2009年,如果要评选微软最大的动作,我看就要算是Windows 7的发布了,但是,对于我来说,更加看重的却不是在客户端使用的Windows 7,而是与之一起发布的Windows Server 2008 R2。因为,它与我的工作息息相关。
我一直都很纳闷,为何Windows Server 2008 R2微软会这么称呼它,而不是Winodws 7 sever 又或者是继Windows Server 2008 之后的Windows Server 2009,而且它本身在也是在2009年发布的,这样称呼感觉似乎不是那么顺利成章。后来,我查看了有关的资料,才发现:微软当年发布的Windows Vista/Server 2008的内部版本号是6.0,而Windows 7/Server 2008 R2的版本号则是6.1,相比较来看如今的Windows Server 2008 R2是上一个版本的升级版本,所以采用了Server 2008的名称就显得理所当然了,为了加以区别微软加上了R2的后缀。
相对于Windows Server 2008,Windows Server 2008 R2在很多功能和特性上都有了进一步的增强和完善,例如:虚拟化、IIS、网络和终端服务等都获得了极大地提高。值得一提的是,Windows Server 2008 R2中得到进一步加强的直接访问(Direct Access DA)功能,它是我们公司总部和分支机构都觉得是非常实用的功能。
一直以来,我们公司在全国各地的分支机构都通过WAN访问总部的应用程序和数据存储,但是总是存在访问速度过慢进而导致生产力降低的问题。我们也曾经想过一些办法解决,如通过传统方法对网络性能进行改进,但是其所需费用又是非常昂贵的,所以这一问题迟迟未得到解决。一直到,我们后来了解到微软推出Windows Server 2008 R2中的Direct Access功能,才让我们觉得有了最佳解决方案。
那么,何谓Direct Access连接呢?Direct Access克服了VPN的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。而Direct Access工作时,客户机建立一个通向DirectAccess Server的IP v6隧道连接。这个IP v6的隧道连接,可以在普通的IP v4网络上工作。同时,DirectAccess Server还承担了网关的角色,连接内网和外网之间。
微软在Windows 7和Windows Server 2008 R2中增加了BranchCache主机缓存功能。它能够通过分支机构计算机上的高速缓存降低连接分支机构的WAN 部分的利用率,而主机缓存中的数据类型的内容要符合SMB和HTTP的需求。
在主机缓存模式中,文件存储在分支机构客户端运行Windows Server 2008 R2的计算机中。这一模式的好处是服务器始终可用,所以缓存中的文件始终可用。任何运行Windows 7客户端计算机的欠缺并不影响缓存中的文件。此外,Windows Server 2008 R2中还引入了只读域控制器的功能,它允许只读文件的副本存放在不安全的环境中(如分支机构),由于用户不能修改存储在只读的DFS中复制的内容,也不能将更改的内容复制到其他的地方的DFS副本,该功能增强了分支机构的安全性。
换句话说,凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,就能够高速、安全的从Internet直接访问公司防火墙之后的资源。也就是说,不需要VPN了,不需要Token了,不需要SmartCard了,不需要漫长的VPN拨号等待了。内网外网之间的穿越变得非常之简单。#p#
公司总部了解到这些情况之后,决定先进行测试,测试过程我们发现的确如微软介绍的那样Windows Server 2008 R2不仅仅可以提升分支机构文件访问性能,降低WAN的成本,同时还具备安全性,于是决定部署Windows Server 2008 R2并在客户端配合使用了Windows 7。
随后,公司总部信息中心的同事经过简单地了解之后,很快理顺了DirectAccess的连接建立过程。
1. 运行Windows 7的客户端计算机首先检测到它所连接的网络;
2. DirectAccess服务尝试连接管理员所指定的一个内网资源,如果连接成功,则DirectAccess默认计算机已经处在内网的环境中,计算机会把DirectAccess服务关闭以节省系统资源;如果访问不到,DirectAccess服务继续工作;
3. 客户端计算机接下来使用IPv6和IPsec连接预先指定的DirectAccess服务器。如果计算机所处的不是IPv6网络,计算机建立一个IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ,ISATAP)。这些都是Windows 7在后台完成的,不需要用户的登陆和干预;
4. 如果防火墙不允许连接IPv6 6to4隧道,计算机使用HTTPS协议与DirectAccess服务器通讯(性能会有影响);
5. Windows 7客户机和DirectAccess服务器完成互相的身份验证(采用计算机证书实现);
6. DirectAccess服务器根据客户机在AD中的身份和当前登陆用户,决定是否允许访问。为了避免可能的DDOS攻击,这里微软采用了DSCPs技术(Differentiated Services Code Points);
7. 如果计算机启用了NAP检测,DirectAcces服务器转向NAP服务器完成客户机的安全检测。这也可以有效地避免客户机从外网联接带来的安全隐患和病毒;
一切都完成后,DirectAccess服务器便开始担当内外网信息传递的角色。而且以上这些过程都是自动完成的,不需要人工的干预,这可乐坏了我们信息中心的同事,他们惊呼:“原来还有这么智能的工具”。
最后,系统正式上线,经过我们的测试,在使用Windows Server 2008 R2后,公司分支机构加快了访问总部文件服务器的速度,而取代虚拟专用网络和节省WAN带宽都降低了公司的运营成本。而主机缓存功能的运用为公司业务提供了更符合成本效益、更可靠的支持。各地分支机构用户,实现了从文件或Web服务器下载缓存内容,迅速打开存储在缓存中的文件,并为其它用途释放网络带宽。而取代虚拟专用网络和节省WAN带宽也都降低了公司的运营成本。
有趣是,DirectAccess不仅仅解决了总部和分支机构沟通的大难题,还顺带解决了领导的小麻烦,因为之前他经常能遇到的一种情况,他去外地开会了却告诉秘书要某个文件,但是这么多文件他自己也记不清楚是哪个在哪个文件夹里。有DirectAccess功能,他在任何网络位置都能访问公司网络中的文件、数据或使用应用程序,而不必通过传统的虚拟企业网络VPN。直接访问降低了终端用户的操作复杂性,并可以保证远程访问的安全性。
【编辑推荐】