的無線對話方塊,或透過無線網路 (IEEE 802.11) 原則群組原則設定來使用。無線設定的命令列設定有助於在下列情況下部署無線網路:

  • 不使用群組原則之無線設定的自動化指令碼支援 無線網路 (IEEE 802.11) 原則群組原則設定只適用於 Active Directory 網域。在沒有 Active Directory 或群組原則基礎結構的環境中,自動化無線連線設定的指令碼能以手動或自動方式執行,例如做為登入指令碼的一部分。

  • 將無線用戶端啟動 (Bootstrap) 到受保護組織的無線網路上 非網域成員的無線用戶端電腦無法連線至組織的受保護無線網路。此外,電腦在成功連線至組織的安全無線網路之前,無法加入網域。命令列指令碼會提供可讓電腦連線至組織的安全無線網路以加入網域的方法。

    如需將 Windows Vista 無線用戶端加入網域的相關資訊,請參閱將 Windows Vista 無線用戶端加入網域 (英文) [ http://technet.microsoft.com/en-us/library/bb727033(printer).aspx ]。

您可以在 Windows Server 2008 和 Windows Vista 中,使用 netsh wlan 內容中的 Netsh 命令執行下列動作:

  • 將所有無線用戶端設定儲存在具名設定檔中,包括一般設定 (要存取的無線網路類型)、802.11 設定 (SSID、驗證類型、資料加密類型),以及 802.1X 驗證設定 (EAP 類型及其設定)。

  • 指定無線設定檔的單一登入設定。

  • 啟用或停用 FIPS 140-2 認證模式。

  • 指定允許和拒絕的無線網路名稱清單。

  • 指定慣用無線網路的順序。

  • 顯示無線用戶端的設定。

  • 從無線用戶端移除無線設定。

  • 在無線用戶端之間移轉無線組態設定。

如需相關資訊,請參閱無線區域網路 (wlan) 的 Netsh 命令 [ http://technet2.microsoft.com/WindowsVista/en/library/f435edbe-1d50-4774-bae2-0dda33eaeb2f1033.mspx?mfr=true ]。

網路覺察和網路設定檔

許多應用程式沒有網路覺察功能,因而造成客戶混淆及開發人員的負荷。例如,應用程式無法根據目前的連接網路和狀況,自動調整其行為。使用者可能必須根據其所連接的網路 (其員工的私人網路、使用者的家用網路、網際網路),重新設定應用程式設定。若要消除此設定負荷,應用程式開發人員可使用低階 Windows API、資料建構,或甚至探查網路本身,以判斷目前的網路並據此調整其應用程式的行為。

為了提供作業系統基礎結構,以讓應用程式開發人員更容易根據目前連接的網路重新設定應用程式行為,Windows Server 2008 和 Windows Vista 的網路覺察 API 會將網路資訊提供給應用程式,並讓它們可輕易且有效地調整為適合不斷改變的環境。網路覺察 API 可讓應用程式取得最新的網路資訊,以及位置變更通知。

如需網路覺察 API 的相關資訊,請參閱 Windows Vista 的網路覺察 (英文) [ http://msdn2.microsoft.com/en-us/library/ms697388.aspx ]。

無線環境的下一代 TCP/IP 堆疊增強功能

如本文的<高遺失環境的增強功能>一節中所述,下一代 TCP/IP 堆疊包含對新 TCP 演算法的支援,該演算法會透過從單一和多重封包遺失復原並偵測偽造重新傳輸,以最佳化輸送量,因而改善無線網路環境的效能。

單一登入

單一登入可讓網路系統管理員指定使用者層級 IEEE 802.1X 驗證在使用者登入處理程序之前發生。此功能解決了特定設定中的網域登入問題。單一登入也可簡化無線驗證,並將其與 Windows 登入體驗緊密地整合。

網路系統管理員可使用 netsh wlan set profileparameter 命令,或新的無線群組原則設定,在無線用戶端電腦上設定單一登入設定檔。設定單一登入以在使用者登入處理程序之前執行使用者層級 802.1X 驗證,可避免發生與群組原則更新、登入指令碼執行、虛擬 LAN 切換,以及無線用戶端加入網路相關的問題。如需相關資訊,請參閱無線單一登入 [ http://www.microsoft.com/technet/technetmag/issues/2007/11/CableGuy/default.aspx ]。

如需使用單一登入設定檔將 Windows Vista 無線用戶端加入網域的範例,請參閱將 Windows Vista 無線用戶端加入網域 (英文) [ http://technet.microsoft.com/en-us/library/bb727033(printer).aspx ]。

IEEE 802.1X 型有線連線增強功能

在 Windows Server 2003 和 Windows XP 中,僅對部署有線連線的 802.1X 驗證設定至驗證交換器提供有限的支援。Windows Server 2008 和 Windows Vista 包含下列增強功能,可更輕易地部署 802.1X 驗證的有線連線:

  • 有線 802.1X 設定的群組原則支援

  • 設定有線 802.1X 設定的命令列介面

  • 使用 802.1X 驗證時與網路存取保護整合

  • EAPHost 基礎結構

  • 單一登入

  • 802.1X 服務狀態的變更

有線 802.1X 設定的群組原則支援

針對使用 Active Directory 和群組原則的環境,Windows Server 2008、Windows Vista 和 Windows XP Service Pack 3 在電腦設定/Windows 設定/安全性設定/有線網路 (IEEE 802.3) 原則底下,為有線連線的 802.1X 驗證設定提供群組原則支援。

設定有線 802.1X 設定的命令列介面

針對未使用 Active Directory 或群組原則的環境,或是針對加入網域案例,Windows Server 2008 和 Windows Vista 也支援用於設定有線連線之 802.1X 驗證設定的命令列介面。您可以使用 netsh lan 內容中的命令執行下列動作:

  • 將所有有線用戶端設定儲存在具名設定檔中,其中包括 802.1X 驗證設定 (EAP 類型及其設定)

  • 指定有線設定檔的單一登入設定

  • 顯示有線用戶端的設定

  • 從有線用戶端移除有線設定

  • 匯入有線設定檔以在有線用戶端之間移轉有線設定

如需相關資訊,請參閱無線區域網路 (wlan) 的 Netsh 命令 [ http://technet2.microsoft.com/WindowsVista/en/library/f435edbe-1d50-4774-bae2-0dda33eaeb2f1033.mspx?mfr=true ]。

如需使用有線設定檔將 Windows Vista 有線用戶端加入網域的相關資訊,請參閱將 Windows Vista 有線用戶端加入網域 (英文) [ http://technet.microsoft.com/en-us/library/bb727031(printer).aspx ]。

使用 802.1X 驗證時與網路存取保護整合

IEEE 802.1X 驗證的有線連線可利用網路存取保護平台,來防止不符合系統健康需求的有線用戶端無限制地存取私人網路。如需網路存取保護平台的相關資訊,請參閱本文中的<網路存取保護>。

EAPHost 基礎結構

為了更容易開發 IEEE 802.1X 驗證之有線連線的 EAP 驗證方法,Windows Server 2008 和 Windows Vista 支援新的 EAPHost 基礎結構。如需相關資訊,請參閱本文中的<EAPHost 架構>。

單一登入

Windows Server 2008 和 Windows Vista (含 Service Pack 1) 支援有線連線的單一登入。網路系統管理員可使用 netsh lan set profileparameter 命令,或新的無線群組原則設定,在有線用戶端電腦上設定單一登入設定檔。設定單一登入以在使用者登入處理程序之前執行使用者層級 802.1X 驗證,可避免發生與群組原則更新、登入指令碼執行、虛擬 LAN 切換,以及無線用戶端加入網路相關的問題。

如需使用單一登入設定檔將 Windows Vista 無線用戶端加入網域的範例,請參閱將 Windows Vista 無線用戶端加入網域 (英文) [ http://technet.microsoft.com/en-us/library/bb727033(printer).aspx ]。

802.1X 服務狀態的變更

在 Windows XP 和 Windows Server 2003 中,有線連線的 802.1X 服務預設為啟用,但會置於被動接聽模式,電腦在此模式下不會嘗試連絡交換器。在 Windows Vista 中,有線連線的 802.1X 服務 (稱為有線自動設定服務) 依預設會將啟動類型設為 [手動],不過當它啟動後會以主動接聽模式運作,電腦在此模式下會嘗試連絡交換器。

若要取得 LAN 連線之內容的 [驗證] 索引標籤以設定 802.1X 設定,必須先啟動有線自動設定服務。

針對個別的 Windows Vista 或 Windows Server 2008 型有線用戶端,可以使用服務嵌入式管理單元來啟動有線自動設定服務,並將它設定為自動啟動。針對 Active Directory 網域的群組原則物件,可透過電腦設定/Windows 設定/安全性設定/系統服務/有線自動設定,設定為自動啟動。

如需如何部署 Windows 型無線和有線用戶端的相關資訊,請參閱 Microsoft Press 出版的《Windows Server 2008 網路和網路存取保護 (NAP)》(英文) [ http://www.microsoft.com/MSPress/books/11160.aspx ]。

網路基礎結構

Windows Server 2008 和 Windows Vista 包含下列網路基礎結構之元件和服務的變更:

  • 網路存取保護

  • 網路原則伺服器

  • 新的 EAPHost 架構

  • 遠端存取和 VPN 連線增強功能

  • DHCP 增強功能

網路存取保護

Windows Server 2008、Windows Vista 和 Windows XP (含 Service Pack 3) 的網路存取保護 (NAP) 是新的平台和解決方案,可根據用戶端電腦的身分識別及與企業管理原則的相容性,控制對網路資源的存取。NAP 可讓網路系統管理員根據用戶端身分、用戶端所屬的群組,以及用戶端與企業管理原則的相容程度,定義細微的網路存取層級。如果用戶端不相容,NAP 會提供一個機制以自動將用戶端引導回相容,然後動態地提高其網路存取層級。

系統管理員可結合使用原則驗證和網路存取限制元件,以控制網路存取或通訊。系統管理員也可選擇暫時限制不符合需求之電腦對限制網路的存取。視所選的設定而定,限制的網路可能包含更新不相容電腦所需的資源,以便使電腦可符合無限制之網路存取和一般通訊的健康需求。NAP 包含可讓開發人員和廠商建立健康情況原則驗證、網路存取限制、自動補救和持續健康情況原則相容性之完整解決方案的 API 集。

如需 Windows XP 的 NAP 支援相關資訊,請參閱網路存取保護 (NAP) 部落格 (英文) [ http://blogs.technet.com/nap/archive/tags/Downlevel%20OS%20Support/default.aspx ]。

NAP 強制方法

Windows Server 2008、Windows Vista 和 Windows XP (含 Service Pack 3) 包含下列 NAP 強制方法:

  • IPsec 運用 IPsec 強制,可限定只有相容的電腦可在您的網路上通訊。用戶端和伺服器電腦可封鎖所有來自不相容電腦的通訊。在相容的電腦已成功連線並取得有效 IP 位址設定後,IPsec 強制會限定只有這些電腦可進行通訊。IPsec 強制是 NAP 中限制網路存取的最強形式。

  • IEEE 802.1X 運用 802.1X 強制,網路原則伺服器 (NPS) 可指示 802.1X 型存取點 (乙太網路交換器或無線 AP) 將限制存取設定檔放在 802.1X 用戶端上,直到該用戶端執行一組健康情況補救函數為止。限制存取設定檔可能包含一組 IP 封包篩選或虛擬 LAN 識別碼,以限定 802.1X 用戶端的流量。802.1X 強制可為所有透過 802.1X 連線存取網路的電腦,提供強式的限制網路存取。如需 NPS 的相關資訊,請參閱本文中的<網路原則伺服器>。

  • VPN 運用 VPN 強制,VPN 伺服器可在每次電腦嘗試與網路建立 VPN 連線時,強制健康情況原則需求。VPN 強制可為所有透過 VPN 連線存取網路的電腦,提供強式的限制網路存取。NAP 的 VPN 強制與網路存取隔離控制 (Network Access Quarantine Control) 不同,網路存取隔離控制是 Windows Server 2003 的功能。

  • DHCP 運用 DHCP 強制,DHCP 伺服器可在每次電腦嘗試在網路上租用或更新 IP 位址設定時,強制健康情況原則需求。DHCP 強制依賴限制存取 IPv4 位址設定和 IPv4 路由表項目來進行 NAP 強制。

  • TS 閘道 運用 TS 閘道強制,TS 閘道伺服器可在每次電腦嘗試連線時,強制健康情況原則需求。

運用 NAP API,第三方軟體廠商可建立其自己的 NAP 強制方法。

如需 NAP 平台的相關資訊,請參閱網路存取保護網頁 (英文) [ http://technet.microsoft.com/en-us/network/bb545879.aspx ]。

如需如何部署 NAP 的相關資訊,請參閱 Microsoft Press 出版的《Windows Server 2008 網路和網路存取保護 (NAP)》(英文) [ http://www.microsoft.com/MSPress/books/11160.aspx ]。

網路原則伺服器

在 Windows Server 2008 中,網路原則伺服器 (NPS) 是遠端驗證撥入使用者服務 (RADIUS) 伺服器和 Proxy 的 Microsoft 實作。NPS 取代了 Windows Server 2003 中的網際網路驗證服務 (IAS)。NPS 可針對 VPN 和 802.1X 型無線和有線連線,執行 Windows Server 2003 之 IAS 的所有功能,並可執行健康情況評估以及授與 NAP 用戶端的無限制或限制存取。

NPS 也支援透過 IPv6 傳送 RADIUS 流量,如 RFC 3162 中所指定。

如需相關資訊,請參閱網路原則伺服器 [ http://www.microsoft.com/technet/technetmag/issues/2007/12/CableGuy/default.aspx ]。

新的 EAPHost 架構

Windows Server 2008 和 Windows Vista 包含 EAPHost,它是可延伸驗證通訊協定 (EAP) 驗證方法和 EAP 型要求者的新架構。EAPHost 提供下列 Windows Server 2003 和 Windows XP 的 EAP 實作不支援的功能:

  • 支援其他 EAP 方法 EAPHost 支援其他熱門的 EAP 方法。

  • 網路探索 EAPHost 支援如 RFC 4284 中所定義的網路探索。

  • RFC 3748 相容性 EAPHost 符合 EAP 狀態機器 (EAP State Machine),並解決了一些在 RFC 3748 中指出的安全性弱點。此外,EAPHost 可支援如擴充 EAP 類型 (包括廠商特定 EAP 方法) 等其他功能。

  • EAP 方法並存 EAPHost 允許相同 EAP 方法的多個實作同時並存。例如,可以安裝和選取 PEAP 的 Microsoft 版本及 PEAP 的 Cisco Systems, Inc. 版本。

  • 模組化要求者架構 除了支援模組化 EAP 方法,EAPHost 還支援模組化要求者架構,在該架構中可輕易地新增要求者,而不必取代 Windows 的整個 EAP 架構。

EAPHost 針對已為 Windows Server 2003 和 Windows XP 開發 EAP 方法的廠商提供支援,並提供更方便的方法讓廠商開發 Windows Server 2008 和 Windows Vista 的新 EAP 方法。認證的 EAP 方法可透過 Windows Update 來散佈。EAPHost 還允許以更佳的方式分類 EAP 類型,以便內建 802.1X 和 PPP 型 Windows 要求者可使用它們。

針對要求者方法廠商,EAPHost 為模組化和插入式要求者提供新連結層的支援。由於 EAPHost 已與 NAP 整合,因此新要求者不必可覺察 NAP。若要參與 NAP,新要求者只需要登錄連線識別元,以及通知要求者重新驗證的回呼函數。

針對網路系統管理員,EAPHost 提供可用的新 EAP 方法,並為 802.1X 驗證的連線提供更健全且更具彈性的基礎結構。

如需 EAPHost 的相關資訊,請參閱 Windows 中的 EAPHost [ http://www.microsoft.com/technet/technetmag/issues/2007/05/CableGuy/default.aspx ]。

遠端存取和 VPN 連線增強功能

Windows Server 2008 的遠端存取和 VPN 連線包含下列增強功能:

  • 安全通訊端通道通訊協定 (Secure Socket Tunneling Protocol,SSTP) SSTP 是新的 VPN 通訊協定,可在遠端存取 VPN 用戶端和 VPN 伺服器之間使用 HTTP over SSL 工作階段,來交換封裝式 IPv4 或 IPv6 封包。SSTP 型遠端存取 VPN 連線使用 TCP 連接埠 443,且可在大部分防火牆、NAT 和 Proxy 伺服器之間順暢地運作。在 VPN 用戶端上,SSTP 可使用連線管理員手動進行設定。在 VPN 伺服器上,必須以伺服器驗證或多用途增強金鑰使用方法 (EKU) 內容安裝電腦憑證。執行 Windows Vista (含 Service Pack 1) 或 Windows Server 2008 的 VPN 用戶端支援 SSTP。如需相關資訊,請參閱安全通訊端通道通訊協定 (英文) [ http://www.microsoft.com/technet/technetmag/issues/2007/06/CableGuy/default.aspx ] 和路由及遠端存取服務部落格 (英文) [ http://blogs.technet.com/rrasblog/archive/tags/SSTP/default.aspx ]。

  • 遠端存取 VPN 連線的 VPN 強制 內建的 VPN 用戶端和路由及遠端存取新增了一些元件,以在 NAP 平台中支援 VPN 強制。如需相關資訊,請參閱本文中的<網路存取保護>。

  • IPv6 支援 內建的遠端存取用戶端和路由及遠端存取現在支援透過點對點通訊協定 (PPP) 的 IPv6,如 RFC 2472 中所定義。原生 IPv6 流量現在可透過 PPP 型連線傳送。例如,這可讓您透過撥號連線或透過可用於寬頻網際網路存取的 PPP over Ethernet (PPPoE) 型連線,來與 IPv6 型網際網路服務提供者 (ISP) 連接。內建的遠端存取用戶端和路由及遠端存取,也可支援 IPv6 型 IPsec 上加第二層通道通訊協定 (L2TP/IPsec) VPN 連線。其他 IPv6 支援包括 DHCPv6 轉接代理、IPv6 型靜態封包篩選,以及透過 IPv6 的 RADIUS 流量。如需相關資訊,請參閱經過 VPN 連線的 IPv6 流量 [ http://www.microsoft.com/technet/technetmag/issues/2007/07/CableGuy/default.aspx ]。

  • 修訂的連線建立精靈 這個新的精靈提供設定撥號連線、寬頻網際網路和 VPN 連線的簡化方法。

  • 更新的 Winlogin 支援 可讓協力廠商存取提供者插入其連線,以在使用者登入期間自動建立遠端存取連線。

  • 連線管理員系統管理組件的多重地區設定支援 允許在任何地區的伺服器上建立連線管理員設定檔,以安裝在執行 Windows Vista 或 Windows XP 之任何其他地區的用戶端上,如此可簡化連線管理員系統管理組件 (CMAK) 型用戶端管理。

  • 連線管理員用戶端支援 DNS 動態更新 連線管理員用戶端現在支援使用 DNS 動態更新,來登錄 DNS 名稱和 IP 位址。

  • 新的密碼編譯支援 L2TP/IPsec 型 VPN 連線現在支援使用 128 和 256 位元金鑰的進階加密標準 (AES)。對較差的密碼編譯演算法 (用於 PPTP 的 40 和 56 位元 Microsoft 點對點加密 (MPPE),以及用於 L2TP/IPSec 的 DES 與訊息摘要 5 (MD5)) 的支援已依預設停用。若要針對 PPTP 型連線啟用 40 和 56 位元 MPPE,請將 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowPPTPWeakCrypto 登錄值 (DWORD) 設為 1,然後重新啟動電腦。若要針對 L2TP/IPSec 連線啟用 DES 與 MD5,請將 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\AllowL2TPWeakCrypto 登錄值 (DWORD) 設為 1,然後重新啟動電腦。

  • 驗證通訊協定的變更 PPP 型連線不再支援 SPAP、EAP-MD5-CHAP 和 MS-CHAP 驗證通訊協定。遠端存取 PPP 型連線現在支援使用具有 PEAP-MS-CHAP v2 和 PEAP-TLS 之受保護的 EAP (PEAP)。

  • 對 L2TP/IPsec 型 VPN 連線執行額外的憑證檢查 VPN 用戶端電腦依預設會對 VPN 伺服器的電腦憑證欄位執行額外的分析,以協助偵測攔截式攻擊。該分析包括確認 VPN 伺服器之電腦憑證的 [主體別名] 或 [主體] 欄位,與 VPN 伺服器的名稱或 IP 位址相同,如同 [網路連線] 資料夾中 VPN 連線內容的 [一般] 索引標籤所指定,以及確認憑證中包含伺服器驗證增強金鑰使用方法 (EKU)。您可在 VPN 用戶端上透過 [IPsec 設定] 對話方塊停用此額外的憑證檢查,該對話方塊可在 [網路連線] 資料夾中 VPN 連線內容的 [網路] 索引標籤上找到。

  • 支援網路診斷架構 用戶端型連線支援網路診斷架構的基本診斷功能。

    如需網路診斷架構的相關資訊,請參閱 Windows Vista 的網路診斷架構 (英文) [ http://www.microsoft.com/technet/community/columns/cableguy/cg0706.mspx ] 和 Windows Vista 的網路診斷技術 (英文) [ http://www.microsoft.com/downloads/details.aspx?FamilyID=1698e42b-03fd-4cd9-b568-d948de55b0f8&displaylang=en ]。

DHCP 增強功能

DHCP 伺服器和 DHCP 用戶端服務包含下列增強功能:

  • IPv6 動態主機設定通訊協定 (Dynamic Host Configuration Protocol for IPv6,DHCPv6) 支援 在 RFC 3315 中所定義的 DHCPv6,可為原生 IPv6 網路上的 IPv6 主機提供可設定狀態的位址設定。Windows Vista 和 Windows Server 2008 的 DHCP 用戶端服務支援 DHCPv6。執行 Windows Vista 或 Windows Server 2008 的電腦,可在原生 IPv6 網路上執行 DHCPv6 可設定狀態和無狀態的設定。Windows Server 2008 的 DHCP 伺服器服務,支援 DHCPv6 可設定狀態 (包括位址和組態設定兩者) 和無狀態 (僅限組態設定) 的操作。

    如需 DHCPv6 的相關資訊,請參閱 DHCPv6 通訊協定 [ http://www.microsoft.com/technet/technetmag/issues/2007/03/CableGuy/default.aspx ]。

  • 網路存取保護強制支援 網路存取保護 (NAP) 平台中的 DHCP 強制,會要求 DHCP 用戶端在接收位址設定以進行無限制的存取前,先證明其系統健康狀態。如需相關資訊,請參閱本文中的<網路存取保護>。

如需相關資訊,請參閱 Microsoft Windows DHCP 小組部落格 (英文) [ http://blogs.technet.com/teamdhcp/ ]。

技術移除

下列技術的支援已從 Windows Server 2008 和 Windows Vista 移除:

  • 頻寬配置通訊協定 (BAP)

  • X.25

  • 序列線路介面通訊協定 (Serial Line Interface Protocol,SLIP)

    SLIP 型連線會自動被更新至 PPP 型連線。

  • 非同步傳輸模式 (ATM)

  • IP over IEEE 1394

  • NWLink IPX/SPX/NetBIOS 相容傳輸通訊協定

  • Services for Macintosh (SFM)

  • 路由及遠端存取中的先開啟最短的路徑 (OSPF) 路由通訊協定元件

  • 路由及遠端存取中的基本防火牆 (由 Windows 防火牆所取代)

  • 路由及遠端存取的靜態 IP 篩選器 API (由 Windows 篩選平台 API 所取代)

  • PPP 型連線的 SPAP、EAP-MD5-CHAP 和 MS-CHAP (也稱為 MS-CHAP v1) 驗證通訊協定

摘要

Windows Server 2008 和 Windows Vista 包含許多增強功能,可改善通訊協定和核心網路元件的連線能力、效能與設定的簡易性,以及提升無線和 802.1X 驗證之有線連線的安全性、簡易的使用方式和部署能力;此外也可要求連線的電腦符合系統健康情況原則的需求來加強對私人網路的保護。

相關連結

請參閱下列資源,以取得其他資訊:

  • Windows Server 2008 網站 [ http://www.microsoft.com/windowsserver2008/default.mspx ],網址為 http://www.microsoft.com/windowsserver2008/default.mspx

  • Windows Vista 網站 [ http://www.microsoft.com/windows/products/windowsvista/default.mspx ],網址為 http://www.microsoft.com/windows/products/windowsvista/default.mspx

  • Windows Vista 網路 (英文) [ http://technet.microsoft.com/en-us/windowsvista/aa905087.aspx ],網址為 http://technet.microsoft.com/en-us/windowsvista/aa905087.aspx

顯示: