Windows 7是当前市场上最热门的话题了。从目前各方面的情况综合来看,Windows 7全面上市的时间是10月22日。与此同时,微软的Windows Server团队希望Windows Server 2008 R2也能在同一天发布。这不是偶然的,因为这两个产品的目的是在企业环境中协同工作。微软也在多个场合强调了双方共同工作给企业带来的好处。需要注意的是,自Windows 2000以来,我们许久没有看到微软的服务器和客户端产品结合得如此紧密了。这或许是微软又一新的市场策略,促使服务器和客户端的产品双增长。而从目前亚马逊网站上Windows 7的预订来看,Windows 7的销售将大大好于预期。
既然微软是把Windows 7和Windows Server 2008 R2当作连体产品来开发的,那我们就不妨看看两者的结合点到底在哪里。
DirectAccess(直接存取访问)
通过Windows 7和Windows Server 2008 R2,移动用户将能够在不需要VPN的情况下安全地通过互联网接入企业内部网络。这就类似于用户习惯性地使用Outlook随时随连接到Exchange服务器上收取邮件,而不必非得通过一个VPN。
DirectAccess将使用SSTP协议通过SSL访问443端口,类似于通过HTTPS访问安全网站。此外,DirectAccess可以使用IPv6的IPSec功能通过互联网进行加密通信。
当然,DirectAccess并不意味着随便谁都可以拿别人的笔记本接入到企业的内网。用户进入公司网络时还是需要进行一定的验证。从企业和个人信息安全的角度出发,用户可能还需要考虑使用Windows 7的BitLocker功能为笔记本的硬盘加密。此外,用户还可以充分利用Windows 7的生物功能,采用智能卡或者生物识别技术来进行双因素认证。
采用DirectAccess还有一些明显的好处,就是用户无论在哪里,只要有互联网的环境,就能以非常简单的方式接入网络,而不是采用一个不容易控制得的VPN连接。一般来说,在一个商业网络里,用户的移动终端只要连接到网络里就可以接受到系统的更新和组策略的改变等。使用DirectAccess后,用户甚至不需要登录企业网络,只要有互联网接入就能获得更新。Windows 7的DirectAccess可以应付客户端设备在任何时间的连接,并提供了一个更简便的打补丁和防病毒定义管理的途径。
#p#
BranchCache(分支机构)
BranchCache(分支机构)是需要在Windows 7和Windows Server 2008 R2共同使用的另一大功能,它的名字就描绘出了功能。通常分支机构的员工可能无法在当地获得数据。分支机构或者部门甚至有可能不会有一个本地的服务器。今天的通常做法是用户通过广域网连接到总部机构办公室访问所需要的文件。这就会出现这样一个问题:有的文件会被5次、10次甚至上百次的访问。这样就会影响其他人访问企业网络的速度,因为企业的带宽毕竟是有限的。
BranchCache功能则将数据缓存在本地,如果一个分支机构的用户访问总部的主要内容和其他用户在访问相同的内容,它就通过本地的缓存提供了更快的网速和更低的网络资源消耗。
BranchCache可以设置成两种工作模式。一是主机缓存模式,即服务器自己保留缓存文件。二是分布式缓存模式,即在客户端保留缓存文件的副本,服务器的主要作用是确保文件是最新版本的,并确保这些文件能被正常访问。
要正确使用BranchCache功能,用户需要将SSL、SMB签名和Ipsec等技术部署到位。
BitLocker-to-Go控制器
微软在Vista中首次引入了BitLocker功能,利用该功能可以实现对系统内置硬盘的加密。而在Windows 7中除了可实现对系统硬盘的加密外,还可对U盘、移动硬盘等移动存储设备进行Bitlocker全盘加密的功能,这就是所谓的Bitlocker-to-Go。
虽然BitLocker功能表面上和Windows Server 2008 R2没有关系,但由于这两种系统一起在企业环境中工作,而网络中任何一台设备的内置或者外接驱动器插拔时组策略会强制用户运行BitLocker。组策略还可以阻止那些不加密的驱动器的使用。同样,恢复系统的密钥也可存储在Active Directory中,这样能简化管理。
AppLocker(应用程序控制策略)
AppLocker即“应用程序控制策略”,是Windows 7系统中新增加的一项安全功能。利用AppLocker管理员可以非常方便地进行配置,以实现用户可在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。由于AppLocker是基于组策略管理和配置的,因此我们可以非常方便地将其部署到整个网络环境中,可谓是一劳永逸。
虽然用户也可以使用本地安全策略来配置AppLocker,但通过组策略,它会表现得更好。例如,用户可以轻松配置一个程序,高于或者低于其某个版本都能运行。对于IT人员来说,这可以节省大量的策略维护时间。
RemoteApp和桌面
RemoteApp是Remote Desktop Services的执行功能,该功能可以当用户在Remote Desktop服务器上运行的时候让应用程序就像在本地计算机运行一样,这属于展示虚拟化(presentation virtualization)的一种形式。这与传统的终端服务有所不同,传统服务是通过终端服务器来共享整个用户桌面,而现在个人应用程序也可以以共享的形式提供给用户。RemoteApp是Windows Server 2008中推出的功能,而Windows 7中的RemoteApp & Desktop (RAD)则为我们提供了桌面和虚拟化应用程序的整合。
有了RemoteApp & Desktop连接,管理员可以方便地向使用Windows 7客户端计算机的用户提供 Remote App程序和虚拟化桌面,这些资源将出现在客户端的开始菜单中,就像本地资源一样。
Remote Desktop Gateway是Terminal Services Gateway的代替品,在Windows Server 2008 R2 标准版、企业版和数据中心版中发挥着服务器的作用,远程用户可以通过启用Remote Desktop访问远程桌面服务器或者其他计算机,它通过HTTPS使用RDP来创建互联网上的安全加密连接,Server 2008 R2 RD Gateway同时还支持选项功能,可以让你限制远程桌面客户端只能连接到使用安全设备重新定向的远程桌面服务器,这有助于避免远程客户端上的恶意软件蔓延到企业机器。
在Windows Server 2008 R2 和Windows 7上运行的最新版本的RDP Protocol (RDP v7)同样提供图形渲染和多媒体功能,以提供更好的桌面服务,例如它现在支持Aero玻璃效果,多显示器、DirectShow等,并且性能也整体提高了。
两者如影随形
显然,Windows 7和Windows Server 2008 R2两者一起整合应用有诸多的好处,但这并不一定意味着用户必须修改原来的整个网络。同样,用户是否需要两者同时部署,也要根据自己的实际需求来综合考虑。但如果上面提及的相互配合功能的确是用户所需,那就不妨尝试一下吧。
【编辑推荐】