Windows Server 2008 R2向VPN說再見

Win7之家（ www.afsion.com.cn）：Windows Server 2008 R2向VPN說再見

 2009年，如果要評選微軟最大的動作，我看就要算是Windows7的發(fā)布了，但是，對于我來說，更加看重的卻不是在客戶端使用的Win7，而是與之一起發(fā)布的Windows Server 2008 R2。因為，它與我的工作息息相關(guān)。

我一直都很納悶，為何Windows Server 2008 R2微軟會這么稱呼它，而不是Winodws 7 sever 又或者是繼Windows Server 2008 之后的Windows Server 2009，而且它本身在也是在2009年發(fā)布的，這樣稱呼感覺似乎不是那么順利成章。后來，我查看了有關(guān)的資料，才發(fā)現(xiàn)：微軟當(dāng)年發(fā)布的Windows Vista/Server 2008的內(nèi)部版本號是6.0，而Windows 7/Server 2008 R2的版本號則是6.1，相比較來看如今的Windows Server 2008 R2是上一個版本的升級版本，所以采用了Server 2008的名稱就顯得理所當(dāng)然了，為了加以區(qū)別微軟加上了R2的后綴。

相對于Windows Server 2008，Windows Server 2008 R2在很多功能和特性上都有了進一步的增強和完善，例如：虛擬化、IIS、網(wǎng)絡(luò)和終端服務(wù)等都獲得了極大地提高。值得一提的是，Windows Server 2008 R2中得到進一步加強的直接訪問(Direct Access DA)功能，它是我們公司總部和分支機構(gòu)都覺得是非常實用的功能。

一直以來，我們公司在全國各地的分支機構(gòu)都通過WAN訪問總部的應(yīng)用程序和數(shù)據(jù)存儲，但是總是存在訪問速度過慢進而導(dǎo)致生產(chǎn)力降低的問題。我們也曾經(jīng)想過一些辦法解決，如通過傳統(tǒng)方法對網(wǎng)絡(luò)性能進行改進，但是其所需費用又是非常昂貴的，所以這一問題遲遲未得到解決。一直到，我們后來了解到微軟推出Windows Server 2008 R2中的Direct Access功能，才讓我們覺得有了最佳解決方案。

那么，何謂Direct Access連接呢？Direct Access克服了VPN的很多局限性，它可以自動地在外網(wǎng)客戶機和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接。Direct Access通過利用IP v6技術(shù)中的一些先進特性做到了這一點。Direct Access使用IPsec進行計算機之間的驗證，這也允許了IT部門在用戶登錄之前進行計算機的管理。而Direct Access工作時，客戶機建立一個通向DirectAccess Server的IP v6隧道連接。這個IP v6的隧道連接，可以在普通的IP v4網(wǎng)絡(luò)上工作。同時，DirectAccess Server還承擔(dān)了網(wǎng)關(guān)的角色，連接內(nèi)網(wǎng)和外網(wǎng)之間。

微軟在Windows 7和Windows Server 2008 R2中增加了BranchCache主機緩存功能。它能夠通過分支機構(gòu)計算機上的高速緩存降低連接分支機構(gòu)的WAN 部分的利用率，而主機緩存中的數(shù)據(jù)類型的內(nèi)容要符合SMB和HTTP的需求。

在主機緩存模式中，文件存儲在分支機構(gòu)客戶端運行Windows Server 2008 R2的計算機中。這一模式的好處是服務(wù)器始終可用，所以緩存中的文件始終可用。任何運行Windows 7客戶端計算機的欠缺并不影響緩存中的文件。此外，Windows Server 2008 R2中還引入了只讀域控制器的功能，它允許只讀文件的副本存放在不安全的環(huán)境中(如分支機構(gòu))，由于用戶不能修改存儲在只讀的DFS中復(fù)制的內(nèi)容，也不能將更改的內(nèi)容復(fù)制到其他的地方的DFS副本，該功能增強了分支機構(gòu)的安全性。

換句話說，憑借這個功能，外網(wǎng)的用戶可以在不需要建立VPN連接的情況下，就能夠高速、安全的從Internet直接訪問公司防火墻之后的資源。也就是說，不需要VPN了，不需要Token了，不需要SmartCard了，不需要漫長的VPN撥號等待了。內(nèi)網(wǎng)外網(wǎng)之間的穿越變得非常之簡單。

公司總部了解到這些情況之后，決定先進行測試，測試過程我們發(fā)現(xiàn)的確如微軟介紹的那樣Windows Server 2008 R2不僅僅可以提升分支機構(gòu)文件訪問性能，降低WAN的成本，同時還具備安全性，于是決定部署Windows Server 2008 R2并在客戶端配合使用了Windows 7。

隨后，公司總部信息中心的同事經(jīng)過簡單地了解之后，很快理順了DirectAccess的連接建立過程。

　　1. 運行Windows 7的客戶端計算機首先檢測到它所連接的網(wǎng)絡(luò)；

　　2. DirectAccess服務(wù)嘗試連接管理員所指定的一個內(nèi)網(wǎng)資源，如果連接成功，則DirectAccess默認(rèn)計算機已經(jīng)處在內(nèi)網(wǎng)的環(huán)境中，計算機會把DirectAccess服務(wù)關(guān)閉以節(jié)省系統(tǒng)資源；如果訪問不到，DirectAccess服務(wù)繼續(xù)工作；

　　3. 客戶端計算機接下來使用IPv6和IPsec連接預(yù)先指定的DirectAccess服務(wù)器。如果計算機所處的不是IPv6網(wǎng)絡(luò)，計算機建立一個IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ，ISATAP)。這些都是Windows 7在后臺完成的，不需要用戶的登陸和干預(yù)；

　　4. 如果防火墻不允許連接IPv6 6to4隧道，計算機使用HTTPS協(xié)議與DirectAccess服務(wù)器通訊(性能會有影響)；

　　5. Windows 7客戶機和DirectAccess服務(wù)器完成互相的身份驗證(采用計算機證書實現(xiàn))；

　　6. DirectAccess服務(wù)器根據(jù)客戶機在AD中的身份和當(dāng)前登陸用戶，決定是否允許訪問。為了避免可能的DDOS攻擊，這里微軟采用了DSCPs技術(shù)(Differentiated Services Code Points)；

　　7. 如果計算機啟用了NAP檢測，DirectAcces服務(wù)器轉(zhuǎn)向NAP服務(wù)器完成客戶機的安全檢測。這也可以有效地避免客戶機從外網(wǎng)聯(lián)接帶來的安全隱患和病毒；

一切都完成后，DirectAccess服務(wù)器便開始擔(dān)當(dāng)內(nèi)外網(wǎng)信息傳遞的角色。而且以上這些過程都是自動完成的，不需要人工的干預(yù)，這可樂壞了我們信息中心的同事，他們驚呼：“原來還有這么智能的工具”。

最后，系統(tǒng)正式上線，經(jīng)過我們的測試，在使用Windows Server 2008 R2后，公司分支機構(gòu)加快了訪問總部文件服務(wù)器的速度，而取代虛擬專用網(wǎng)絡(luò)和節(jié)省WAN帶寬都降低了公司的運營成本。而主機緩存功能的運用為公司業(yè)務(wù)提供了更符合成本效益、更可靠的支持。各地分支機構(gòu)用戶，實現(xiàn)了從文件或Web服務(wù)器下載緩存內(nèi)容，迅速打開存儲在緩存中的文件，并為其它用途釋放網(wǎng)絡(luò)帶寬。而取代虛擬專用網(wǎng)絡(luò)和節(jié)省WAN帶寬也都降低了公司的運營成本。

有趣是，DirectAccess不僅僅解決了總部和分支機構(gòu)溝通的大難題，還順帶解決了領(lǐng)導(dǎo)的小麻煩，因為之前他經(jīng)常能遇到的一種情況，他去外地開會了卻告訴秘書要某個文件，但是這么多文件他自己也記不清楚是哪個在哪個文件夾里。有DirectAccess功能，他在任何網(wǎng)絡(luò)位置都能訪問公司網(wǎng)絡(luò)中的文件、數(shù)據(jù)或使用應(yīng)用程序，而不必通過傳統(tǒng)的虛擬企業(yè)網(wǎng)絡(luò)VPN。直接訪問降低了終端用戶的操作復(fù)雜性，并可以保證遠(yuǎn)程訪問的安全性。