Сетевые возможности Windows 7 and Windows Server 2008 R2 для организаций



Дата24.12.2016
Размер3.83 Mb.
Просмотров321
Скачиваний0

Windows Server 2008 R2


windows_brand_h_rgb



Сетевые возможности Windows 7 and Windows Server 2008 R2 для организаций


Опубликовано: Июль 2009

Сведения, содержащиеся в документе, отражают текущую позицию корпорации Майкрософт в отношении обсуждаемых вопросов на момент публикации. Поскольку корпорация Майкрософт должна реагировать на изменение рыночных условий, настоящий документ не должен рассматриваться как обязательство со стороны Майкрософт; корпорация Майкрософт не может гарантировать точность представленных сведений после даты публикации документа.

Настоящий документ носит исключительно информационный характер. КОРПОРАЦИЯ МАЙКРОСОФТ НЕ ПРЕДОСТАВЛЯЕТ НИКАКИХ ГАРАНТИЙ, ЯВНЫХ, ПОДРАЗУМЕВАЕМЫХ ИЛИ ЗАКОНОДАТЕЛЬНЫХ, ОТНОСИТЕЛЬНО СВЕДЕНИЙ, СОДЕРЖАЩИХСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ.

Вся ответственность за соблюдение всех применимых законов об авторском праве лежит на пользователе. В рамках, предусмотренных законами об авторских правах, части настоящего документа не могут быть воспроизведены, сохранены, размещены в какой-либо информационно-поисковой системе либо переданы в какой бы то ни было форме какими бы то ни было средствами (электронными, механическими, фотокопировальными, записывающими или другими) в любых целях без специального письменного разрешения корпорации Майкрософт.

Корпорация Майкрософт может являться правообладателем патентов и заявок на получение патента, товарных знаков и иных объектов, подпадающих под действие законов об авторском праве и имеющих отношение к содержанию настоящего документа. Предоставление настоящего документа не означает передачи какой-либо лицензии на использование этих патентов, товарных знаков и иных объектов, подпадающих под действие законов об авторском праве, за исключением тех случаев, когда это явно оговорено в письменном лицензионном соглашении с Майкрософт.
© Корпорация Майкрософт, 2009. Все права защищены.

Microsoft, SharePoint, Windows, Windows Server и Windows Vista являются товарными знаками или охраняемыми товарными знаками корпорации Майкрософт в США и других странах.



Названия реально существующих компаний и продуктов, упомянутые в настоящем документе, могут являться товарными знаками соответствующих владельцев.

Введение


В последние несколько лет, прогресс в области мобильных компьютеров и беспроводного широкополосного доступа в сеть позволяют пользователям работать более продуктивно, находясь вдали от офиса. Согласно IDC, в третьем квартале 2008 года в мировом масштабе производители поставили на рынок мобильных компьютеров больше, чем настольных. В 2008 году мобильные сотрудники составили 26,8% от общей численности рабочей силы, и это число возрастет до 30,4% к 2011 году. Очевидно, что пользователи становятся все более мобильными, и ИТ-специалисты должны предоставить инфраструктуру, для обеспечения их продуктивной работы.

Кроме того, все больше пользователей работают из филиалов и домашних офисов. Изменения в структуре бизнеса ставят перед ИТ-специалистами задачи обеспечения высокой производительности и безопасности инфраструктуры при подключении удаленных пользователей из филиалов с минимальными затратами.

В Windows ® 7 и Windows Server ® 2008 R2, Microsoft вводит несколько новых сетевых функций для повышения производительности труда мобильных пользователей и пользователей работающих в филиалах. Этот документ описывает данные возможности, а также другие сетевые усовершенствования в Windows 7 и Windows Server 2008 R2.

DirectAccess


DirectAccess предоставляет пользователям прозрачный доступ к внутренним ресурсам сети, если они подключены к сети Интернет. Традиционно, пользователи подключаются к внутренним сетевым ресурсам используя виртуальную частную сеть (VPN). Тем не менее, использование VPN по ряду причин может быть неудобным:

  • Подключение к VPN осуществляется в несколько шагов при этом пользователь должен ждать проверки подлинности. Для организаций, проверяющих состояние и здоровье компьютера перед тем, как разрешить подключение, создание VPN может занять несколько минут.

  • Каждый раз, когда пользователь теряет свое подключение к Интернету, необходимо повторно установить VPN-соединение.

  • Производительность Интернета замедляется, если весь трафик направляется через VPN.

Из-за этих проблем, многие пользователи избегают подключения через VPN. Вместо этого для подключения к внутренним ресурсам они используют такие технологии, как Microsoft Office Outlook ® Web Access (OWA). С OWA пользователь может получить доступ к внутренней электронной почте без установления VPN соединения. Однако, если пользователь пытается открыть документ во внутренней сети (ссылка на него может быть доставлена электронным письмом), ему отказывает в доступе к внутреннему ресурсу, поскольку тот, как правило, не доступен из Интернета.

Избегание VPN также создает проблемы для ИТ-профессионалов, которые могут управлять мобильными компьютерами только в момент когда они подключены к внутренней сети. Не подключаясь к внутренней сети мобильные компьютеры пропускают установку критических обновлений и изнемения параметров Групповой политики.

Windows 7 и Windows Server 2008 R2 предоставляют возможность DirectAccess, которая позволяет пользователям работать из дома либо через точки беспроводного доступа в сеть так как будно они находятся в офисе. С DirectAccess, авторизованные пользователи использующие Windows 7 могут получить доступ к корпоративным папкам с общим доступом, просмотривать веб-узлы интрасети, а также работать с интранет-приложениями без установки VPN.

DirectAccess также удобен для ИТ-специалистов, позволяя им управлять мобильными компьютерами за пределами офиса в любое время, в любом месте, даже несмотря на то, что компьютеры не подключены к VPN. Каждый раз, когда мобильный компьютер подключается к Интернету, прежде чем пользователь войдет в систему, DirectAccess создает двунаправленную соединение, что позволяет клиентскому компьютеру применять политики компании и получать обновления программного обеспечения.

DirectAccess обеспечивает безопасную и гибкую сетевую инфраструктуру с использованием таких технологий как IPv6 и IPSec. Функции Безопасности и эффективности включают в себя:

  • Аутентификация. DirectAccess аутентифицирует компьютер до входа пользователя в систему, позволяя ИТ-специалистам управлять компьютером с установленным Интернет-соединением. DirectAccess также может проверять подлинность пользователей, потдерживая многофакторную аутентификацию, такую как аутентификация по смарт-картам.

  • IPv6. DirectAccess использует IPv6 предоставляя клиентам для удаленного доступа маршрутизируемые IP-адреса. Организации, которые еще не готовы в полной мере развернуть IPv6 могут использовать IPv6 переходные технологии, такие как ISATAP, 6to4 и Teredo, чтобы клиенты могли подключаться через IPv4 Интернет к IPv4 ресурсам на предприятии сети. Эти технологии обеспечивают поддержку IPv6 для устройств и серверов, которые не имеют нативной поддержки IPv6.

  • Шифрование. DirectAccess использует IPsec для обеспечения аутентификации и шифрования данных передаваемых через Интернет. Вы можете использовать любой IPsec метод шифрования, включая DES, с 56-битным ключ, или 3DES, с тремя 56-битными ключами.

  • Контроль доступа. Используя DirectAccess, ИТ-специалисты могут определить внутренние ресурсы, к которым каждый пользователь сможет подключиться и получить неограниченный доступ или разрешить доступ только к конкретным серверам или сетям.

Как показано на Рисунке 1, DirectAccess использует разделенный-туннель маршрутизации,за счет чего сокращается излишний сетевой трафик в корпоративной сети. При такой схеме только трафик, предназначенный для сети предприятия пересылается через DirectAccess сервера. Разделенный-туннель маршрутизации является конфигурацией по умолчанию для DirectAccess, ИТ-специалисты могут отключить эту функцию и направить весь трафик через сеть предприятия.



Figure 1: Трафик DirectAccess с использованием разделенного-туннеля маршрутизации.

VPN Reconnect


DirectAccess может стать предпочитаемым способом подключения удаленных клиентов для многих организаций. Но всеже некоторые из них продолжат использовать VPN параллельно с DirectAccess. Поэтому Microsoft улучшила потдежку VPN в Windows 7 включив новую технологию VPN Reconnect.

VPN Reconnect использует технологию IKEv2 для обеспечения стабильного и постоянного VPN соединения, автоматически восстанавливаемого в случае временной потери соединения с Интернетом. Наибольшую пользу от этой возможности получат пользователи использующие для выхода в сеть беспроводные подключения.

Примером может служить сотрудник работающий во время поездки на поезде. Для выполнения своих задач он использует VPN соединение, которое установлено поверх беспроводного доступа в Интернет. В моменты когда поезд въезжает в туннель беспроводной сигнал теряется и восстанавливается только по окончанию тунеля. В более ранних версиями Windows VPN не восстанавливался автоматически и пользователь был обязан осуществить несколько действия для восстановления подключения к VPN. Это может быстро стать времени для пользователей мобильных телефонов с прерывистому подключаемости. Эта функция поможет сэкономить время мобильным пользователям использующим нестабильные сетевые соединения.

С VPN Reconnect, Windows 7 автоматически восстанавливает VPN соединение после возвращения связи с Интернетом. Несмотря на то, что повторное подключение может занять несколько секунд, процесс является полностью прозрачным для пользователей, которыетеперь имеют больше шансов остаться подключенными к внутренним ресурсам сети.

Mobile Broadband


Более ранние версии Windows требуют от пользователей беспроводных карт установку дополнительного стороннего программного обеспечений. Данное ПО усложняет управение рабочими станциями, особенно если учесть, что каждый производитель оборудования предоставлял свои версии программ. Также пользователи также должны пройти подготовку по использованию программного обеспечения и иметь административный доступ для его установки.

Используя технологию Mobile Broadband, Windows 7 предоставляет драйвер-ориентированную модель для беспроводных карт. Теперь пользователи могут просто подключить беспроводную карту и сразуже начать ее использовать. Интерфейс встроенный в Windows имеет одинаковы вид независимо от производителя беспроводного устройсва.

BranchCache


BranchCache™ позволяет при использовании Windows 7 и Windows Server 2008 R2 понизить нагрузку на WAN каналы ускорив скорость ответа сетевых приложений из удаленных офисов. При включении BranchCache в Windows 7 и Windows Server 2008 данные получены с WEB и файловых серверов, расположенных за пределами локальной сети кэшируются во внутренней сети. Если другой клиент из этогоже филиала запросит теже данные то получены они будут из своего сегмента сети без обращения по WAN каналу. Клиенты всегда будут авторизовываться на сервере в датацентре до получения доступа к данным закешированным в их сегменте сети.

BranchCache может работать в одном из двух режимов:

Распределенный кэш. Используя одноранговую архитектуру, клиенты Windows 7 кэшируют данные полученные с Windows Server 2008 R2 и посылают их напрямую другим Windows 7 клиентам по мере надобности, без повторных запросов этих данных по WAN каналу.Распределенный кэш является оптимальноым режимом для филиалов не имеющих сервера на базе Windows Server 2008 R2.

Централизованный кэш. В данном режиме задействуется клиент-серверная архитектура, в которой клиент Windows 7 посылает копию полученных данных на сервер Windows Server 2008 R2 с включенной функцией BranchCache. Приобходимости другие клиенты запрашивают нужные данные с кэша распорженного на этом сервере. Сравнивая два режима работы BranchCache, можно отметить, что централизованный кэш повышает доступность данных, поскольку не зависит от работы клиенсткого компьютера, который осуществил первый запрос данных. Вдобавок централизованный кэш позволяет работать с нескольники подсетями и понизить количество широковещательного трафика в локальной сети. Под сервер хранилища централизованного кэша необязательно выделять отдельный сервер, обычно им может служить уже установленный сервере с Windows Server 2008 R2.



Figure 2: Сравнение двух режимов работы BranchCache

На данный момент BranchCache потдерживает работу следующих протоколов и полностью совместим с шифрованием IPsec:

HTTP (включая HTTPS). Стандартный протокол для передачи Web данных, используется приложениями Internet Explorer®, Windows Media®, and Windows SharePoint®.

SMB (включая подписанный SMB). При подключении к общими папками с использованием Windows Explorer является стандартный протоколом передачи файлов по сети.

При включенной функции BranchCache клиентский и серверный компьютер для получения данных по протоколам HTTP или SMB проходят ряд этапов:



  1. Клиенский компьютер Windows 7 соединяется с сервером в датацентре под управлением Windows Server 2008 R2 и запрашивает данные, точно также как бы он это сделал без включеного BranchCache.

  2. Сервер в датацентре аутентифицирует пользователя и проверяет что он авторизован для получения этих данных.

  3. Вместо содержимого сервер возвращает клиенту идентификатор (хэш) запрашиваемых данных. Делает он это используя тот же канал по которому обычно передаются данные.

  4. Используя полученный идентификатор клиенский компьютер Windows 7 делает следующее:

    1. Если используется распределенный кэш, клиент рассылает широковещательные пакеты в своем сегменте сети, пытаясь найти компьютеры уже скачавшие данные.

    2. Если используется централизованный кэш, клиент ищет данные на сервере централизованно хранящем кэш.

  5. Если необходимое клиенту содержимое доступно в его сегменте сети (неважно какой режим BranchCache используется) он получает эти данные и проверяет, что они не были модифицированы или повреждены.

  6. При отсутсвии нужных данных клиент запрашивает их непосредственно с сервера в датацентре после чего делает их доступными в своем кэше либо пересылает на сервер централизованного кеширования взависимости от режима работы BranchCache.

Все данные которыми обмениваются клиенские компьютеры и сервер централизованного кэширования в рамках работы BranchCache шифруются.

Улучшения автомных файлов и доступа к общим папкам.


ИТ профессионалы могу оценить премущество Windows 7 связанное с улучшением доступа к общим папкам в филиалах компании. Windows 7 предусматривает:

  • Прозрачное кэширование общих папок на клиентском компьютере уменьшает время требуемое для получения доступа у файлу для второго и последующих обращений на медленных каналах. Это достигается за счет усовершенствований протокола связанных с устранением множества избыточных операций при открытии или сохранении файлов, что в свою очередь помогло улучшить работу приложений на медленных каналах.

  • Возможность фоновая финхронизация автономных файлов, упрощающаяя администрирование и улучшающаяя работу конечных пользователей.

Прозрачное кэширование


В предыдущих версия Windows для открытия файла по медленному каналу клиенский компьютер всегда брал файл с сервера, даже если было необходимо только чтение. С появлением прозрачного кэширования компьютер сохраняет в локальном кэше открываемые файлы уменьшая количество обращений к серверу в случае повторных открытий файлов. При первом открытии Windows 7 считывает файл с сервера и сохраняет в кэш на локальный диск. Вторые и последующие открытия этого файла производятся операционной системой с кэша распороженного на локальном диске компьютера.

Для обеспечения целостности данных, Windows 7 всегда связывается с сервером проверяя актуальность кэшированной копии. Получить доступ к кэшу в случае недоступности сервера невозможно. Изменения файла всегда производятся на сервере. Поумолчанию прозрачное кэширование на быстрых сетях отключено.

ИТ специалисты могу использовать Групповые политики для управления прозрачным кэшированием, сконфигурировать размер диска выделяемого под кэш и предотвратить кэширование файлов определенных форматов.

Для конечного пользователя данное кэширование абсолютно прозрачно и позволяет работать с серверами как будто он находятся с ними в одном сегменте высокоскоросной сети.

Фоновая синхронизация Автономных Файлов.


В операционной системе Windows Vista пользователи находясь в сети работали с файлами на сервере. Если пользователь отключался от сети изменения файлов кэшировались на клиентском компьютере и синхронизировали с сервером при следующем подключении к сети. В Windows 7 синхронизация происходит автоматически в фоновом режиме без необходимости выбирать пользователю в каком режиме online или offline он сейчас находится. Файловая синхронизация прозрачна для конечного пользователя и может централизованно управляться через Групповые политики и контролироваться Центром Синхронизации.

Это обеспечивает надежную и прозрачную синхронизацию общих папок, предоставляя пользователям доступ к данным, даже когда они отсоединены от сети. Пользователю не нужно беспокоиться о ручной синхронизациии данных по медленным каналам, а ИТ специалисты могу быть уверены что пользовательские данные синхронизированы с сервером.

Функция Перенаправление папок, дающая возможность пользователю перенаправить папки профиля на сервер, с изменениями в синхронизации стала более полезной. Перенавправленная с помощью групповой политики папка с включенной синхронизацией позволит пользователю Windows 7 при отключении от сети автоматически переключиться на локальную копию и после позвращения в сеть осуществить автоматическую синхронизацию. В свою очередь это дает возможность создавать резервные копии пользовательских данных не вмешиваясь в работу сотрудника. В Windows 7 добавлен классически offline режим, который предусматривает аналогичные возможности при подключении к серверу через медленную сеть.

URL-based QoS


Не всегда увеличение пропускной способности сети может решить проблему производительности. Любое загруженное сетевое подключение замедляется, поскольку маршрутизатор не успевает обрабатывать исходящий трафик. Особенно это заметно в сетях состоящих из нескольких локальных высокоскоростных сегментов соединенных медленными WAN каналами.

Например, организация имеет гигабиную сеть и 10 мегабитный выход в интернет, компьютеры могут посылать пакеты по локальной сети на маршрутизатор с большей скоростью чем маршрутизатор может их передать в интернет. В данном сценарии маршрутизатор держит полученные пакеты в очереди и обрабатывает их по мере доступности канала. По-умолчанию, маршрутизатор обрабатывает пакеты стоящие в очереди по принципу «первый пришел – первый ушел». И в таком случае важый трафик может ожидать отправки в то время как маршрутизатор обрабатывает менее значимые пакеты.

На рисунке 3 изображены два клиента посылающие трафик, один обращается к сайту www.contoso.com (важный сайт), второй к www.southridgevideo.com (личный узел сотрудника не представляющий ценности). Как показывает диаграмма, маршрутизатор обрабатывает пакеты одинаково и данные передаваемые для www.southridgevideo.com могут быть посланы перед данными для www.contoso.com.Figure 3: Без QoS, низко-приоритетный трафик может обрабатываться раньше высоко-приоритетного.

Когда ИТ специалисты конфигурируют Quality of Service (QoS), Windows начинает помечать исходящие пакеты спецальным номером Differentiated Services Code Point (DSCP). Роутер проверяет DSCP значение и определяет приоритет пакета. Если сеть загружена и маршрутизатор держит пакеты в очереди, пакеты с высоким приоритетом обрабатываются в первую очередь, несмотря на порядок поступления. Поэтому технология QoS позволяет управлять скоростью ответа важного сетевого приложения даже во время высокой загрузки сети.

В более ранних версиях Windows, ИТ-специалисты могли указать приложение, IP-адреса и номера портов для определения приоритетов QoS. С таким уровнем детализации, ИТ специалисты могли назначать приоритеты трафику (web и E-mail) для улучшения использования полосы пропускания, а так же определить к каким серверам данные должны передоваться в первую очереть.

С ростом Web сервисов и консолидацией серверов приложений появилась потребность в более гибком контроле приоритетов. Например один из серверов несет на себе сразу два приложения, одно из которых является критичным. Web сервисы одного сервера используют общий IP адресс, что сразу ограничивает возможности приоритезации.

Windows 7 позволяет приоритезировать WEB трафик базируясь на URL адресах. Используя настройку QoS на основе URL, ИТ-специалисты могут быть уверены, что важный WEB трафик будет обработан с высшим приоритетом, а это в свою очередь улучшит производительность в загруженных сетях. Также присутвсвует возможность конфигурировать правила используя Uniform Resource идентификатор т.е для данных для http://contoso.com/cust_serv/ можно назначить высокий приоритет, а для http://contoso.com/forum/ низкий. Все настройки QoS можно определить используя Групповые политики.

Figure 4: Приоритезация трафика на основе фильтрации URL

DNS Security Extensions (Расширения безопасности DNS)


DNS клиенты под управлением Windows 7 или Windows Server 2008 R2 а также DNS сервера Windows Server 2008 R2 потдерживают DNS Security Extensions (DNSSEC) для проверки целостности DNS записей согласно RFC 4033, 4034 и 4035. Для того чтобы убедиться в том, что запись была создана авторитетным DNS сервером и не была изменена, компьютеры Windows 7 и Windows Server 2008 R2 могут проверять целостность DNS ответов.

При использовании DNSSEC авторитетный DNS сервер Windows Server 2008 R2 осуществляет цифровое подписывание DNS зоны и генерирует цифровую подпись для каждой ресурсной записи в зоне. Другие DNS сервера испольуя доверительные связи могут убедиться что в DNS запись была подписана авторитетным DNS-сервером и не была изменена. Клиентские же компьютеры потдерживающиее DNSSEC могут анализировать успешность серверной проверки до использования возвращенного ответа с DNS записью.

На рисунку 5 изображена схема на которой исползуя IPsec и DNSSEC предоставляется сквозная безопасность в случае прохождения запросов и ответов через несколько DNS серверов. К примеру, клиентский компьютер находится в филиале и отсылает DNS запросы на не-авторитетный DNS сервер Windows Server 2008 R2. Этот филиальный DNS сервер перенаправляет запросы на авторитетный DNS сервер в главном офисе и с помощью DNSSEC проверяет целостность внутренних DNS записей. (даже если есть несколько промежуточных серверов) После чего информирует клиента о том что DNSSEC был использован для проверки записей.



Рисунок 5: DNSSEC может предотвращать атаки типа man-in-the-middle.

Support for Green IT


Windows 7 предлагает функцию включения компьютера по беспроводной сети Wake on Wireless LAN (WOWL) и интелектульные функции питания (Smart Network Power) позволяющие снизить потребление энергии.

Wake on Wireless LAN


Для экономия электроэнергии и батареи компьютера пользователи могу во время простоя компьютера переводить его в спящий режим. В предыдщих версиях пользователи и ит-специалисты могли использовать функцию Wake on LAN чтобы при необходимости по сети пробудить компьютер и дальше выполнять любые действия по администрированию. Но технология Wake on LAN (WOL) потдерживала только проводные сетевые соединения. Разбудить же компьютеры подключенные к сети по беспроводной технологии было нельзя, что в свою очередь не давало ит-специлистам выполнять административные действия с удаленными рабочими станциями и ноутбуками.

В Windows 7 добавлена потдержка Wake on Wireless LAN (WoWLAN). Теперь при потдежке WoWLAN в Windows 7 можно выводить компьютеры из спящего режима использующие беспроводные подключения.

Smart Network Power


Проводные сетевые соединения используют питание даже если сетевой кабель не подключен. Windows 7 предлагает возможность автоматического выключения питания сетевого адаптера при отключенном кабеле. После того как кабель будет вставлен, питание автоматически восстановится. Функция направлена на энергосбережение и позволяет пользователям легко подключаться к проводным сетям.

Итог


Windows 7 и Windows Server 2008 R2 предлагаем следующие возможности для повышения удобства работы удаленных пользователей через низко скоростные каналы:

  • DirectAccess, VPN Reconnect, и Mobile Broadband

  • BranchCache и file sharing enhancements

Функции Windows 7 and Windows Server 2008 направленные на обеспечения безопасности:DirectAccess and VPN Reconnect increase the time mobile users are connected to the internal network, improving manageability.

  • DNSSEC

  • Mobile Broadband

Технологии, направленные на внижение затрат на ИТ:

  • BranchCache, URL-based QoS, and file sharing enhancements

  • Green IT

В целом, улучшение сетевых возможностей в Windows 7 и Windows Server 2008 R2 повышают производительность труда пользователей и снижают расходы на управление, значительно увеличив ценность новейших клиентских и серверных операционных систем от Microsoft.




Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал