逃離傳統VPN!揭秘微軟最新遠程訪問工具
在今天快速發展的企業環境中,企業員工肯定都希望能從任何設備訪問企業內部的應用程序和數據,用個人計算機、移動計算機、平板電腦,以及其他可移動設備。那么,如何用最簡單的辦法,而不需要復雜的工作和高昂的成本,讓企業的IT系統就能夠支持企業員工的這些需求,成為當前IT負責人最亟待解決的難題。
在剛剛發布的Windows Server 2012中,遠程訪問已經成為一種集成式解決方案,它可以幫助企業快速部署出DirectAccess或傳統的虛擬專用網絡(VPN)。同時,其中的遠程桌面服務中包含的改進使得該功能比以往更易于部署,無論是基于會話的桌面還是虛擬桌面都變得更簡單。
企業的系統管理員還可以集中管理RemoteApp程序,同時用戶設備相關性使得企業員工可以將漫游用戶映射給指定的計算機和設備。另外,BranchCache通過改進,可以提供更好的性能,并能更加充分地利用昂貴的廣域網(WAN)帶寬。此外 Branch Office Direct Printing功能使得遠程辦公室用戶可以更快速地完成打印作業,而不需要給本就繁忙的WAN增加負擔。
統一訪問:DirectAccess與VPN同體
今天的企業在 IT 基礎架構方面安全邊界越來越模糊。當大部分員工開始移動工作,需要訪問移動數據時,企業需要解決新的安全挑戰。云計算致力于解決上述部分問題,但實際上大部分組織都會部署混合云,其中同時包含傳統的數據中心計算環境,以及托管式云服務。
用安全、高效、成本低廉的方式為企業資源提供遠程訪問,是今天企業的一項基本工作。微軟老版本Windows Server操作系統支持用不同的方式實施遠程訪問,具體包括:點對點隧道協議(PPTP)VPN 連接;二層傳輸協議 IPsec(L2TP/IPsec)VPN 連接;使用安全套接隧道協議(SSTP)的安全套接字層(SSL)加密的超文本傳輸協議(HTTP)VPN 連接;VPN 重連接,可使用 Internet 協議安全(IPsec)隧道模式的 Internet 密鑰交換版本 2(IKEv2);DirectAccess,混合使用公鑰基礎架構(PKI)、IPsec、SSL,以及 Internet 協議版本 6(IPv6)等等。
同時,在老版本的Windows Server操作系統中,實施遠程訪問是一項復雜的任務,因為要部署和管理不同的解決方案,往往需要使用不同的工具。例如,要實施 VPN 解決方案需要用到路由和遠程訪問(RRAS)組件,而 DirectAccess 的配置則要用到其他工具。
不過,從Windows Server 2012開始,遠程訪問解決方案的部署過程得以極大地簡化。因為,在Windows Server 2012中已經將DirectAccess與VPN功能集成到同一個遠程訪問服務器角色中。
此外,無論基于DirectAccess或VPN的遠程訪問解決方案的管理也得到了統一,并且都集成在全新的服務器管理器中。最終,Windows Server 2012可以為系統管理員提供集成式的遠程訪問解決方案,部署和管理都更加簡單。另外,某些高級RRAS 功能,例如路由,依然需要通過原有的路由與遠程管理控制臺進行配置。#p#
Directaccess簡化遠程訪問步驟
如果遠程客戶端設備可以持續連接,用戶的工作效率就可以更高。能夠持續連接的設備在管理上也可以更容易,這有助于確保合規性,降低支持成本。首次在 Windows Server 2008 R2中引入,并且可被運行在Windows 7客戶端的設備上,所支持的DirectAccess 功能通過讓用戶在具備互聯網連接的時候,無縫連接到企業網絡,可以充分滿足這些需求。
圖 Directaccess簡化遠程訪問步驟
DirectAccess可以讓用戶用一種安全的方式遠程訪問企業資源,例如共享文件夾、網站,以及應用程序,同時并不需要預先建立VPN連接。每次用戶設備連接到互聯網之后,DirectAccess可以在用戶的設備與企業網絡之間自動建立雙向連接。
使用傳統的VPN時經常遇到的一些困擾。例如,連接到VPN通常需要執行多個步驟,并且用戶需要等待身份驗證的完成。如果企業網絡中實施了網絡訪問保護(NAP)技術,那就需要先對計算機進行健康檢查,隨后才允許連接到企業網絡,造成VPN連接的建立可能需要好幾分鐘甚至更長時間,這主要取決于是否需要執行補救操作,以及用戶上一次建立 VPN 連接的時長。
在某些對 VPN 通訊進行過濾的環境中,VPN連接本身也會遇到問題,并且如果需要用VPN 連接對內部和互聯網通訊進行路由,互聯網性能也會變得很慢。最后,一旦用戶的互聯網連接中斷,還需要從頭開始重新建立連接。
而微軟最新的DirectAccess消除了遠程用戶的這些困擾。最新的DirectAccess與傳統的VPN 連接不同,DirectAccess 的連接甚至可以在用戶登錄之前建立完成,這樣用戶就完全不需要考慮連接到企業網絡的資源,或者等待完成健康程度檢查。最新的DirectAccess還可以將互聯網通訊與內網通訊區分開,降低繞道企業網絡而造成的不必要的網絡通訊,因為與互聯網的通訊不需要先繞道企業網絡、再發送到互聯網,而傳統的 VPN 連接通常都是這樣做的,DirectAccess 則不會影響用戶訪問互聯網的速度。
最終,DirectAccess使得管理員可以遠程管理辦公室范圍之外的計算機,就算這些計算機沒有通過 VPN 建立連接也能進行管理。這也意味著遠程計算機通過組策略可以獲得充分的管理,這有助于在所有時間確保安全性。
在 Windows Server 2008 R2中,實施DirectAccess是一個相當復雜的任務,需要執行大量操作,包括一些命令行任務,并且需要分別在服務器和客戶端執行。但在Windows Server 2012中,DirectAccess服務器和客戶端的部署與配置工作被大幅簡化。
此外,DirectAccess與傳統的VPN遠程訪問功能可以在同一臺服務器上共存,因此可以部署混合式遠程訪問解決方案,滿足業務的各種需求。并且遠程訪問角色可以在Server Core環境中安裝和配置。#p#
新DirectAccess部署變得更容易
在各種遠程訪問技術中,Windows 7以及 Windows Server 2008 R2中的 DirectAccess是一個重大創新。它幾乎全部時間都是遠程工作的-也許是在客戶站點,或者是在家里,因此企業員工的筆記本電腦很少能從物理上連接到微軟的內部網絡。
然而,企業員工經常需要訪問內部資源才能完成工作。現在,企業員工都可以通過微軟的VPN進行連接。他們所需要做的只是,在自己的環境中插入一個智能卡讀卡器,插入智能卡,然后輸入自己的PIN碼。很顯然,這算是一個多么簡單的操作體驗,符合企業的系統管理員最喜歡的“操作簡單,容易上手”。
那么,如果換作是新Directaccess又會是什么情呢?會不會更容易。如果有互聯網連接,那么大部分情況下就同時有了DirectAccess連接。
在Windows Server 2012中部署DirectAccess時,請注意有兩種不同形式的部署場景:快速安裝和高級配置。從較高角度來看,這兩種場景的區別請參見下表:
圖 DirectAccess部署場景的兩種場景
在Windows 7中對 DirectAccess 進行排錯的工作非常困難。但在Windows 8中,客戶端的體驗就好很多了。新DirectAccess中連接的屬性通過網絡的用戶界面很容易就能看到,該界面可以告訴我們當前DirectAccess的狀態,并且如果沒有連接,還會提供補救措施。
此外,在某些情況下如果有多個網絡接入點可供DirectAccess 使用,該界面還會顯示用戶當前連接的站點,并且如果有必要,還可以連接到其他站點的接入點。
但如果所有接入點都連接失敗,屬性頁面還可以讓客戶端收集DirectAccess 日志(保存在一個可讀性非常高的 HTML 文件中),并用電子郵件將其發送給技術支持人員,協助對問題進行排查。(除非用戶能把它關掉,并且禁止別人使用,否則這算不上一種"酷技術")
因此基本上,通過對支持人員的電子郵件地址進行配置,為用戶提供切換不同接入點的能力,以及臨時從DirectAccess 斷開的能力,都可以通過組策略對象(GPO)進行配置。
