Win7之家( afsion.com.cn):Windows Server 2008 R2向VPN說再見
2009年,如果要評選微軟最大的動作,我看就要算是Windows7的發(fā)布了,但是,對于我來說,更加看重的卻不是在客戶端使用的Win7,而是與之一起發(fā)布的Windows Server 2008 R2。因為,它與我的工作息息相關(guān)。
我一直都很納悶,為何Windows Server 2008 R2微軟會這么稱呼它,而不是Winodws 7 sever 又或者是繼Windows Server 2008 之后的Windows Server 2009,而且它本身在也是在2009年發(fā)布的,這樣稱呼感覺似乎不是那么順利成章。后來,我查看了有關(guān)的資料,才發(fā)現(xiàn):微軟當年發(fā)布的Windows Vista/Server 2008的內(nèi)部版本號是6.0,而Windows 7/Server 2008 R2的版本號則是6.1,相比較來看如今的Windows Server 2008 R2是上一個版本的升級版本,所以采用了Server 2008的名稱就顯得理所當然了,為了加以區(qū)別微軟加上了R2的后綴。
相對于Windows Server 2008,Windows Server 2008 R2在很多功能和特性上都有了進一步的增強和完善,例如:虛擬化、IIS、網(wǎng)絡(luò)和終端服務(wù)等都獲得了極大地提高。值得一提的是,Windows Server 2008 R2中得到進一步加強的直接訪問(Direct Access DA)功能,它是我們公司總部和分支機構(gòu)都覺得是非常實用的功能。
一直以來,我們公司在全國各地的分支機構(gòu)都通過WAN訪問總部的應(yīng)用程序和數(shù)據(jù)存儲,但是總是存在訪問速度過慢進而導(dǎo)致生產(chǎn)力降低的問題。我們也曾經(jīng)想過一些辦法解決,如通過傳統(tǒng)方法對網(wǎng)絡(luò)性能進行改進,但是其所需費用又是非常昂貴的,所以這一問題遲遲未得到解決。一直到,我們后來了解到微軟推出Windows Server 2008 R2中的Direct Access功能,才讓我們覺得有了最佳解決方案。
那么,何謂Direct Access連接呢?Direct Access克服了VPN的很多局限性,它可以自動地在外網(wǎng)客戶機和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接。Direct Access通過利用IP v6技術(shù)中的一些先進特性做到了這一點。Direct Access使用IPsec進行計算機之間的驗證,這也允許了IT部門在用戶登錄之前進行計算機的管理。而Direct Access工作時,客戶機建立一個通向DirectAccess Server的IP v6隧道連接。這個IP v6的隧道連接,可以在普通的IP v4網(wǎng)絡(luò)上工作。同時,DirectAccess Server還承擔了網(wǎng)關(guān)的角色,連接內(nèi)網(wǎng)和外網(wǎng)之間。
微軟在Windows 7和Windows Server 2008 R2中增加了BranchCache主機緩存功能。它能夠通過分支機構(gòu)計算機上的高速緩存降低連接分支機構(gòu)的WAN 部分的利用率,而主機緩存中的數(shù)據(jù)類型的內(nèi)容要符合SMB和HTTP的需求。
在主機緩存模式中,文件存儲在分支機構(gòu)客戶端運行Windows Server 2008 R2的計算機中。這一模式的好處是服務(wù)器始終可用,所以緩存中的文件始終可用。任何運行Windows 7客戶端計算機的欠缺并不影響緩存中的文件。此外,Windows Server 2008 R2中還引入了只讀域控制器的功能,它允許只讀文件的副本存放在不安全的環(huán)境中(如分支機構(gòu)),由于用戶不能修改存儲在只讀的DFS中復(fù)制的內(nèi)容,也不能將更改的內(nèi)容復(fù)制到其他的地方的DFS副本,該功能增強了分支機構(gòu)的安全性。
換句話說,憑借這個功能,外網(wǎng)的用戶可以在不需要建立VPN連接的情況下,就能夠高速、安全的從Internet直接訪問公司防火墻之后的資源。也就是說,不需要VPN了,不需要Token了,不需要SmartCard了,不需要漫長的VPN撥號等待了。內(nèi)網(wǎng)外網(wǎng)之間的穿越變得非常之簡單。
公司總部了解到這些情況之后,決定先進行測試,測試過程我們發(fā)現(xiàn)的確如微軟介紹的那樣Windows Server 2008 R2不僅僅可以提升分支機構(gòu)文件訪問性能,降低WAN的成本,同時還具備安全性,于是決定部署Windows Server 2008 R2并在客戶端配合使用了Windows 7。
隨后,公司總部信息中心的同事經(jīng)過簡單地了解之后,很快理順了DirectAccess的連接建立過程。
1. 運行Windows 7的客戶端計算機首先檢測到它所連接的網(wǎng)絡(luò);
2. DirectAccess服務(wù)嘗試連接管理員所指定的一個內(nèi)網(wǎng)資源,如果連接成功,則DirectAccess默認計算機已經(jīng)處在內(nèi)網(wǎng)的環(huán)境中,計算機會把DirectAccess服務(wù)關(guān)閉以節(jié)省系統(tǒng)資源;如果訪問不到,DirectAccess服務(wù)繼續(xù)工作;
3. 客戶端計算機接下來使用IPv6和IPsec連接預(yù)先指定的DirectAccess服務(wù)器。如果計算機所處的不是IPv6網(wǎng)絡(luò),計算機建立一個IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ,ISATAP)。這些都是Windows 7在后臺完成的,不需要用戶的登陸和干預(yù);
4. 如果防火墻不允許連接IPv6 6to4隧道,計算機使用HTTPS協(xié)議與DirectAccess服務(wù)器通訊(性能會有影響);
5. Windows 7客戶機和DirectAccess服務(wù)器完成互相的身份驗證(采用計算機證書實現(xiàn));
6. DirectAccess服務(wù)器根據(jù)客戶機在AD中的身份和當前登陸用戶,決定是否允許訪問。為了避免可能的DDOS攻擊,這里微軟采用了DSCPs技術(shù)(Differentiated Services Code Points);
7. 如果計算機啟用了NAP檢測,DirectAcces服務(wù)器轉(zhuǎn)向NAP服務(wù)器完成客戶機的安全檢測。這也可以有效地避免客戶機從外網(wǎng)聯(lián)接帶來的安全隱患和病毒;
一切都完成后,DirectAccess服務(wù)器便開始擔當內(nèi)外網(wǎng)信息傳遞的角色。而且以上這些過程都是自動完成的,不需要人工的干預(yù),這可樂壞了我們信息中心的同事,他們驚呼:“原來還有這么智能的工具”。
最后,系統(tǒng)正式上線,經(jīng)過我們的測試,在使用Windows Server 2008 R2后,公司分支機構(gòu)加快了訪問總部文件服務(wù)器的速度,而取代虛擬專用網(wǎng)絡(luò)和節(jié)省WAN帶寬都降低了公司的運營成本。而主機緩存功能的運用為公司業(yè)務(wù)提供了更符合成本效益、更可靠的支持。各地分支機構(gòu)用戶,實現(xiàn)了從文件或Web服務(wù)器下載緩存內(nèi)容,迅速打開存儲在緩存中的文件,并為其它用途釋放網(wǎng)絡(luò)帶寬。而取代虛擬專用網(wǎng)絡(luò)和節(jié)省WAN帶寬也都降低了公司的運營成本。
有趣是,DirectAccess不僅僅解決了總部和分支機構(gòu)溝通的大難題,還順帶解決了領(lǐng)導(dǎo)的小麻煩,因為之前他經(jīng)常能遇到的一種情況,他去外地開會了卻告訴秘書要某個文件,但是這么多文件他自己也記不清楚是哪個在哪個文件夾里。有DirectAccess功能,他在任何網(wǎng)絡(luò)位置都能訪問公司網(wǎng)絡(luò)中的文件、數(shù)據(jù)或使用應(yīng)用程序,而不必通過傳統(tǒng)的虛擬企業(yè)網(wǎng)絡(luò)VPN。直接訪問降低了終端用戶的操作復(fù)雜性,并可以保證遠程訪問的安全性。
評論列表
查看所有 條評論