Windows Server 2008 R2向VPN說(shuō)再見(jiàn)

Win7之家（ www.airtaxifl.com）：Windows Server 2008 R2向VPN說(shuō)再見(jiàn)

 2009年，如果要評(píng)選微軟最大的動(dòng)作，我看就要算是Windows7的發(fā)布了，但是，對(duì)于我來(lái)說(shuō)，更加看重的卻不是在客戶端使用的Win7，而是與之一起發(fā)布的Windows Server 2008 R2。因?yàn)�，它與我的工作息息相關(guān)。

我一直都很納悶，為何Windows Server 2008 R2微軟會(huì)這么稱呼它，而不是Winodws 7 sever 又或者是繼Windows Server 2008 之后的Windows Server 2009，而且它本身在也是在2009年發(fā)布的，這樣稱呼感覺(jué)似乎不是那么順利成章。后來(lái)，我查看了有關(guān)的資料，才發(fā)現(xiàn)：微軟當(dāng)年發(fā)布的Windows Vista/Server 2008的內(nèi)部版本號(hào)是6.0，而Windows 7/Server 2008 R2的版本號(hào)則是6.1，相比較來(lái)看如今的Windows Server 2008 R2是上一個(gè)版本的升級(jí)版本，所以采用了Server 2008的名稱就顯得理所當(dāng)然了，為了加以區(qū)別微軟加上了R2的后綴。

相對(duì)于Windows Server 2008，Windows Server 2008 R2在很多功能和特性上都有了進(jìn)一步的增強(qiáng)和完善，例如：虛擬化、IIS、網(wǎng)絡(luò)和終端服務(wù)等都獲得了極大地提高。值得一提的是，Windows Server 2008 R2中得到進(jìn)一步加強(qiáng)的直接訪問(wèn)(Direct Access DA)功能，它是我們公司總部和分支機(jī)構(gòu)都覺(jué)得是非常實(shí)用的功能。

一直以來(lái)，我們公司在全國(guó)各地的分支機(jī)構(gòu)都通過(guò)WAN訪問(wèn)總部的應(yīng)用程序和數(shù)據(jù)存儲(chǔ)，但是總是存在訪問(wèn)速度過(guò)慢進(jìn)而導(dǎo)致生產(chǎn)力降低的問(wèn)題。我們也曾經(jīng)想過(guò)一些辦法解決，如通過(guò)傳統(tǒng)方法對(duì)網(wǎng)絡(luò)性能進(jìn)行改進(jìn)，但是其所需費(fèi)用又是非常昂貴的，所以這一問(wèn)題遲遲未得到解決。一直到，我們后來(lái)了解到微軟推出Windows Server 2008 R2中的Direct Access功能，才讓我們覺(jué)得有了最佳解決方案。

那么，何謂Direct Access連接呢？Direct Access克服了VPN的很多局限性，它可以自動(dòng)地在外網(wǎng)客戶機(jī)和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接。Direct Access通過(guò)利用IP v6技術(shù)中的一些先進(jìn)特性做到了這一點(diǎn)。Direct Access使用IPsec進(jìn)行計(jì)算機(jī)之間的驗(yàn)證，這也允許了IT部門在用戶登錄之前進(jìn)行計(jì)算機(jī)的管理。而Direct Access工作時(shí)，客戶機(jī)建立一個(gè)通向DirectAccess Server的IP v6隧道連接。這個(gè)IP v6的隧道連接，可以在普通的IP v4網(wǎng)絡(luò)上工作。同時(shí)，DirectAccess Server還承擔(dān)了網(wǎng)關(guān)的角色，連接內(nèi)網(wǎng)和外網(wǎng)之間。

微軟在Windows 7和Windows Server 2008 R2中增加了BranchCache主機(jī)緩存功能。它能夠通過(guò)分支機(jī)構(gòu)計(jì)算機(jī)上的高速緩存降低連接分支機(jī)構(gòu)的WAN 部分的利用率，而主機(jī)緩存中的數(shù)據(jù)類型的內(nèi)容要符合SMB和HTTP的需求。

在主機(jī)緩存模式中，文件存儲(chǔ)在分支機(jī)構(gòu)客戶端運(yùn)行Windows Server 2008 R2的計(jì)算機(jī)中。這一模式的好處是服務(wù)器始終可用，所以緩存中的文件始終可用。任何運(yùn)行Windows 7客戶端計(jì)算機(jī)的欠缺并不影響緩存中的文件。此外，Windows Server 2008 R2中還引入了只讀域控制器的功能，它允許只讀文件的副本存放在不安全的環(huán)境中(如分支機(jī)構(gòu))，由于用戶不能修改存儲(chǔ)在只讀的DFS中復(fù)制的內(nèi)容，也不能將更改的內(nèi)容復(fù)制到其他的地方的DFS副本，該功能增強(qiáng)了分支機(jī)構(gòu)的安全性。

換句話說(shuō)，憑借這個(gè)功能，外網(wǎng)的用戶可以在不需要建立VPN連接的情況下，就能夠高速、安全的從Internet直接訪問(wèn)公司防火墻之后的資源。也就是說(shuō)，不需要VPN了，不需要Token了，不需要SmartCard了，不需要漫長(zhǎng)的VPN撥號(hào)等待了。內(nèi)網(wǎng)外網(wǎng)之間的穿越變得非常之簡(jiǎn)單。

公司總部了解到這些情況之后，決定先進(jìn)行測(cè)試，測(cè)試過(guò)程我們發(fā)現(xiàn)的確如微軟介紹的那樣Windows Server 2008 R2不僅僅可以提升分支機(jī)構(gòu)文件訪問(wèn)性能，降低WAN的成本，同時(shí)還具備安全性，于是決定部署Windows Server 2008 R2并在客戶端配合使用了Windows 7。

隨后，公司總部信息中心的同事經(jīng)過(guò)簡(jiǎn)單地了解之后，很快理順了DirectAccess的連接建立過(guò)程。

　　1. 運(yùn)行Windows 7的客戶端計(jì)算機(jī)首先檢測(cè)到它所連接的網(wǎng)絡(luò)；

　　2. DirectAccess服務(wù)嘗試連接管理員所指定的一個(gè)內(nèi)網(wǎng)資源，如果連接成功，則DirectAccess默認(rèn)計(jì)算機(jī)已經(jīng)處在內(nèi)網(wǎng)的環(huán)境中，計(jì)算機(jī)會(huì)把DirectAccess服務(wù)關(guān)閉以節(jié)省系統(tǒng)資源；如果訪問(wèn)不到，DirectAccess服務(wù)繼續(xù)工作；

　　3. 客戶端計(jì)算機(jī)接下來(lái)使用IPv6和IPsec連接預(yù)先指定的DirectAccess服務(wù)器。如果計(jì)算機(jī)所處的不是IPv6網(wǎng)絡(luò)，計(jì)算機(jī)建立一個(gè)IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ，ISATAP)。這些都是Windows 7在后臺(tái)完成的，不需要用戶的登陸和干預(yù)；

　　4. 如果防火墻不允許連接IPv6 6to4隧道，計(jì)算機(jī)使用HTTPS協(xié)議與DirectAccess服務(wù)器通訊(性能會(huì)有影響)；

　　5. Windows 7客戶機(jī)和DirectAccess服務(wù)器完成互相的身份驗(yàn)證(采用計(jì)算機(jī)證書實(shí)現(xiàn))；

　　6. DirectAccess服務(wù)器根據(jù)客戶機(jī)在AD中的身份和當(dāng)前登陸用戶，決定是否允許訪問(wèn)。為了避免可能的DDOS攻擊，這里微軟采用了DSCPs技術(shù)(Differentiated Services Code Points)；

　　7. 如果計(jì)算機(jī)啟用了NAP檢測(cè)，DirectAcces服務(wù)器轉(zhuǎn)向NAP服務(wù)器完成客戶機(jī)的安全檢測(cè)。這也可以有效地避免客戶機(jī)從外網(wǎng)聯(lián)接帶來(lái)的安全隱患和病毒；

一切都完成后，DirectAccess服務(wù)器便開始擔(dān)當(dāng)內(nèi)外網(wǎng)信息傳遞的角色。而且以上這些過(guò)程都是自動(dòng)完成的，不需要人工的干預(yù)，這可樂(lè)壞了我們信息中心的同事，他們驚呼：“原來(lái)還有這么智能的工具”。

最后，系統(tǒng)正式上線，經(jīng)過(guò)我們的測(cè)試，在使用Windows Server 2008 R2后，公司分支機(jī)構(gòu)加快了訪問(wèn)總部文件服務(wù)器的速度，而取代虛擬專用網(wǎng)絡(luò)和節(jié)省WAN帶寬都降低了公司的運(yùn)營(yíng)成本。而主機(jī)緩存功能的運(yùn)用為公司業(yè)務(wù)提供了更符合成本效益、更可靠的支持。各地分支機(jī)構(gòu)用戶，實(shí)現(xiàn)了從文件或Web服務(wù)器下載緩存內(nèi)容，迅速打開存儲(chǔ)在緩存中的文件，并為其它用途釋放網(wǎng)絡(luò)帶寬。而取代虛擬專用網(wǎng)絡(luò)和節(jié)省WAN帶寬也都降低了公司的運(yùn)營(yíng)成本。

有趣是，DirectAccess不僅僅解決了總部和分支機(jī)構(gòu)溝通的大難題，還順帶解決了領(lǐng)導(dǎo)的小麻煩，因?yàn)橹�前他�?jīng)常能遇到的一種情況，他去外地開會(huì)了卻告訴秘書要某個(gè)文件，但是這么多文件他自己也記不清楚是哪個(gè)在哪個(gè)文件夾里。有DirectAccess功能，他在任何網(wǎng)絡(luò)位置都能訪問(wèn)公司網(wǎng)絡(luò)中的文件、數(shù)據(jù)或使用應(yīng)用程序，而不必通過(guò)傳統(tǒng)的虛擬企業(yè)網(wǎng)絡(luò)VPN。直接訪問(wèn)降低了終端用戶的操作復(fù)雜性，并可以保證遠(yuǎn)程訪問(wèn)的安全性。