Windows 7 e Windows Server 2008 R2

BranchCache e DirectAccess: miglioramento dell'esperienza delle succursali

Gary Olsen

Mentre le masse contenere infine loro primo peek in Windows Server 2008 R2 e Windows 7, scelto quelle sta utilizzando codice della versione finale candidata (RC) dal maggio e release to manufacturing (RTM) versione dall'agosto. Indipendentemente dal gruppo a cui ci si trova probabilmente in, si dispone di stati sommerso con hype. Forse si sono stati invitati a un'anteprima di Windows 7 “ casa festa ” come me, ad esempio. (Mio son-in-law ospitato uno, ma solo perché ha voluto software gratuito da Microsoft.) Anche se si sono stati spared tale hype principali, è impossibile hanno evitato ciascuno dei molti report supporti esaltato o segnalate come errori le nuove funzionalità di questi prodotti, sia di cui sono all'interno di una nuova struttura di codice e ne costituiscono nuovi sistemi operativi.

BranchCache e DirectAccess, verosimilmente il jewels crown di queste versioni, vale la pena l'intervento dell'utente. Con BranchCache, Microsoft mira a fornire la stessa esperienza di lavoro con i file come i relativi peer della sede centrale i dipendenti della filiale. Con DirectAccess, Microsoft ha come destinazione gli utenti remoti si connettono alle reti aziendali tramite le reti private virtuali (VPN).

Come è tipica con Microsoft, si ottengono solo stuff buona su nuovi prodotti. In questo caso, è possibile implementare solo BranchCache e Windows 7 client e Server 2008 R2. Let’s Esaminiamo più profondo ognuna di queste nuove funzionalità.

BranchCache

BranchCache migliora l'esperienza di branch office mediante la memorizzazione nella cache comunemente utilizzati file localmente, su una workstation Windows Server 2008 R2 per il server o utente anziché imporre agli utenti di accedere ai file tramite una posizione centrale che si trovano le condivisioni di rete. BranchCache è interessante, ma esistono avvertenze.

IT possono distribuire BranchCache Distributed modalità cache di Hosted modalità di cache (vedere di Figura 1). IT consente di configurare la modalità tramite criteri di gruppo, in modo utilizzando modalità ospitato in un ufficio e in modalità distribuita in un altro richiede pianificazione conseguenza strutture di unità organizzative (OU) e l'implementazione di due criteri. Microsoft consiglia di distribuire Distributed modalità cache in siti di un massimo di 50 client, ma esso dipende dalla velocità e larghezza di banda del collegamento WAN, come pure altri fattori. Modalità cache distribuita richiederà capienti dischi rigidi e memoria forse e altre risorse, in modo che in qualche punto sarà più vantaggioso per l'utilizzo della modalità cache hosted, soprattutto se è presente un server R2 2008 esistente nel sito. Modalità cache distribuita può, inoltre, funzionano solo in una subnet locale. Pertanto, se sono presenti più subnet in un sito, un client in ciascuna subnet verrà dispone memorizzare nella cache il file ad altri utenti della subnet per il download. Tuttavia, Hosted modalità cache può essere utilizzato più subnet al sito, in modo che sarebbe un altro motivo per scegliere la modalità cache hosted.

Figura 1 di A branch office possono utilizzare BranchCache in modalità distribuita o ospitata.

In modalità cache distribuita, nessun file server si trova nella filiale. Invece, attraverso i criteri, tutti i computer di utente sono i client di BranchCache, vale a dire tutti hanno la possibilità di documenti della cache che è possibile scaricare altri utenti nel sito della filiale, ovvero se la versione corrente.

Si supponga ad esempio, let’s Caroline richieste di un documento Reports.docx da un file abilitato per BranchCache server nel sito centrale. BranchCache Invia metadati che descrivono il contenuto del file. Gli hash nei metadati vengono quindi utilizzati per eseguire la ricerca di contenuto nella subnet locale. Se non viene trovato, viene memorizzato nella cache una copia sul disco locale del suo computer. Più avanti in giorno, Tyler deve modificare Reports.docx in modo egli contatta la condivisione sul server dell'ufficio principale file per ottenere una copia per la modifica. File server restituisce i metadati, quindi il client esegue la ricerca di contenuto, che viene trovata in e si esegue il download da Caroline computer. Questa operazione viene eseguita in modo protetto utilizzando una chiave di crittografia derivata dagli hash nei metadati. Il giorno successivo, Abigail deve modificare tale documento stesso. Il processo è lo stesso ma Maria verrà aprendo la copia memorizzata nella cache sul computer di Tyler. Nuovamente, le informazioni sulla versione viene mantenute sul server. I client contattano il server per determinare se è presente una copia della versione più recente nel proprio sito.

Questo è uno dei tre BranchCache riprodurre gli scenari che accedono come gli utenti che utilizzano vari documenti. Gli altri due sono:

• Un ufficio di filiale lavoro chiede al server di file ufficio principale per un documento non viene memorizzata nella cache in un computer locale. L'utente riceve una copia, quindi viene memorizzati localmente nella cache.
• Un ufficio di filiale lavoro chiede al server di file per un documento viene memorizzato nella cache nel sito locale, ma il computer è spento. Il client ottiene una nuova copia dal file server e li memorizza nella cache sul suo PC. Richieste future causare questo la copia memorizzata nella cache più recente.

In ogni caso, i documenti inoltre salvare il file server dell'ufficio principale. In questo modo, se Caroline torna disponibile e si desidera accedere al documento ma computer di Abigail, che ora contiene la versione più recente è disattivato, Maria riceveranno il documento dal server dell'ufficio principale.

Con la modalità di Cache Hosted IT consente di configurare un file server Windows 2008 R2 nella filiale con BranchCache installando la funzionalità di BranchCache e configurando un criterio di gruppo per informare i client per l'utilizzo della modalità cache hosted. La procedura descritta per la modalità Cache Distributed funziona allo stesso qui, ma i file vengono memorizzati nella cache su un server di BranchCache configurato localmente anziché computer ’ utenti.

Nota: i metadati contenuto gestito dal file server del sito della sede centrale viene inviato a ciascun client quando viene richiesto un file da un server abilitato per BranchCache. Questo è utilizzato per determinare se eventuali server (in base alle quali cache viene utilizzata la modalità) o client locale ha la copia più recente.

Server abilitati all'utilizzo di BranchCache presso il sito di filiale può essere utilizzato per altri scopi, ad esempio un server Web o Windows Server Update Services (WSUS). Considerazioni speciali devono essere apportate in questi casi e descritto nel Guida alla distribuzione Microsoft BranchCache e Guida dell'Adopter di BranchCache Microsoft Early.

Configurazione di BranchCache

Per configurare BranchCache, sarà necessario comprendere il funzionamento di oggetti Criteri di gruppo (GPO) e come configurarli nella struttura di unità ORGANIZZATIVA per influire sul computer in ciascun sito. Tenere presente che tutti i server coinvolti nello scenario BranchCache devono essere Windows Server 2008 R2 e tutti i client Windows 7. Ecco il processo:

Passaggio 1. Installare la funzionalità di BranchCache tramite Server Manager.

Passaggio 2. Se si utilizza un file server per BranchCache sarà necessario installare il ruolo Servizi File nonché BranchCache per i file remoti (vedere di Figura 2).

Nella figura 2 BranchCache A installazione richiede l'attivazione di servizi file e BranchCache per i ruoli di file remoti.

Passaggio 3. Configurare un oggetto Criteri di gruppo BranchCache. Passare a configurazione computer | criteri | modelli amministrativi | rete | BranchCache. Verranno visualizzati cinque impostazioni possibili:

• Attivare BranchCache. Questo ha abilitato per tutti i BranchCaching (vedere di Figura 3). Si noti che l'attivazione di BranchCache senza abilitare le impostazioni dei criteri modalità Distributes o Hosted Cache fa sì che il client di Windows 7 locale per i file di cache locale. Ciò risulta utile se più utenti utilizzano un solo computer.

   

  

Nella figura 3 In console di gestione Criteri di gruppo attivare BranchCache per la memorizzazione nella cache di branch office.

• Set BranchCache Distributed modalità cache. Questo vale per tutti i client nell'oggetto Criteri di gruppo.
• La modalità Cache Hosted BranchCache impostata. Specificare un server per l'host la cache. Questi ruoli si escludono a vicenda. Solo uno può essere configurato per il sito.
• Configurare BranchCache per i file di rete. Se non configurato o disattivato, che definisce una soglia di latenza di 80ms. Se la richiesta di file richiede più di 80ms, il file verrà eseguito nella cache. Attiva questa impostazione e modificare il valore di latenza come desiderato.
• Impostare la percentuale di spazio su disco utilizzato per la cache dei computer client. Questo valore viene impostato in base all'impostazione predefinita al 5 % del disco dell'utente. Sarà necessario riprodurre con questa opzione per ottenere la giusta quantità per servire la cache e fornendo lo spazio utente richiesto. Può trattarsi di un problema se si dispone di configurazioni del disco che variano ampiamente alle dimensioni, come alcune avranno maggiore capacità di cache rispetto ad altri.

Passaggio 4. Configurare l'impostazione “ LanMan Server ” nei criteri di BranchCache oggetto Criteri di gruppo. Nella stessa area dell'oggetto Criteri di gruppo nel passaggio 3, passare all'impostazione del LanMan Server e osservare le proprietà per “ hash pubblicazione per BranchCache. ” Sono tre opzioni:

• Non consentire la pubblicazione di hash su tutte le cartelle condivise.
• Consenti pubblicazione di hash per tutte le cartelle condivise.
• Consenti pubblicazione hash solo per le cartelle condivise in cui è attivato BranchCache.

Server che eseguono il ruolo di server Servizi di file sui server di 2008 R2 desiderato per i server di contenuti BranchCache di essere inoltre necessario eseguire BranchCache per ruolo Servizi File di rete e pubblicazione hash deve essere abilitata. BranchCache è attivato anche singolarmente nelle condivisioni di file. È possibile abilitare singolarmente la pubblicazione di hash su un server (ad esempio per una configurazione server non di dominio) o su gruppi di server tramite criteri di gruppo. In questo modo, BranchCache può essere attivato su tutte le cartelle condivise, alcune cartelle condivise o disattivato completamente.

Passaggio 5. Configurare l'impostazione GPO in Windows Firewall per consentire in ingresso la porta TCP 80 (applicate al computer client).

Passaggio 6. Dopo aver configurato tutti i dati e la condivisione di file esiste già con i file ’ utenti, passare a Gestione server | Servizi File | condivisione e gestione dell'archiviazione. Il riquadro centrale Elenca le condivisioni. Fare clic con il pulsante destro del mouse sulla condivisione e scegliere Proprietà, quindi fare clic su Avanzate. Nella scheda cache attivare BranchCache (vedere di Figura 4). Nota: Se l'opzione BranchCache non è disponibile, la funzionalità di BranchCache non è stata installata correttamente oppure il criterio è impostato per disattivare, come indicato in precedenza.

Nella figura 4 Consenti condivisione con BranchCache utilizzando controlli condivisione e gestione dell'archiviazione dei file .

Configurazione Client BranchCache

Per impostazione predefinita tutti i client di Windows 7 sono abilitati per BranchCache, vale a dire non c'è niente da abilitare sul client di se stesso. Tuttavia, esistono passaggi relativi al client che sono necessari:

• Configurare le impostazioni di firewall. Mentre questo è stato osservato in precedenza, esistono altri requisiti per la modalità cache hosted. Fare riferimento ai documenti BranchCache da Microsoft descritto al termine di questo articolo.
• I client devono essere in un'unità ORGANIZZATIVA che contiene un criterio che consente di BranchCache e definisce la modalità cache da utilizzare. Nuovamente, fare riferimento ai documenti alla fine di questo articolo per ulteriori dettagli.

BranchCache: Good

È qui mi piace sulle BranchCache:

• Background Intelligent Transfer System (BITS) può utilizzare per attivare il trasferimento del file in background se l'utente è connesso, anche se la chiusura dell'applicazione. Si tratta di un'ottima funzionalità per le filiali connesse mediante collegamenti lenti. Dovrebbe essere necessario riavviare il sistema, il trasferimento di file continuerà una volta che viene completata. A questo scopo, ovviamente, le applicazioni devono essere scritto per sfruttare i vantaggi di BITS.
• BranchCache è configurabile tramite l'utilità della riga di comando Netsh ed è ben documentata nella Sito BranchCache per Windows Server R2 TechNet.
• È possibile monitorare le prestazioni di BranchCache i contatori per il client, file server e host di cache. Non solo sono utili per la diagnosi delle prestazioni, dal punto di vista a come è possibile stabilire, guardando questi contatori è l'unico modo per vedere se il client riceve effettivamente una copia memorizzata nella cache.
• L'ambiente di BranchCache è controllabile tramite criteri di gruppo.

BranchCache: Il non valida

BranchCache certamente verrà avere suo posto, ma prestare attenzione a questi svantaggi:

• Poiché la modalità Cache Distributed essenzialmente trasforma ogni workstation in un file server, i computer client host di un numero elevato di file a cui si accede di frequente potrebbero risentirne riscontri delle prestazioni. Per necessario alcuni test per determinare l'impatto effettivo.
• In alcuni casi, il client possono richiedere ulteriore spazio su disco per consentire di dimensioni della cache sufficienti.
• Memorizzazione nella cache del client verrà ora essere contrastino con i peer per le risorse di rete.
• I ritardi possono ritagliare durante il processo iniziale di memorizzazione nella cache o quando un file non è disponibile nella cache. Solo i client di Windows 7 e i server di Windows Server 2008 R2 possono partecipare in modo che un'implementazione completa di questa funzionalità potrebbe richiedere del tempo.

Se è possibile giustificare l'inserimento di un file server nella filiale, perché non utilizzare condivisioni file distribuito (DFS)? Invece di messing con file memorizzati nella cache, è possibile utilizzare replica DFS (DFS-R) per replicare i file e mantenere uno spazio dei nomi con un DFS. È possibile trovare vantaggi per la memorizzazione nella cache i file di rete e forse BranchCache funzionerà su condivisioni DFS. O forse troverete alcune limite delle prestazioni in cui la cache è più efficiente rispetto al DFS-R. D'altra parte, l'impatto sul server per BranchCache sarebbe inferiore rispetto a una presentazione completa configurazione DFS. È il punto, sarà necessario studiare le proprie esigenze ed esaminare le opzioni disponibili con BranchCache. Naturalmente, ogni ambiente è diverso e ciò che potrebbe causare problemi in alcuni diramazione non verranno uffici in altri. Non esiste una risposta destra per tutte le situazioni.

DirectAccess

Con DirectAccess, Microsoft indirizzi scarsa esperienza VPN gli utenti hanno avuto partire da Windows 2000, anche con molti miglioramenti dall'implementazione iniziale. Un client configurato DirectAccess può accedere a un sito intranet da una postazione remota senza dover stabilire un collegamento VPN manualmente. Inoltre, molto per loro delight personale IT possono gestire computer remoti tramite una connessione Internet, anziché tramite la connessione VPN. Anche senza DirectAccess, un utente remoto è in grado di sfruttare la nuova funzionalità VPN la riconnessione automatica. In tal caso, se si utilizza a casa, connessi alla intranet della mia società e interrompe il collegamento Internet, la connessione VPN verrà ristabilire la connessione quando Internet diventa disponibile, ovvero senza pestering mi a riconnettere e reimmettere le credenziali come sarebbe di eseguire, ovvero spesso ripetutamente, ovvero senza DirectAccess.

Dal punto di vista dell'utente, in realtà DirectAccess è invisibile. Quando un utente su un client abilitato fa clic sul collegamento di rete intranet, DirectAccess gestisce la connessione e disconnessione. Gli utenti non sono necessario aprire Connection Manager, immettere le proprie credenziali, attendere la connessione e così via.

Mentre la connessione remota è attiva, l'utente dispone di una configurazione “ divisione tunnel ” per impostazione predefinita (vedere di Figura 5). In questo modo l'accesso simultaneo per la rete intranet, la rete locale (per l'utilizzo di periferiche quali le stampanti) e Internet. In uno scenario tipico di VPN senza tunnel divisa, la connessione a Internet significa innanzitutto passino sulla rete intranet e quindi passando attraverso il gateway di rete aziendale per la connettività. Inoltre, è possibile non dispongono di accesso alla rete locale, sebbene siano possibili soluzioni alternative. Così nuovamente DirectAccess è progettato per offrire all'utente remoto una più “ nell'ufficio ” esperienza rispetto a offre VPN tradizionale.

Nella figura 5 DirectAccess consente di configurare un tunnel divisione simultanee connettività alla rete aziendale e Internet.

Dall'IT è la prospettiva, una volta che il computer è su Internet (ricordate che DirectAccess è sempre attivato se è installata), patch, politiche e altri aggiornamenti sono facili — e sicuro tramite connessioni IPsec — da applicare.

Requisiti di DirectAccess

In una configurazione DirectAccess di base, il server di DirectAccess è sulla rete bordo, che fornisce connettività utente remoto alle risorse interne, tra cui i server delle applicazioni, autorità di certificazione (CA), i DNS e i controller di dominio (DC). Server CA e dell'applicazione devono essere configurati per accettare il traffico IPv6. Di seguito sono i componenti essenziali di una configurazione di DirectAccess:

• Nel dominio di Active Directory, i client di DirectAccess sarà solo possibile accedere a Windows 2008 o controller di dominio 2008 R2.
• Le definizioni di criteri di gruppo devono applicare le impostazioni di DirectAccess per:
  • Identificare i client di DirectAccess.
  • Configurare la tabella dei criteri di risoluzione di nomi (NRPT).
  • Rimuovere l'Intra-Site Automatic Tunneling indirizzo Protocol (ISATAP) dall'elenco di restrizioni globali DNS.

• Il server di DirectAccess necessario effettuare le seguenti operazioni:
  • Essere un membro del dominio di Active Directory.
  • Eseguito su Windows Server 2008 R2.
  • Dispongono di due schede di rete configurato (uno per intranet e l'altra per la connettività Internet).
  • Disporre di due consecutivi IPv4 indirizzi statici esternamente risolvibili.

• Installato con gestione DirectAccess “ funzionalità ” (tramite Server Manager) e installazione eseguito per la configurazione guidata.

• Il server Web di IIS consente funzionalità che determina se le risorse intranet siano raggiungibili. Applicazione server devono essere configurati per consentire l'accesso dai client abilitati all'utilizzo di DirectAccess.
• Per l'utilizzo con l'autorità di certificazione richiesto, installare Servizi certificati Active Directory e di emettere certificati per l'autenticazione.
• Entrambi un nativo IPv6 rete transizione tecnologie o devono essere disponibile in tutta la rete intranet.
• Utilizzando i criteri IPsec per l'autenticazione protetta e la crittografia di connessione DirectAccess, il client autentica prima che l'utente accede al sistema.
• È possibile trovare le eccezioni del firewall necessarie nel Guida dell'Adopter di DirectAccess Microsoft Early.

Come si può vedere, DirectAccess non è per un'operazione semplice. Il requisito di IPv6 da solo senza dubbio genererà preoccupazione — e richiedono la maggior parte delle organizzazioni per implementare le tecnologie di transizione, ovvero ma 2008 R2 è installato i componente. Inoltre, è necessario attivare la protezione tramite un'infrastruttura a chiave pubblica (PKI, Public Key INFRASTRUCTURE), forniscono servizi di autenticazione e impostare identificazione IPv6 per i server applicazioni. Prima di eseguire l'installazione guidata di DirectAccess, è inoltre necessario configurare i gruppi di protezione, stabilire i criteri firewall, il programma di installazione del DNS e completare una serie di altri prerequisiti.

Server di DirectAccess

Il server di DirectAccess esegue numerose funzioni, definite tramite Server Manager DirectAccess installazione guidata (vedere di Figura 6).

Nella figura 6 DirectAccess inizia l'installazione tramite Server Manager.

La procedura guidata DirectAccess esegue quattro attività essenziali. La procedura guidata sarà:

1. Identificare i client per essere abilitato per DirectAccess. È possibile elencare i gruppi di protezione da altri domini o insiemi di strutture in questo caso, se sono configurate relazioni di trust. È necessario definire gruppi di protezione appropriato prima dell'esecuzione della procedura guidata.
2. Definire la connettività e protezione (certificati) per il server di DirectAccess. Sarà possibile identificare l'interfaccia di rete si trova sul lato Internet e che si connette alla rete intranet. Installare la CA e creare i certificati prima di eseguire l'installazione guidata di DirectAccess. Inoltre, definire dei criteri di smart card.
3. Identificare il DNS, controller di dominio e, facoltativamente, gestione e altri server dell'infrastruttura per utilizzare nell'ambiente di DirectAccess. È inoltre necessario identificare un server ad elevata disponibilità come il server di posizione di rete. Il server di DirectAccess possibile riempire questo ruolo.
4. Identificare i server di applicazioni configurati per accettare connessioni da client DirectAccess. Il valore predefinito non è nessun ulteriore autorizzazione end-to-end, ma è possibile selezionare le opzioni di protezione basata sui criteri IPsec.

DNS e il NRTP

Come notato in precedenza, i client di DirectAccess possono accedere direttamente alla rete intranet. Per attivare questa opzione, è necessario implementare NRPT, che definisce i server DNS per ogni spazio dei nomi DNS anziché per ogni interfaccia di rete. Ritengo che questo come il funzionamento del sistema di inoltro condizionale sul Windows 2003 e 2008 i server DNS, in cui è possibile definire spazi dei nomi DNS con l'indirizzo IP appropriato per la connessione al server. NRPT consente a un client di evitare di iterazione DNS normale e passare direttamente al server di DirectAccess.

Ecco come il NRPT funziona (vedere di Figura 7):

1. Una richiesta di query del nome corrisponde a uno spazio dei nomi configurato per la rete intranet aziendale, che punta al server di DirectAccess.
2. Il NRPT contiene l'indirizzo IP e dominio nome completo (FQDN del server DirectAccess). Quando viene utilizzato l'indirizzo IP, la connessione al server DNS è crittografata per una connessione protetta.
3. Quando si utilizza il nome di dominio completo, devono essere risolti tramite Internet e trovare il server DNS azienda.
4. Se il client invia una richiesta di risoluzione dei nomi per uno spazio dei nomi non definito in NRPT (ad esempio www.microsoft.com), quindi si deduce la risoluzione dei nomi normale tramite Internet

Nella figura 7 NRPT the consente la definizione di server DNS per ogni spazio dei nomi DNS anziché per ogni interfaccia.

NRPT viene configurato durante l'installazione di DirectAccess nella pagina dell'installazione del server di infrastruttura e la procedura guidata viene compilato l'indirizzo IPv6 del server DNS. Nome criterio di risoluzione, un nuovo criterio di gruppo impostazione per 2008 R2, definisce le impostazioni dei criteri specifici, ad esempio IPsec, server DNS e in che modo la risoluzione dei nomi fallback si verifica quando lo spazio dei nomi non è in rete utilizzando Microsoft query. È possibile trovare in Configurazione Computer | impostazioni Windows | nome criterio di risoluzione (si noti, è necessario immettere gli spazi dei nomi di dominio con un punto iniziale “. ”— ad esempio,. emea.corp. NET).

È possibile esporre NRPT contenuto utilizzando il comando Netsh: nome Netsh show policy.

In questo modo sarà possibile visualizzare gli spazi dei nomi definiti.

Esclusioni del firewall

Le esclusioni di firewall dipenderanno dal modo in cui implementano rete IPv6 e se si utilizzano le tecnologie di transizione. Inoltre, qualsiasi file o dell'applicazione server che i client remoti devono connettersi a dovranno Windows Firewall configurato in modo appropriato. nella figura 8 e Figura 9 , sotto presentazione firewall rispettivamente le esclusioni per il firewall Internet e intranet ai lati del server DirectAccess. Ovviamente è sufficiente impostare le esclusioni per tecnologie in uso. (Si noti che, sebbene nella figura 9 sono elencati + NAT IPv4-PT, non è implementato da Windows 2008 R2.)

Nella figura 8 delle impostazioni del firewall per il Firewall Internet

Nella figura 9 impostazioni del firewall per il Firewall Intranet

Connettività - IPv6

Poiché IPv6 consente ai client di DirectAccess per mantenere la connettività continuo alle risorse della rete aziendale, deve tutte eseguono il protocollo. Anche se si dispone di una rete IPv6 completamente implementata, consentendo di connettività remota potrebbe richiedere l'utilizzo di una tecnologia di transizione che consentirebbe al DirectAccess client di connettersi alle risorse IPv4 incapsulando IPv6 all'interno dei pacchetti IPv4. Queste tecnologie includono 6to4 IP HTTPS e Teredo. ISATAP è una tecnologia di incapsulamento anche ma viene utilizzato solo internamente. Non verrà esaminato nelle descrizioni dettagliate ma di Figura 10 Mostra le opzioni di connettività di base.

Nella figura 10 preferito opzioni di connessione per i client di DirectAccess

Origine: Microsoft

Sul lato rete intranet senza IPv6 nativo, DirectAccess consente di utilizzare di ISATAP, che genera un indirizzo IPv6 da un indirizzo IPv4 e implementa il propria rilevamento adiacente. Utilizzo ISATAP abilitato DirectAccess ai client di accedere alle risorse in una rete IPv4. Ad esempio, quando si avvia un client ISATAP, è necessario individuare un router ISATAP. A tale scopo eseguendo una query DNS per ISATAP. < nome dominio >. Operazione per corp. NET avrà aspetto per ISATAP.corp. NET. Windows 2008 DNS implementa GlobalQueryBlockList, una funzionalità di protezione aggiuntive che include ISATAP per impostazione predefinita. In questo modo esso ignorare qualsiasi richiesta ISATAP. < nome dominio >. Di conseguenza, è necessario deselezionare ISATAP dall'elenco. Eseguire questa operazione tramite il comando DNSCMD o apportando una voce del Registro di sistema.

Al prompt dei comandi, immettere dnscmd /config /globalqueryblocklist wpad e premere INVIO. Definisce il GlobalQueryBlockList come se avessero solo WPAD in essa (rimuovendo ISATAP). È inoltre potrebbero ottenere questo risultato andando alla chiave del Registro di sistema all'indirizzo

HKLM:\System\Current controllo Set\Services\DNS\Parameters. Di GlobalQueryBlockList di modificare e rimuovere ISATAP.

È inoltre possibile implementare 6to4 singolarmente su host o su un'intera rete e trasmissione di pacchetti IPv6 su una rete IPv4. È interessante notare che se 6to4 viene implementata per un'intera rete, richiede un solo indirizzo IPv4. Non supporta il traffico tra host solo IPv6 e IPv4.

Teredo inoltre fornisce i pacchetti IPv6 di essere instradato alla reti IPv4, ma viene utilizzato quando il client è protetto da un server NAT (Network Address Translation) non è configurato per IPv6. Archivia i pacchetti IPv6 nel datagramma IPv4 che consente l'inoltro da NAT.

Windows 7 e Server 2008 R2 hanno implementato un protocollo, denominato HTTPS IP che effettua il tunneling pacchetti IPv6 in un HTTPS IPv4. Mentre IP HTTPS ha prestazioni inferiori rispetto a altri protocolli, è possibile aggiungere server IP HTTPS aggiuntivi per migliorare le prestazioni in qualche modo. IP-HTTPS è un protocollo abbastanza semplice per consentire di ottenere la connettività di rete IPv6 su IPv4 per funzionare.

Quando si progetta la configurazione del client DirectAccess, è possibile utilizzare DNS e il NRPT per separare il traffico Internet e intranet oppure è possibile utilizzare qualcosa chiamato Force Tunneling e forzare tutto il traffico attraverso il tunnel. Forzare il tunneling, che richiede IP HTTPS, viene attivato mediante l'impostazione di Computer Configuration\Policies\Administrative amministrativi\Rete\Connessioni Connections\Route tutto il traffico attraverso la rete interna di di criteri di gruppo. Questo criterio sarebbe necessario applicare ai client DirectAccess. Notato in precedenza che i client di DirectAccess possono accedere alle risorse locali durante la connessione alla rete intranet. Questo contiene ancora true per i client IP HTTPS, ma se l'utente tenta di accedere ai siti Internet, ad esempio, si sarebbe essere instradato attraverso la rete intranet.

Certamente il requisito di IPv6 e configurazioni complesse sono svantaggi per DirectAccess, ma quelli sono nettamente superati dai miglioramenti delle prestazioni e semplificare la gestione di client remoto per IT.

Ottimo Promise

Il numero di utenti remoti, essere essi in una filiale, in una rete domestica o in viaggio, è in continua crescita. Filiale e DirectAccess tenere promise eccellente per le succursali di uffici e altri utenti remoti e i responsabili IT e gli amministratori sarebbe saggio indagare li. Né di questi sarà un programma di installazione semplice e veloce e sono disponibili numerose opzioni e funzionalità disponibili. Inoltre, queste funzionalità funziona solo su Windows 7 client e server Windows Server 2008 R2, in modo influirà in modo definito una sequenza temporale di implementazione. I responsabili IT e gli amministratori sarebbe saggio studiare la documentazione Microsoft disponibile e configurare in un laboratorio di prova per garantire il successo.

Contenuto correlato

• La Guida alla distribuzione di BranchCache per Windows Server 2008 R2 e Windows 7
• * *Documentazione di BranchCache
• Guida della diramazione Cache Early Adopter
• La Guida dettagliata di DirectAccess
• La Guida alla progettazione di DirectAccess
• Windows 7 e Windows Server 2008 R2 Networking miglioramenti per le aziende
• Case study di DirectAccess: International Sporton e Computing convergent
• Vai alle Microsoft.com/downloads e nel campo “ Cerca tutti i download centro ” cercare DirectAccess o BranchCache per alcuni collegamenti a blog TechNet e altri documenti e i Webcast buona.

Gary Olsenè un sistemi software engineer in di HP Worldwide Technical Expert Center (WTEC) per servizi di Hewlett-Packard in Ga., Atlanta e ha lavorato nel settore IT poiché 1981. Oltre a essere un Microsoft MVP per servizi directory, è fondatore/presidente del gruppo di utenti Atlanta Active Directory e un collaboratore frequente a Redmond rivista possiede.