Главная Security, Windows, Без рубрики, Новое Сетевые возможности Windows 7 и Windows Server 2008 R2
  • Сетевые возможности Windows 7 и Windows Server 2008 R2

    Network_Interface_CardВ Windows ® 7 и Windows Server ® 2008 R2, Microsoft вводит несколько новых сетевых функций для повышения производительности труда мобильных пользователей и пользователей работающих в филиалах. Этот документ описывает данные возможности, а также другие сетевые усовершенствования в Windows 7 и Windows Server 2008 R2.

    Данный документ выдержка из “white-paper”  переведенного мною, который позволит читателю познакомиться с новыми понятиями из “мира” Windows 7 и Windows Server 2008 R2.

    DirectAccess

    DirectAccess предоставляет пользователям прозрачный доступ к внутренним ресурсам сети, если они подключены к сети Интернет. Традиционно, пользователи подключаются к внутренним сетевым ресурсам используя виртуальную частную сеть (VPN).

    Тем не менее, использование VPN по ряду причин может быть неудобным:

    · Подключение к VPN осуществляется в несколько шагов при этом пользователь должен ждать проверки подлинности. Для организаций, проверяющих состояние и здоровье компьютера перед тем, как разрешить подключение, создание VPN может занять несколько минут.

    · Каждый раз, когда пользователь теряет свое подключение к Интернету, необходимо повторно установить VPN-соединение.

    · Производительность Интернета замедляется, если весь трафик направляется через VPN.

    Из-за этих проблем, многие пользователи избегают подключения через VPN. Вместо этого для подключения к внутренним ресурсам они используют такие технологии, как Microsoft Office Outlook ® Web Access (OWA). С OWA пользователь может получить доступ к внутренней электронной почте без установления VPN соединения. Однако, если пользователь пытается открыть документ во внутренней сети (ссылка на него может быть доставлена электронным письмом), ему отказывает в доступе к внутреннему ресурсу, поскольку тот, как правило, не доступен из Интернета.

    Windows 7 и Windows Server 2008 R2 предоставляют возможность DirectAccess, которая позволяет пользователям работать из дома либо через точки беспроводного доступа в сеть так как будто они находятся в офисе. С DirectAccess, авторизованные пользователи использующие Windows 7 могут получить доступ к корпоративным папкам с общим доступом, просматривать веб-узлы интрасети, а также работать с интранет-приложениями без установки VPN.

    DirectAccess также удобен для ИТ-специалистов, позволяя им управлять мобильными компьютерами за пределами офиса в любое время, в любом месте, даже несмотря на то, что компьютеры не подключены к VPN. Каждый раз, когда мобильный компьютер подключается к Интернету, прежде чем пользователь войдет в систему, DirectAccess создает двунаправленную соединение, что позволяет клиентскому компьютеру применять политики компании и получать обновления программного обеспечения.

    DirectAccess обеспечивает безопасную и гибкую сетевую инфраструктуру с использованием таких технологий как IPv6 и IPSec. Функции Безопасности и эффективности включают в себя:

    · Аутентификация. DirectAccess аутентифицирует компьютер до входа пользователя в систему, позволяя ИТ-специалистам управлять компьютером с установленным Интернет-соединением. DirectAccess также может проверять подлинность пользователей, поддерживая многофакторную аутентификацию, такую как аутентификация по смарт-картам.

    · IPv6. DirectAccess использует IPv6 предоставляя клиентам для удаленного доступа маршрутизируемые IP-адреса. Организации, которые еще не готовы в полной мере развернуть IPv6 могут использовать IPv6 переходные технологии, такие как ISATAP, 6to4 и Teredo, чтобы клиенты могли подключаться через IPv4 Интернет к IPv4 ресурсам на предприятии сети. Эти технологии обеспечивают поддержку IPv6 для устройств и серверов, которые не имеют нативной поддержки IPv6.

    · Шифрование. DirectAccess использует IPsec для обеспечения аутентификации и шифрования данных передаваемых через Интернет. Вы можете использовать любой IPsec метод шифрования, включая DES, с 56-битным ключ, или 3DES, с тремя 56-битными ключами.

    · Контроль доступа. Используя DirectAccess, ИТ-специалисты могут определить внутренние ресурсы, к которым каждый пользователь сможет подключиться и получить неограниченный доступ или разрешить доступ только к конкретным серверам или сетям.

    Как показано на Рисунке 1, DirectAccess использует разделенный-туннель маршрутизации,за счет чего сокращается излишний сетевой трафик в корпоративной сети. При такой схеме только трафик, предназначенный для сети предприятия пересылается через DirectAccess сервера. Разделенный-туннель маршрутизации является конфигурацией по умолчанию для DirectAccess, ИТ-специалисты могут отключить эту функцию и направить весь трафик через сеть предприятия.

    clip_image002

    Рисунок 1: Трафик DirectAccess с использованием разделенного-туннеля маршрутизации.

    VPN Reconnect

    VPN Reconnect

    DirectAccess может стать предпочитаемым способом подключения удаленных клиентов для многих организаций. Но все же некоторые из них продолжат использовать VPN параллельно с DirectAccess. Поэтому Microsoft улучшила поддержку VPN в Windows 7 включив новую технологию VPN Reconnect.

    VPN Reconnect использует технологию IKEv2 для обеспечения стабильного и постоянного VPN соединения, автоматически восстанавливаемого в случае временной потери соединения с Интернетом. Наибольшую пользу от этой возможности получат пользователи использующие для работы в сети беспроводные подключения. Эта функция поможет сэкономить время мобильным пользователям использующим нестабильные сетевые соединения.

    Примером может служить сотрудник работающий во время поездки на поезде. Для выполнения своих задач он использует VPN соединение, которое установлено поверх беспроводного доступа в Интернет. В моменты когда поезд въезжает в туннель беспроводной сигнал теряется и восстанавливается только по окончанию туннеля. В более ранних версиями Windows VPN не восстанавливался автоматически и пользователь был обязан осуществить несколько действия для восстановления подключения к VPN. Эта функция поможет сэкономить время мобильным пользователям использующим нестабильные сетевые соединения.

    С VPN Reconnect, Windows 7 автоматически восстанавливает VPN соединение после возвращения связи с Интернетом. Несмотря на то, что повторное подключение может занять несколько секунд, процесс является полностью прозрачным для пользователей, которые теперь имеют больше шансов остаться подключенными к внутренним ресурсам сети.

     

    BranchCache

    BranchCache™ позволяет при использовании Windows 7 и Windows Server 2008 R2 понизить нагрузку на WAN каналы ускорив скорость ответа сетевых приложений из удаленных офисов. При включении BranchCache в Windows 7 и Windows Server 2008 данные получены с WEB и файловых серверов, расположенных за пределами локальной сети кэшируются во внутренней сети. Если другой клиент из этого же филиала запросит те же данные то получены они будут из своего сегмента сети без обращения по WAN каналу. Клиенты всегда будут авторизовываться на сервере в дата-центре до получения доступа к данным закэшированным в их сегменте сети.

     

    BranchCache может работать в одном из двух режимов:

     

    • Распределенный кэш. Используя одноранговую архитектуру, клиенты Windows 7 кэшируют данные полученные с Windows Server 2008 R2 и посылают их напрямую другим Windows 7 клиентам по мере надобности, без повторных запросов этих данных по WAN каналу.Распределенный кэш является оптимальным режимом для филиалов не имеющих сервера на базе Windows Server 2008 R2.

     

    • Централизованный кэш. В данном режиме задействуется клиент-серверная архитектура, в которой клиент Windows 7 посылает копию полученных данных на сервер Windows Server 2008 R2 с включенной функцией BranchCache. При необходимости другие клиенты запрашивают нужные данные с кэша расположенного на этом сервере. Сравнивая два режима работы BranchCache, можно отметить, что централизованный кэш повышает доступность данных, поскольку не зависит от работы клиентского компьютера, который осуществил первый запрос данных. Вдобавок централизованный кэш позволяет работать с несколькими подсетями и понизить количество широковещательного трафика в локальной сети. Под сервер хранилища централизованного кэша необязательно выделять отдельный сервер, обычно им может служить уже установленный сервере с Windows Server 2008 R2.

     

    clip_image002[5]

    Рисунок 2. Сравнение двух режимов работы BranchCache

    На данный момент BranchCache поддерживает работу следующих протоколов и полностью совместим с шифрованием IPsec:

    · HTTP (включая HTTPS). Стандартный протокол для передачи Web данных, используется приложениями Internet Explorer®, Windows Media®, и Windows SharePoint®.

    · SMB (включая подписанный SMB). При подключении к общими папками с использованием Windows Explorer является стандартный протоколом передачи файлов по сети.

    При включенной функции BranchCache клиентский и серверный компьютер для получения данных по протоколам HTTP или SMB проходят ряд этапов:

    1. Клиенский компьютер Windows 7 соединяется с сервером в датацентре под управлением Windows Server 2008 R2 и запрашивает данные, точно также как бы он это сделал без включеного BranchCache.

    2. Сервер в датацентре аутентифицирует пользователя и проверяет что он авторизован для получения этих данных.

    3. Вместо содержимого сервер возвращает клиенту идентификатор (хэш) запрашиваемых данных. Делает он это используя тот же канал по которому обычно передаются данные.

    4. Используя полученный идентификатор клиенский компьютер Windows 7 делает следующее:

    a. Если используется распределенный кэш, клиент рассылает широковещательные пакеты в своем сегменте сети, пытаясь найти компьютеры уже скачавшие данные.

    b. Если используется централизованный кэш, клиент ищет данные на сервере централизованно хранящем кэш.

    5. Если необходимое клиенту содержимое доступно в его сегменте сети (неважно какой режим BranchCache используется) он получает эти данные и проверяет, что они не были модифицированы или повреждены.

    6. При отсутствии нужных данных клиент запрашивает их непосредственно с сервера в дата-центре после чего делает их доступными в своем кэше либо пересылает на сервер централизованного кэширования в зависимости от режима работы BranchCache.

    Все данные которыми обмениваются клиентские компьютеры и сервер централизованного кэширования в рамках работы BranchCache шифруются.

     

    Улучшения автономных файлов и доступа к общим папкам.

    ИТ профессионалы могу оценить преимущество Windows 7 связанное с улучшением доступа к общим папкам в филиалах компании. Windows 7 предусматривает:

    · Прозрачное кэширование общих папок на клиентском компьютере уменьшает время требуемое для получения доступа у файлу для второго и последующих обращений на медленных каналах. Это достигается за счет усовершенствований протокола связанных с устранением множества избыточных операций при открытии или сохранении файлов, что в свою очередь помогло улучшить работу приложений на медленных каналах.

    · Возможность фоновой синхронизации автономных файлов, упрощает администрирование и улучшает работу конечных пользователей.

    Прозрачное кэширование

    В предыдущих версия Windows для открытия файла по медленному каналу клиентский компьютер всегда брал файл с сервера, даже если было необходимо только чтение. С появлением прозрачного кэширования компьютер сохраняет в локальном кэше открываемые файлы уменьшая количество обращений к серверу в случае повторных открытий файлов. При первом открытии Windows 7 считывает файл с сервера и сохраняет в кэш на локальный диск. Вторые и последующие открытия этого файла производятся операционной системой с кэша расположенного на локальном диске компьютера.

    Для обеспечения целостности данных, Windows 7 всегда связывается с сервером проверяя актуальность кэшированной копии. Получить доступ к кэшу в случае недоступности сервера невозможно. Изменения файла всегда производятся на сервере. По-умолчанию прозрачное кэширование на быстрых сетях отключено.

    ИТ специалисты могу использовать Групповые политики для управления прозрачным кэшированием, сконфигурировать размер диска выделяемого под кэш и предотвратить кэширование файлов определенных форматов.

    Для конечного пользователя данное кэширование абсолютно прозрачно и позволяет работать с серверами как будто он находятся с ними в одном сегменте высокоскоростной сети.

     

    Фоновая синхронизация Автономных Файлов.

    В операционной системе Windows Vista пользователи находясь в сети работали с файлами на сервере. Если пользователь отключался от сети изменения файлов кэшировались на клиентском компьютере и синхронизировали с сервером при следующем подключении к сети. В Windows 7 синхронизация происходит автоматически в фоновом режиме без необходимости выбирать пользователю в каком режиме online или offline он сейчас находится. Файловая синхронизация прозрачна для конечного пользователя и может централизованно управляться через Групповые политики и контролироваться Центром Синхронизации.

    Это обеспечивает надежную и прозрачную синхронизацию общих папок, предоставляя пользователям доступ к данным, даже когда они отсоединены от сети. Пользователю не нужно беспокоиться о ручной синхронизации данных по медленным каналам, а ИТ специалисты могу быть уверены что пользовательские данные синхронизированы с сервером.

    Функция Перенаправление папок, дающая возможность пользователю перенаправить папки профиля на сервер, с изменениями в синхронизации стала более полезной. Перенаправленная с помощью групповой политики папка с включенной синхронизацией позволит пользователю Windows 7 при отключении от сети автоматически переключиться на локальную копию и после возвращения в сеть осуществить автоматическую синхронизацию. В свою очередь это дает возможность создавать резервные копии пользовательских данных не вмешиваясь в работу сотрудника. В Windows 7 добавлен классически offline режим, который предусматривает аналогичные возможности при подключении к серверу через медленную сеть.

    URL-based QoS

    Не всегда увеличение пропускной способности сети может решить проблему производительности. Любое загруженное сетевое подключение замедляется, поскольку маршрутизатор не успевает обрабатывать исходящий трафик. Особенно это заметно в сетях состоящих из нескольких локальных высокоскоростных сегментов соединенных медленными WAN каналами.

    Например, организация имеет гигабиную сеть и 10 мегабитный выход в интернет, компьютеры могут посылать пакеты по локальной сети на маршрутизатор с большей скоростью чем маршрутизатор может их передать в интернет. В данном сценарии маршрутизатор держит полученные пакеты в очереди и обрабатывает их по мере доступности канала. По-умолчанию, маршрутизатор обрабатывает пакеты стоящие в очереди по принципу «первый пришел – первый ушел». И в таком случае важный трафик может ожидать отправки в то время как маршрутизатор обрабатывает менее значимые пакеты.

    На рисунке 3 изображены два клиента посылающие трафик, один обращается к сайту www.contoso.com (важный сайт), второй к www.southridgevideo.com (личный узел сотрудника не представляющий ценности). Как показывает диаграмма, маршрутизатор обрабатывает пакеты одинаково и данные передаваемые для www.southridgevideo.com могут быть посланы перед данными для www.contoso.com.

     

    clip_image002[7]

    Рисунок 3: Без QoS, низко-приоритетный трафик может обрабатываться раньше высоко-приоритетного.

    Когда ИТ специалисты конфигурируют Quality of Service (QoS), Windows начинает помечать исходящие пакеты специальным номером Differentiated Services Code Point (DSCP). Роутер проверяет DSCP значение и определяет приоритет пакета. Если сеть загружена и маршрутизатор держит пакеты в очереди, пакеты с высоким приоритетом обрабатываются в первую очередь, несмотря на порядок поступления. Поэтому технология QoS позволяет управлять скоростью ответа важного сетевого приложения даже во время высокой загрузки сети.

    В более ранних версиях Windows, ИТ-специалисты могли указать приложение, IP-адреса и номера портов для определения приоритетов QoS. С таким уровнем детализации, ИТ специалисты могли назначать приоритеты трафику (web и E-mail) для улучшения использования полосы пропускания, а так же определить к каким серверам данные должны передаваться в первую очередь.

    С ростом Web сервисов и консолидацией серверов приложений появилась потребность в более гибком контроле приоритетов. Например один из серверов несет на себе сразу два приложения, одно из которых является критичным. Web сервисы одного сервера используют общий IP адрес, что сразу ограничивает возможности приоритезации.

    Windows 7 позволяет приоритезировать WEB трафик базируясь на URL адресах. Используя настройку QoS на основе URL, ИТ-специалисты могут быть уверены, что важный WEB трафик будет обработан с высшим приоритетом, а это в свою очередь улучшит производительность в загруженных сетях. Также присутствует возможность конфигурировать правила используя Uniform Resource идентификатор т.е для данных для http://contoso.com/cust_serv/ можно назначить высокий приоритет, а для http://contoso.com/forum/ низкий. Все настройки QoS можно определить используя Групповые политики.

     

    clip_image002[9]

    Рисунок 4: Приоритезация трафика на основе фильтрации URL

    DNS Security Extensions (Расширения безопасности DNS)

    DNS клиенты под управлением Windows 7 или Windows Server 2008 R2 а также DNS сервера Windows Server 2008 R2 поддерживают DNS Security Extensions (DNSSEC) для проверки целостности DNS записей согласно RFC 4033, 4034 и 4035. Для того чтобы убедиться в том, что запись была создана авторитетным DNS сервером и не была изменена, компьютеры Windows 7 и Windows Server 2008 R2 могут проверять целостность DNS ответов.

    При использовании DNSSEC авторитетный DNS сервер Windows Server 2008 R2 осуществляет цифровое подписывание DNS зоны и генерирует цифровую подпись для каждой ресурсной записи в зоне. Другие DNS сервера используя доверительные связи могут убедиться что в DNS запись была подписана авторитетным DNS-сервером и не была изменена. Клиентские же компьютеры поддерживающие DNSSEC могут анализировать успешность серверной проверки до использования возвращенного ответа с DNS записью.

    На рисунку 5 изображена схема на которой используя IPsec и DNSSEC предоставляется сквозная безопасность в случае прохождения запросов и ответов через несколько DNS серверов. К примеру, клиентский компьютер находится в филиале и отсылает DNS запросы на не-авторитетный DNS сервер Windows Server 2008 R2. Этот филиальный DNS сервер перенаправляет запросы на авторитетный DNS сервер в главном офисе и с помощью DNSSEC проверяет целостность внутренних DNS записей. (даже если есть несколько промежуточных серверов) После чего информирует клиента о том что DNSSEC был использован для проверки записей

    clip_image002[11]

    Рисунок 5: DNSSEC может предотвращать атаки типа man-in-the-middle.

    Напоследок

    Wake on Wireless LAN

    Для экономия электроэнергии и батареи компьютера пользователи могут во время простоя компьютера переводить его в спящий режим. В предыдущих версиях пользователи и ит-специалисты могли использовать функцию Wake on LAN чтобы при необходимости по сети пробудить компьютер и дальше выполнять любые действия по администрированию. Но технология Wake on LAN (WOL) поддерживала только проводные сетевые соединения. Разбудить же компьютеры подключенные к сети по беспроводной технологии было нельзя, что в свою очередь не давало ит-специлистам выполнять административные действия с удаленными рабочими станциями и ноутбуками.

    В Windows 7 добавлена поддержка Wake on Wireless LAN (WoWLAN). Теперь при поддержке WoWLAN в Windows 7 можно выводить компьютеры из спящего режима использующие беспроводные подключения.

    Smart Network Power

    Проводные сетевые соединения используют питание даже если сетевой кабель не подключен. Windows 7 предлагает возможность автоматического выключения питания сетевого адаптера при отключенном кабеле. После того как кабель будет вставлен, питание автоматически восстановится. Функция направлена на энергосбережение и позволяет пользователям легко подключаться к проводным сетям.

     

    Перевод с Англ.

    MCT Илья Рудь

Комментарии

  1. Спасибо, Илья! Ваш сайт дает по-настоящему интересную инфу?
    Можно узнать-про AD будет продолжение? Очень симпатично у вас получалось

  2. Извините, не ? а !

  3. Будет с сентября. Сейчас планируется AD трудности перевода окончание и очень большая статья про репликацию.