Server 2008 R2 Direct Access请和你的VPN说拜拜

系统 Windows
在Windows Server 2008 R2中有一个功能可以代替VPN的功能。这项功能就是Direct Access DA直接访问功能。在于Windows 7配合起来就完全可以替代VPN而且效果要比VPN强。

2009年,如果要评选微软最大的动作,我看就要算是Windows 7的发布了,但是,对于我来说,更加看重的却不是在客户端使用的Windows 7,而是与之一起发布的Windows Server 2008 R2。因为,它与我的工作息息相关。

我一直都很纳闷,为何Windows Server 2008 R2微软会这么称呼它,而不是Winodws 7 sever 又或者是继Windows Server 2008 之后的Windows Server 2009,而且它本身在也是在2009年发布的,这样称呼感觉似乎不是那么顺利成章。后来,我查看了有关的资料,才发现:微软当年发布的Windows Vista/Server 2008的内部版本号是6.0,而Windows 7/Server 2008 R2的版本号则是6.1,相比较来看如今的Windows Server 2008 R2是上一个版本的升级版本,所以采用了Server 2008的名称就显得理所当然了,为了加以区别微软加上了R2的后缀。

相对于Windows Server 2008,Windows Server 2008 R2在很多功能和特性上都有了进一步的增强和完善,例如:虚拟化、IIS、网络和终端服务等都获得了极大地提高。值得一提的是,Windows Server 2008 R2中得到进一步加强的直接访问(Direct Access DA)功能,它是我们公司总部和分支机构都觉得是非常实用的功能。

一直以来,我们公司在全国各地的分支机构都通过WAN访问总部的应用程序和数据存储,但是总是存在访问速度过慢进而导致生产力降低的问题。我们也曾经想过一些办法解决,如通过传统方法对网络性能进行改进,但是其所需费用又是非常昂贵的,所以这一问题迟迟未得到解决。一直到,我们后来了解到微软推出Windows Server 2008 R2中的Direct Access功能,才让我们觉得有了最佳解决方案。

那么,何谓Direct Access连接呢?Direct Access克服了VPN的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。而Direct Access工作时,客户机建立一个通向DirectAccess Server的IP v6隧道连接。这个IP v6的隧道连接,可以在普通的IP v4网络上工作。同时,DirectAccess Server还承担了网关的角色,连接内网和外网之间。

微软在Windows 7和Windows Server 2008 R2中增加了BranchCache主机缓存功能。它能够通过分支机构计算机上的高速缓存降低连接分支机构的WAN 部分的利用率,而主机缓存中的数据类型的内容要符合SMB和HTTP的需求。

在主机缓存模式中,文件存储在分支机构客户端运行Windows Server 2008 R2的计算机中。这一模式的好处是服务器始终可用,所以缓存中的文件始终可用。任何运行Windows 7客户端计算机的欠缺并不影响缓存中的文件。此外,Windows Server 2008 R2中还引入了只读域控制器的功能,它允许只读文件的副本存放在不安全的环境中(如分支机构),由于用户不能修改存储在只读的DFS中复制的内容,也不能将更改的内容复制到其他的地方的DFS副本,该功能增强了分支机构的安全性。

换句话说,凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,就能够高速、安全的从Internet直接访问公司防火墙之后的资源。也就是说,不需要VPN了,不需要Token了,不需要SmartCard了,不需要漫长的VPN拨号等待了。内网外网之间的穿越变得非常之简单。#p#

公司总部了解到这些情况之后,决定先进行测试,测试过程我们发现的确如微软介绍的那样Windows Server 2008 R2不仅仅可以提升分支机构文件访问性能,降低WAN的成本,同时还具备安全性,于是决定部署Windows Server 2008 R2并在客户端配合使用了Windows 7。

随后,公司总部信息中心的同事经过简单地了解之后,很快理顺了DirectAccess的连接建立过程。

1. 运行Windows 7的客户端计算机首先检测到它所连接的网络;

2. DirectAccess服务尝试连接管理员所指定的一个内网资源,如果连接成功,则DirectAccess默认计算机已经处在内网的环境中,计算机会把DirectAccess服务关闭以节省系统资源;如果访问不到,DirectAccess服务继续工作;

3. 客户端计算机接下来使用IPv6和IPsec连接预先指定的DirectAccess服务器。如果计算机所处的不是IPv6网络,计算机建立一个IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ,ISATAP)。这些都是Windows 7在后台完成的,不需要用户的登陆和干预;

4. 如果防火墙不允许连接IPv6 6to4隧道,计算机使用HTTPS协议与DirectAccess服务器通讯(性能会有影响);

5. Windows 7客户机和DirectAccess服务器完成互相的身份验证(采用计算机证书实现);

6. DirectAccess服务器根据客户机在AD中的身份和当前登陆用户,决定是否允许访问。为了避免可能的DDOS攻击,这里微软采用了DSCPs技术(Differentiated Services Code Points);

7. 如果计算机启用了NAP检测,DirectAcces服务器转向NAP服务器完成客户机的安全检测。这也可以有效地避免客户机从外网联接带来的安全隐患和病毒;

一切都完成后,DirectAccess服务器便开始担当内外网信息传递的角色。而且以上这些过程都是自动完成的,不需要人工的干预,这可乐坏了我们信息中心的同事,他们惊呼:“原来还有这么智能的工具”。

最后,系统正式上线,经过我们的测试,在使用Windows Server 2008 R2后,公司分支机构加快了访问总部文件服务器的速度,而取代虚拟专用网络和节省WAN带宽都降低了公司的运营成本。而主机缓存功能的运用为公司业务提供了更符合成本效益、更可靠的支持。各地分支机构用户,实现了从文件或Web服务器下载缓存内容,迅速打开存储在缓存中的文件,并为其它用途释放网络带宽。而取代虚拟专用网络和节省WAN带宽也都降低了公司的运营成本。

有趣是,DirectAccess不仅仅解决了总部和分支机构沟通的大难题,还顺带解决了领导的小麻烦,因为之前他经常能遇到的一种情况,他去外地开会了却告诉秘书要某个文件,但是这么多文件他自己也记不清楚是哪个在哪个文件夹里。有DirectAccess功能,他在任何网络位置都能访问公司网络中的文件、数据或使用应用程序,而不必通过传统的虚拟企业网络VPN。直接访问降低了终端用户的操作复杂性,并可以保证远程访问的安全性。

【编辑推荐】

  1. 将文件服务器从2003迁移至Windows Server 2008 R2
  2. Windows Server 2008 R2:帮助您推动业绩增长
  3. Windows Server 2008 R2新特性使用手记
  4. Windows Server 2008 R2的DFS及其新特性
责任编辑:张浩 来源: zol.com
相关推荐

2012-09-06 16:48:05

Windows Ser

2010-12-07 16:40:17

Windows Ser

2010-11-01 13:47:56

Windows Ser

2011-01-26 13:26:05

Windows Sto

2013-11-25 10:48:33

2011-07-21 09:29:53

Windows Ser备份

2011-02-13 14:18:17

Windows Sto

2009-08-21 18:05:40

戴尔支持Windows

2011-07-26 09:31:39

Windows Ser

2009-04-08 15:06:01

2010-10-26 09:57:44

Windows Pow

2010-08-11 11:05:49

2009-04-08 18:05:53

Vmwareesx虚拟化

2010-04-30 15:53:20

2009-03-19 19:43:36

Windows SerR2微软

2010-06-03 15:57:52

Windows Ser

2010-08-20 16:53:26

Server 2008diskpart命令

2009-04-27 15:18:31

2010-10-28 14:29:03

PowerShellServer2008

2012-05-14 11:25:21

Windows Ser
点赞
收藏

51CTO技术栈公众号