Windows Server 2008 R2向VPN說再見

Win7之家（ www.airtaxifl.com）：Windows Server 2008 R2向VPN說再見

 2009年，如果要評選微軟最大的動作，我看就要算是Windows7的發(fā)布了，但是，對于我來說，更加看重的卻不是在客戶端使用的Win7，而是與之一起發(fā)布的Windows Server 2008 R2。因為，它與我的工作息息相關。

我一直都很納悶，為何Windows Server 2008 R2微軟會這么稱呼它，而不是Winodws 7 sever 又或者是繼Windows Server 2008 之后的Windows Server 2009，而且它本身在也是在2009年發(fā)布的，這樣稱呼感覺似乎不是那么順利成章。后來，我查看了有關的資料，才發(fā)現(xiàn)：微軟當年發(fā)布的Windows Vista/Server 2008的內部版本號是6.0，而Windows 7/Server 2008 R2的版本號則是6.1，相比較來看如今的Windows Server 2008 R2是上一個版本的升級版本，所以采用了Server 2008的名稱就顯得理所當然了，為了加以區(qū)別微軟加上了R2的后綴。

相對于Windows Server 2008，Windows Server 2008 R2在很多功能和特性上都有了進一步的增強和完善，例如：虛擬化、IIS、網絡和終端服務等都獲得了極大地提高。值得一提的是，Windows Server 2008 R2中得到進一步加強的直接訪問(Direct Access DA)功能，它是我們公司總部和分支機構都覺得是非常實用的功能。

一直以來，我們公司在全國各地的分支機構都通過WAN訪問總部的應用程序和數(shù)據存儲，但是總是存在訪問速度過慢進而導致生產力降低的問題。我們也曾經想過一些辦法解決，如通過傳統(tǒng)方法對網絡性能進行改進，但是其所需費用又是非常昂貴的，所以這一問題遲遲未得到解決。一直到，我們后來了解到微軟推出Windows Server 2008 R2中的Direct Access功能，才讓我們覺得有了最佳解決方案。

那么，何謂Direct Access連接呢？Direct Access克服了VPN的很多局限性，它可以自動地在外網客戶機和公司內網服務器之間連接雙向的連接。Direct Access通過利用IP v6技術中的一些先進特性做到了這一點。Direct Access使用IPsec進行計算機之間的驗證，這也允許了IT部門在用戶登錄之前進行計算機的管理。而Direct Access工作時，客戶機建立一個通向DirectAccess Server的IP v6隧道連接。這個IP v6的隧道連接，可以在普通的IP v4網絡上工作。同時，DirectAccess Server還承擔了網關的角色，連接內網和外網之間。

微軟在Windows 7和Windows Server 2008 R2中增加了BranchCache主機緩存功能。它能夠通過分支機構計算機上的高速緩存降低連接分支機構的WAN 部分的利用率，而主機緩存中的數(shù)據類型的內容要符合SMB和HTTP的需求。

在主機緩存模式中，文件存儲在分支機構客戶端運行Windows Server 2008 R2的計算機中。這一模式的好處是服務器始終可用，所以緩存中的文件始終可用。任何運行Windows 7客戶端計算機的欠缺并不影響緩存中的文件。此外，Windows Server 2008 R2中還引入了只讀域控制器的功能，它允許只讀文件的副本存放在不安全的環(huán)境中(如分支機構)，由于用戶不能修改存儲在只讀的DFS中復制的內容，也不能將更改的內容復制到其他的地方的DFS副本，該功能增強了分支機構的安全性。

換句話說，憑借這個功能，外網的用戶可以在不需要建立VPN連接的情況下，就能夠高速、安全的從Internet直接訪問公司防火墻之后的資源。也就是說，不需要VPN了，不需要Token了，不需要SmartCard了，不需要漫長的VPN撥號等待了。內網外網之間的穿越變得非常之簡單。

公司總部了解到這些情況之后，決定先進行測試，測試過程我們發(fā)現(xiàn)的確如微軟介紹的那樣Windows Server 2008 R2不僅僅可以提升分支機構文件訪問性能，降低WAN的成本，同時還具備安全性，于是決定部署Windows Server 2008 R2并在客戶端配合使用了Windows 7。

隨后，公司總部信息中心的同事經過簡單地了解之后，很快理順了DirectAccess的連接建立過程。

　　1. 運行Windows 7的客戶端計算機首先檢測到它所連接的網絡；

　　2. DirectAccess服務嘗試連接管理員所指定的一個內網資源，如果連接成功，則DirectAccess默認計算機已經處在內網的環(huán)境中，計算機會把DirectAccess服務關閉以節(jié)省系統(tǒng)資源；如果訪問不到，DirectAccess服務繼續(xù)工作；

　　3. 客戶端計算機接下來使用IPv6和IPsec連接預先指定的DirectAccess服務器。如果計算機所處的不是IPv6網絡，計算機建立一個IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel Addressing Protocol ，ISATAP)。這些都是Windows 7在后臺完成的，不需要用戶的登陸和干預；

　　4. 如果防火墻不允許連接IPv6 6to4隧道，計算機使用HTTPS協(xié)議與DirectAccess服務器通訊(性能會有影響)；

　　5. Windows 7客戶機和DirectAccess服務器完成互相的身份驗證(采用計算機證書實現(xiàn))；

　　6. DirectAccess服務器根據客戶機在AD中的身份和當前登陸用戶，決定是否允許訪問。為了避免可能的DDOS攻擊，這里微軟采用了DSCPs技術(Differentiated Services Code Points)；

　　7. 如果計算機啟用了NAP檢測，DirectAcces服務器轉向NAP服務器完成客戶機的安全檢測。這也可以有效地避免客戶機從外網聯(lián)接帶來的安全隱患和病毒；

一切都完成后，DirectAccess服務器便開始擔當內外網信息傳遞的角色。而且以上這些過程都是自動完成的，不需要人工的干預，這可樂壞了我們信息中心的同事，他們驚呼：“原來還有這么智能的工具”。

最后，系統(tǒng)正式上線，經過我們的測試，在使用Windows Server 2008 R2后，公司分支機構加快了訪問總部文件服務器的速度，而取代虛擬專用網絡和節(jié)省WAN帶寬都降低了公司的運營成本。而主機緩存功能的運用為公司業(yè)務提供了更符合成本效益、更可靠的支持。各地分支機構用戶，實現(xiàn)了從文件或Web服務器下載緩存內容，迅速打開存儲在緩存中的文件，并為其它用途釋放網絡帶寬。而取代虛擬專用網絡和節(jié)省WAN帶寬也都降低了公司的運營成本。

有趣是，DirectAccess不僅僅解決了總部和分支機構溝通的大難題，還順帶解決了領導的小麻煩，因為之前他經常能遇到的一種情況，他去外地開會了卻告訴秘書要某個文件，但是這么多文件他自己也記不清楚是哪個在哪個文件夾里。有DirectAccess功能，他在任何網絡位置都能訪問公司網絡中的文件、數(shù)據或使用應用程序，而不必通過傳統(tǒng)的虛擬企業(yè)網絡VPN。直接訪問降低了終端用戶的操作復雜性，并可以保證遠程訪問的安全性。