詳解:Windows7與Windows Server 2008企業部署
Windows 7是當前市場上最熱門的話題了。從目前各方面的情況綜合來看,Windows 7全面上市的時間是10月22日。與此同時,微軟的Windows Server團隊希望Windows Server 2008 R2也能在同一天發布。這不是偶然的,因為這兩個產品的目的是在企業環境中協同工作。微軟也在多個場合強調了雙方共同工作給企業帶來的好處。需要注意的是,自Windows 2000以來,我們許久沒有看到微軟的服務器和客戶端產品結合得如此緊密了。這或許是微軟又一新的市場策略,促使服務器和客戶端的產品雙增長。而從目前亞馬遜網站上Windows 7的預訂來看,Windows 7的銷售將大大好于預期。
既然微軟是把Windows 7和Windows Server 2008 R2當作連體產品來開發的,那我們就不妨看看兩者的結合點到底在哪里。
DirectAccess(直接存取訪問)
通過Windows 7和Windows Server 2008 R2,移動用戶將能夠在不需要VPN的情況下安全地通過互聯網接入企業內部網絡。這就類似于用戶習慣性地使用Outlook隨時隨連接到Exchange服務器上收取郵件,而不必非得通過一個VPN。
DirectAccess將使用SSTP協議通過SSL訪問443端口,類似于通過HTTPS訪問安全網站。此外,DirectAccess可以使用IPv6的IPSec功能通過互聯網進行加密通信。
當然,DirectAccess并不意味著隨便誰都可以拿別人的筆記本接入到企業的內網。用戶進入公司網絡時還是需要進行一定的驗證。從企業和個人信息安全的角度出發,用戶可能還需要考慮使用Windows 7的BitLocker功能為筆記本的硬盤加密。此外,用戶還可以充分利用Windows 7的生物功能,采用智能卡或者生物識別技術來進行雙因素認證。
采用DirectAccess還有一些明顯的好處,就是用戶無論在哪里,只要有互聯網的環境,就能以非常簡單的方式接入網絡,而不是采用一個不容易控制得的VPN連接。一般來說,在一個商業網絡里,用戶的移動終端只要連接到網絡里就可以接受到系統的更新和組策略的改變等。使用DirectAccess后,用戶甚至不需要登錄企業網絡,只要有互聯網接入就能獲得更新。Windows 7的DirectAccess可以應付客戶端設備在任何時間的連接,并提供了一個更簡便的打補丁和防病毒定義管理的途徑。
#p#
BranchCache(分支機構)
BranchCache(分支機構)是需要在Windows 7和Windows Server 2008 R2共同使用的另一大功能,它的名字就描繪出了功能。通常分支機構的員工可能無法在當地獲得數據。分支機構或者部門甚至有可能不會有一個本地的服務器。今天的通常做法是用戶通過廣域網連接到總部機構辦公室訪問所需要的文件。這就會出現這樣一個問題:有的文件會被5次、10次甚至上百次的訪問。這樣就會影響其他人訪問企業網絡的速度,因為企業的帶寬畢竟是有限的。
BranchCache功能則將數據緩存在本地,如果一個分支機構的用戶訪問總部的主要內容和其他用戶在訪問相同的內容,它就通過本地的緩存提供了更快的網速和更低的網絡資源消耗。
BranchCache可以設置成兩種工作模式。一是主機緩存模式,即服務器自己保留緩存文件。二是分布式緩存模式,即在客戶端保留緩存文件的副本,服務器的主要作用是確保文件是最新版本的,并確保這些文件能被正常訪問。
要正確使用BranchCache功能,用戶需要將SSL、SMB簽名和Ipsec等技術部署到位。
BitLocker-to-Go控制器
微軟在Vista中首次引入了BitLocker功能,利用該功能可以實現對系統內置硬盤的加密。而在Windows 7中除了可實現對系統硬盤的加密外,還可對U盤、移動硬盤等移動存儲設備進行Bitlocker全盤加密的功能,這就是所謂的Bitlocker-to-Go。
雖然BitLocker功能表面上和Windows Server 2008 R2沒有關系,但由于這兩種系統一起在企業環境中工作,而網絡中任何一臺設備的內置或者外接驅動器插拔時組策略會強制用戶運行BitLocker。組策略還可以阻止那些不加密的驅動器的使用。同樣,恢復系統的密鑰也可存儲在Active Directory中,這樣能簡化管理。
AppLocker(應用程序控制策略)
AppLocker即“應用程序控制策略”,是Windows 7系統中新增加的一項安全功能。利用AppLocker管理員可以非常方便地進行配置,以實現用戶可在計算機上可運行哪些程序、安裝哪些文件、運行哪些腳本。由于AppLocker是基于組策略管理和配置的,因此我們可以非常方便地將其部署到整個網絡環境中,可謂是一勞永逸。
雖然用戶也可以使用本地安全策略來配置AppLocker,但通過組策略,它會表現得更好。例如,用戶可以輕松配置一個程序,高于或者低于其某個版本都能運行。對于IT人員來說,這可以節省大量的策略維護時間。
RemoteApp和桌面
RemoteApp是Remote Desktop Services的執行功能,該功能可以當用戶在Remote Desktop服務器上運行的時候讓應用程序就像在本地計算機運行一樣,這屬于展示虛擬化(presentation virtualization)的一種形式。這與傳統的終端服務有所不同,傳統服務是通過終端服務器來共享整個用戶桌面,而現在個人應用程序也可以以共享的形式提供給用戶。RemoteApp是Windows Server 2008中推出的功能,而Windows 7中的RemoteApp & Desktop (RAD)則為我們提供了桌面和虛擬化應用程序的整合。
有了RemoteApp & Desktop連接,管理員可以方便地向使用Windows 7客戶端計算機的用戶提供 Remote App程序和虛擬化桌面,這些資源將出現在客戶端的開始菜單中,就像本地資源一樣。
Remote Desktop Gateway是Terminal Services Gateway的代替品,在Windows Server 2008 R2 標準版、企業版和數據中心版中發揮著服務器的作用,遠程用戶可以通過啟用Remote Desktop訪問遠程桌面服務器或者其他計算機,它通過HTTPS使用RDP來創建互聯網上的安全加密連接,Server 2008 R2 RD Gateway同時還支持選項功能,可以讓你限制遠程桌面客戶端只能連接到使用安全設備重新定向的遠程桌面服務器,這有助于避免遠程客戶端上的惡意軟件蔓延到企業機器。
在Windows Server 2008 R2 和Windows 7上運行的最新版本的RDP Protocol (RDP v7)同樣提供圖形渲染和多媒體功能,以提供更好的桌面服務,例如它現在支持Aero玻璃效果,多顯示器、DirectShow等,并且性能也整體提高了。
兩者如影隨形
顯然,Windows 7和Windows Server 2008 R2兩者一起整合應用有諸多的好處,但這并不一定意味著用戶必須修改原來的整個網絡。同樣,用戶是否需要兩者同時部署,也要根據自己的實際需求來綜合考慮。但如果上面提及的相互配合功能的確是用戶所需,那就不妨嘗試一下吧。
【編輯推薦】
