Share via

Сетевые возможности Windows 7 и Windows Server 2008 R2

  • Статья

Илья Рудь

network-interface-card.jpg

В Windows ® 7 и Windows Server ® 2008 R2 Microsoft вводит несколько новых сетевых функций для повышения производительности труда мобильных пользователей и пользователей, работающих в филиалах. Этот документ описывает данные возможности, а также другие сетевые усовершенствования в Windows 7 и Windows Server 2008 R2.

Данный документ – выдержка из «white-paper», переведенного мною, который позволит читателю познакомиться с новыми понятиями из мира Windows 7 и Windows Server 2008 R2.

DirectAccess

DirectAccess предоставляет пользователям прозрачный доступ к внутренним ресурсам сети, если они подключены к сети Интернет. Традиционно пользователи подключаются к внутренним сетевым ресурсам, используя виртуальную частную сеть (VPN).

Тем не менее, использование VPN по ряду причин может быть неудобным:

   Подключение к VPN осуществляется в несколько шагов, при этом пользователь должен ждать проверки подлинности. Для организаций, проверяющих состояние и здоровье компьютера перед тем, как разрешить подключение, создание VPN может занять несколько минут.

   Каждый раз, когда пользователь теряет свое подключение к Интернету, необходимо повторно установить VPN-соединение.

   Производительность Интернета замедляется, если весь трафик направляется через VPN.

Из-за этих проблем, многие пользователи избегают подключения через VPN. Вместо этого для подключения к внутренним ресурсам они используют такие технологии, как Microsoft Office Outlook ® Web Access (OWA). С OWA пользователь может получить доступ к внутренней электронной почте без установления VPN-соединения. Однако если пользователь пытается открыть документ во внутренней сети (ссылка на него может быть доставлена электронным письмом), ему отказывает в доступе к внутреннему ресурсу, поскольку тот, как правило, не доступен из Интернета.

Windows 7 и Windows Server 2008 R2 предоставляют возможность DirectAccess, которая позволяет пользователям работать из дома через точки беспроводного доступа в сеть, как будто они находятся в офисе. С DirectAccess авторизованные пользователи, применяющие Windows 7, могут получить доступ к корпоративным папкам с общим доступом, просматривать веб-узлы интрасети, а также работать с интранет-приложениями без установки VPN-соединения.

DirectAccess также удобен для ИТ-специалистов, позволяя им управлять мобильными компьютерами за пределами офиса в любое время, в любом месте, даже несмотря на то, что компьютеры не подключены по VPN. Каждый раз, когда мобильный компьютер подключается к Интернету, прежде чем пользователь войдет в систему, DirectAccess создает двунаправленную соединение, что позволяет клиентскому компьютеру применять политики компании и получать обновления программного обеспечения.

DirectAccess обеспечивает безопасную и гибкую сетевую инфраструктуру с использованием таких технологий, как IPv6 и IPSec. Функции безопасности и эффективности включают в себя:

· Аутентификация. DirectAccess аутентифицирует компьютер до входа пользователя в систему, позволяя ИТ-специалистам управлять компьютером с установленным Интернет-соединением. DirectAccess также может проверять подлинность пользователей, поддерживая многофакторную аутентификацию, такую как аутентификация по смарт-картам.

· IPv6. DirectAccess использует IPv6, предоставляя клиентам для удаленного доступа маршрутизируемые IP-адреса. Организации, которые еще не готовы в полной мере развернуть IPv6, могут использовать переходные технологии, такие как ISATAP, 6to4 и Teredo, чтобы клиенты могли подключаться через IPv4-семент Интернета к IPv4-ресурсам на предприятии сети. Эти технологии обеспечивают поддержку IPv6 для устройств и серверов, которые не имеют собственной поддержки IPv6.

· Шифрование. DirectAccess использует IPsec для обеспечения аутентификации и шифрования данных, передаваемых через Интернет. Вы можете использовать любой IPsec-метод шифрования, включая DES, с 56-разрядным ключом, или 3DES, с тремя 56-разрядными ключами.

· Контроль доступа. Используя DirectAccess, ИТ-специалисты могут определить внутренние ресурсы, к которым каждый пользователь сможет подключиться и получить неограниченный доступ или разрешить доступ только к конкретным серверам или сетям.

Как показано на Рисунке 1, DirectAccess использует разделенный туннель маршрутизации, за счет чего сокращается излишний сетевой трафик в корпоративной сети. При такой схеме только трафик, предназначенный для сети предприятия, пересылается через DirectAccess сервера. Разделенный туннель маршрутизации является конфигурацией по умолчанию для DirectAccess, ИТ-специалисты могут отключить эту функцию и направить весь трафик через сеть предприятия.

http://itband.ru/wp-content/uploads/2009/08/clip-image002.png

Рис. 1. Трафик DirectAccess с использованием разделенного туннеля маршрутизации.

VPN Reconnect

http://itband.ru/wp-content/uploads/2009/08/vpnreconnect.jpg

DirectAccess может стать предпочитаемым способом подключения удаленных клиентов для многих организаций. Но все же некоторые из них продолжат использовать VPN параллельно с DirectAccess. Поэтому Microsoft улучшила поддержку VPN в Windows 7, включив новую технологию VPN Reconnect.

VPN Reconnect использует технологию IKEv2 для обеспечения стабильного и постоянного VPN-соединения, автоматически восстанавливаемого в случае временной потери соединения с Интернетом. Наибольшую пользу от этой возможности получат пользователи, применяющие для работы в сети беспроводные подключения. Эта функция поможет сэкономить время мобильным пользователям при нестабильных сетевых соединениях.

Примером может служить сотрудник, работающий во время поездки на поезде. Для выполнения своих задач он использует VPN-соединение, которое установлено поверх беспроводного доступа в Интернет. В моменты, когда поезд въезжает в туннель, беспроводной сигнал теряется и восстанавливается только по окончанию туннеля. В более ранних версиями Windows VPN не восстанавливался автоматически, и пользователь был обязан осуществить несколько действия для восстановления подключения к VPN. Эта функция поможет сэкономить время мобильным клиентам, использующим нестабильные сетевые соединения.

С VPN Reconnect, Windows 7 автоматически восстанавливает VPN-соединение после возвращения связи с Интернетом. Несмотря на то, что повторное подключение может занять несколько секунд, процесс является полностью прозрачным для пользователей, которые теперь имеют больше шансов остаться подключенными к внутренним ресурсам сети.

BranchCache

BranchCache™ позволяет при использовании Windows 7 и Windows Server 2008 R2 понизить нагрузку на WAN-каналы, ускорив скорость ответа сетевых приложений из удаленных офисов. При включении BranchCache в Windows 7 и Windows Server 2008 данные, полученные из веба и файловых серверов, расположенных за пределами локальной сети, кэшируются во внутренней сети. Если другой клиент из этого же филиала запросит те же данные, то получены они будут из своего сегмента сети без обращения по WAN-каналу. Клиенты всегда будут авторизовываться на сервере в дата-центре до получения доступа к данным, закэшированным в их сегменте сети.

BranchCache может работать в одном из двух режимов:

Распределенный кэш. Используя одноранговую архитектуру, клиенты Windows 7 кэшируют данные, полученные с Windows Server 2008 R2, и посылают их напрямую другим клиентам Windows 7 по мере надобности, без повторных запросов этих данных по WAN-каналу. Распределенный кэш является оптимальным режимом для филиалов, не имеющих сервера на базе Windows Server 2008 R2.

Централизованный кэш. В данном режиме задействуется клиент-серверная архитектура, в которой клиент Windows 7 посылает копию полученных данных на сервер Windows Server 2008 R2 с включенной функцией BranchCache. При необходимости другие клиенты запрашивают нужные данные с кэша, расположенного на этом сервере.

Сравнивая два режима работы BranchCache, можно отметить, что централизованный кэш повышает доступность данных, поскольку не зависит от работы клиентского компьютера, который осуществил первый запрос данных. Вдобавок, централизованный кэш позволяет работать с несколькими подсетями и понизить объем широковещательного трафика в локальной сети. Под сервер хранилища централизованного кэша необязательно выделять отдельный сервер, обычно им может служить уже установленный сервер с Windows Server 2008 R2.

http://itband.ru/wp-content/uploads/2009/08/clip-image0025.png

Рис. 2. Сравнение двух режимов работы BranchCache

На данный момент BranchCache поддерживает работу следующих протоколов, и полностью совместим с шифрованием IPsec:

· HTTP (включая HTTPS). Стандартный протокол для передачи веб-данных используется приложениями Internet Explorer®, Windows Media® и Windows SharePoint®.

· SMB (включая подписанный SMB). При подключении к общим папкам с помощью Windows Explorer является стандартным протоколом передачи файлов по сети.

При включенной функции BranchCache клиентский и серверный компьютеры для получения данных по протоколам HTTP или SMB проходят ряд этапов:

1. Клиенский компьютер Windows 7 соединяется с сервером в датацентре под управлением Windows Server 2008 R2 и запрашивает данные, точно также как бы он это сделал без включеного BranchCache.

2. Сервер в датацентре аутентифицирует пользователя и проверяет, что он авторизован для получения этих данных.

3. Вместо содержимого сервер возвращает клиенту идентификатор (хэш) запрашиваемых данных. Делает он это, используя тот же канал, по которому обычно передаются данные.

4. Используя полученный идентификатор, клиентский компьютер Windows 7 делает следующее:

  • Если используется распределенный кэш, клиент рассылает широковещательные пакеты в своем сегменте сети, пытаясь найти компьютеры уже скачавшие данные.
  • Если используется централизованный кэш, клиент ищет данные на сервере, централизованно хранящем кэш.

5. Если необходимое клиенту содержимое доступно в его сегменте сети (неважно какой режим BranchCache используется) он получает эти данные и проверяет, что они не были модифицированы или повреждены.

6. При отсутствии нужных данных, клиент запрашивает их непосредственно с сервера в датацентре, после чего делает их доступными в своем кэше, либопересылает на сервер централизованного кэширования в зависимости от режима работы BranchCache.

Все данные, которыми обмениваются клиентские компьютеры и сервер централизованного кэширования в рамках работы BranchCache шифруются.

Улучшения автономных файлов и доступа к общим папкам.

ИТ-профессионалы могут оценить преимущество Windows 7, связанное с улучшением доступа к общим папкам в филиалах компании. Windows 7 предусматривает:

Прозрачное кэширование общих папок на клиентском компьютере уменьшает время, требуемое для получения доступа к файлу для второго и последующих обращений на медленных каналах. Это достигается за счет усовершенствований протокола, связанных с устранением множества избыточных операций при открытии или сохранении файлов, что в свою очередь помогает улучшить работу приложений на медленных каналах.

Возможность фоновой синхронизации автономных файлов, упрощает администрирование и улучшает работу конечных пользователей.

Прозрачное кэширование

В предыдущих версиях Windows для открытия файла по медленному каналу клиентский компьютер всегда брал файл с сервера, даже если было необходимо только чтение. С появлением прозрачного кэширования компьютер сохраняет в локальном кэше открываемые файлы, уменьшая количество обращений к серверу в случае повторных открытий файлов. При первом открытии Windows 7 считывает файл с сервера и сохраняет в кэш на локальный диск. Вторые и последующие открытия этого файла производятся операционной системой с кэша, расположенного на локальном диске компьютера.

Для обеспечения целостности данных, Windows 7 всегда связывается с сервером, проверяя актуальность кэшированной копии. Получить доступ к кэшу в случае недоступности сервера невозможно. Изменения файла всегда производятся на сервере. По умолчанию прозрачное кэширование на быстрых сетях отключено.

ИТ-специалисты могут использовать Групповые политики для управления прозрачным кэшированием, сконфигурировать размер диска, выделяемого под кэш, и предотвратить кэширование файлов определенных форматов.

Для конечного пользователя данное кэширование абсолютно прозрачно и позволяет работать с серверами, как будто они находятся с ним в одном сегменте высокоскоростной сети.

Фоновая синхронизация Автономных Файлов.

В операционной системе Windows Vista пользователи, находясь в сети, работали с файлами на сервере. Если пользователь отключался от сети, изменения файлов кэшировались на клиентском компьютере и синхронизировались с сервером при следующем подключении. В Windows 7 синхронизация происходит автоматически в фоновом режиме; пользователю нет необходимости выбирать, в каком режиме – online или offline – он сейчас находится. Файловая синхронизация прозрачна для конечного пользователя и может централизованно управляться через Групповые политики и контролироваться Центром Синхронизации.

Это обеспечивает надежную и прозрачную синхронизацию общих папок, предоставляя пользователям доступ к данным, даже когда они отсоединены от сети. Им не нужно беспокоиться о ручной синхронизации данных по медленным каналам, а ИТ-специалисты могу быть уверены в том, что пользовательские данные синхронизированы с сервером.

Функция Перенаправление папок, дающая возможность пользователю перенаправить папки профиля на сервер, с изменениями в синхронизации стала более полезной. Перенаправленная с помощью групповой политики папка с включенной синхронизацией позволит пользователю Windows 7 при отключении от сети автоматически переключиться на локальную копию и после возвращения в сеть осуществить автоматическую синхронизацию. В свою очередь это дает возможность создавать резервные копии пользовательских данных, не вмешиваясь в работу сотрудника. В Windows 7 добавлен классически offline-режим, который предусматривает аналогичные возможности при подключении к серверу через медленную сеть.

Качество обслуживания, основанное на URL (URL-based QoS)

Не всегда увеличение пропускной способности сети может решить проблему производительности. Любое загруженное сетевое подключение замедляется, поскольку маршрутизатор не успевает обрабатывать исходящий трафик. Особенно это заметно в сетях, состоящих из нескольких локальных высокоскоростных сегментов, соединенных медленными WAN каналами.

Например, организация имеет гигабитную сеть и 10-мегабитный выход в интернет, компьютеры могут посылать пакеты по локальной сети на маршрутизатор с большей скоростью, чем маршрутизатор может их передать в интернет. В данном сценарии маршрутизатор держит полученные пакеты в очереди и обрабатывает их по мере доступности канала. По молчанию, маршрутизатор обрабатывает пакеты, стоящие в очереди, по принципу «первый пришел – первый ушел». И в таком случае важный трафик может ожидать отправки, в то время как маршрутизатор обрабатывает менее значимые пакеты.

На рисунке 3 изображены два клиента посылающие трафик, один обращается к сайту www.contoso.com (важный сайт), второй к www.southridgevideo.com (личный узел сотрудника не представляющий ценности). Как показывает диаграмма, маршрутизатор обрабатывает пакеты одинаково и данные, передаваемые для www.southridgevideo.com могут быть посланы перед данными для www.contoso.com.

http://itband.ru/wp-content/uploads/2009/08/clip-image0027.png

Рис. 3. Без QoS, низкоприоритетный трафик может обрабатываться раньше высокоприоритетного.

Когда ИТ-специалисты конфигурируют Quality of Service (QoS), Windows начинает помечать исходящие пакеты специальным номером Differentiated Services Code Point (DSCP). Роутер проверяет значение DSCP и определяет приоритет пакета. Если сеть загружена и маршрутизатор держит пакеты в очереди, пакеты с высоким приоритетом обрабатываются в первую очередь, несмотря на порядок поступления. Поэтому технология QoS позволяет управлять скоростью ответа важного сетевого приложения даже во время высокой загрузки сети.

В более ранних версиях Windows, ИТ-специалисты могли указать приложение, IP-адреса и номера портов для определения приоритетов QoS. С таким уровнем детализации, ИТ-специалисты могли назначать приоритеты трафику (web и E-mail) для улучшения использования полосы пропускания, а также определить к каким серверам данные должны передаваться в первую очередь.

С ростом веб-сервисов и консолидацией серверов приложений появилась потребность в более гибком контроле приоритетов. Например, один из серверов несет на себе сразу два приложения, одно из которых является критичным. Веб-сервисы одного сервера используют общий IP-адрес, что сразу ограничивает возможности приоритизации.

Windows 7 позволяет приоритизировать веб-трафик, базируясь на URL-адресах. Используя настройку QoS на основе URL, ИТ-специалисты могут быть уверены, что важный веб-трафик будет обработан с высшим приоритетом, а это в свою очередь улучшит производительность в загруженных сетях. Также присутствует возможность конфигурировать правила, используя идентификатор Uniform Resource, т.е. для данных, предназначенных https://contoso.com/cust\_serv/ можно назначить высокий приоритет, а для https://contoso.com/forum/ – низкий. Все настройки QoS можно определить, используя Групповые политики.

http://itband.ru/wp-content/uploads/2009/08/clip-image0029.png

Рис. 4. Приоритизация трафика на основе фильтрации URL

DNS Security Extensions (Расширения безопасности DNS)

DNS-клиенты под управлением Windows 7 или Windows Server 2008 R2, а также DNS-сервера Windows Server 2008 R2 поддерживают DNS Security Extensions (DNSSEC) для проверки целостности DNS-записей согласно RFC 4033, 4034 и 4035. Для того чтобы убедиться в том, что запись была создана авторитетным DNS-сервером и не была изменена, компьютеры Windows 7 и Windows Server 2008 R2 могут проверять целостность DNS-ответов.

При использовании DNSSEC авторитетный DNS-сервер Windows Server 2008 R2 осуществляет цифровое подписывание DNS-зоны и генерирует цифровую подпись для каждой ресурсной записи в зоне. Другие DNS-сервера, используя доверительные связи, могут убедиться, что DNS-запись была подписана авторитетным DNS-сервером и не была изменена. Клиентские же компьютеры, поддерживающие DNSSEC, могут анализировать успешность серверной проверки до использования возвращенного ответа с DNS-записью.

На рисунке 5 изображена схема, на которой, используя IPsec и DNSSEC, обеспечивается сквозная безопасность в случае прохождения запросов и ответов через несколько DNS-серверов. К примеру, клиентский компьютер находится в филиале и отсылает DNS-запросы на неавторитетный DNS-сервер Windows Server 2008 R2. Этот филиальный DNS-сервер перенаправляет запросы на авторитетный DNS-сервер в главном офисе и с помощью DNSSEC проверяет целостность внутренних DNS-записей (даже если есть несколько промежуточных серверов). После чего информирует клиента о том, что DNSSEC был использован для проверки записей.

http://itband.ru/wp-content/uploads/2009/08/clip-image00211.png

Рис. 5. DNSSEC может предотвращать атаки типа man-in-the-middle.

Напоследок

Wake on Wireless LAN

Для экономии электроэнергии и батареи пользователи могут во время простоя компьютера переводить его в спящий режим. В предыдущих версиях пользователи и ИТ-специалисты могли использовать функцию Wake on LAN, чтобы при необходимости по сети пробудить компьютер и дальше выполнять любые действия по администрированию. Но технология Wake on LAN (WOL) поддерживала только проводные сетевые соединения. Разбудить же компьютеры, подключенные к сети по беспроводной технологии, было нельзя, что в свою очередь не давало ИТ-специалистам выполнять административные действия с удаленными рабочими станциями и ноутбуками.

В Windows 7 добавленаподдержка Wake on Wireless LAN (WoWLAN). Теперь, при поддержке WoWLAN, в Windows 7 можно выводить из спящего режима компьютеры, использующие беспроводные подключения.

Smart Network Power

Проводные сетевые соединения используют питание, даже если сетевой кабель не подключен. Windows 7 предлагает возможность автоматического выключения питания сетевого адаптера при отключенном кабеле. После того как кабель будет вставлен, питание автоматически восстановится. Функция направлена на энергосбережение и позволяет пользователям легко подключаться к проводным сетям.