在快速发展的企业环境中,企业员工肯定都希望能从任何设备访问企业内部的应用程序和数据,用个人计算机、移动计算机、平板电脑,以及其他可移动设备。那么,如何用简单的办法,而不需要复杂的工作和高昂的成本,让企业的IT系统能够支持企业员工的这些需求,成为当前IT负责人亟待解决的难题。
在刚刚发布的Windows Server 2012中,远程访问已经成为一种集成式解决方案,它可以帮助企业快速部署出DirectAccess或传统的虚拟专用网络(VPN)。同时,其中的远程桌面服务中包含的改进使得该功能比以往更易于部署,无论是基于会话的桌面还是虚拟桌面都变得更简单。
企业的系统管理员还可以集中管理RemoteApp程序,同时用户设备相关性使得企业员工可以将漫游用户映射给指定的计算机和设备。另外,BranchCache通过改进,可以提供更好的性能,并能更加充分地利用昂贵的广域网(WAN)带宽。此外 Branch Office Direct Printing功能使得远程办公室用户可以更快速地完成打印作业,而不需要给本繁忙的WAN增加负担。
统一访问:DirectAccess与VPN同体
的企业在 IT 基础架构方面安全边界越来越模糊。当大部分员工开始移动工作,需要访问移动数据时,企业需要解决新的安全挑战。云计算致力于解决上述部分问题,但实际上大部分组织都会部署混合云,其中同时包含传统的数据中心计算环境,以及托管式云服务。
用安全、高效、成本低廉的方式为企业资源提供远程访问,是企业的一项基本工作。微软老版本Windows Server操作系统支持用不同的方式实施远程访问,具体包括:点对点隧道协议(PPTP)VPN 连接;二层传输协议 IPsec(L2TP/IPsec)VPN 连接;使用安全套接隧道协议(SSTP)的安全套接字层(SSL)加密的超文本传输协议(HTTP)VPN 连接;VPN 重连接,可使用 Internet 协议安全(IPsec)隧道模式的 Internet 密钥交换版本 2(IKEv2);DirectAccess,混合使用公钥基础架构(PKI)、IPsec、SSL,以及 Internet 协议版本 6(IPv6)等等。
同时,在老版本的Windows Server操作系统中,实施远程访问是一项复杂的任务,因为要部署和管理不同的解决方案,往往需要使用不同的工具。例如,要实施 VPN 解决方案需要用到路由和远程访问(RRAS)组件,而 DirectAccess 的配置则要用到其他工具。
不过,从Windows Server 2012开始,远程访问解决方案的部署过程得以极大地简化。因为,在Windows Server 2012中已经将DirectAccess与VPN功能集成到同一个远程访问服务器角色中。
此外,无论基于DirectAccess或VPN的远程访问解决方案的管理也得到了统一,并且都集成在全新的服务器管理器中。终,Windows Server 2012可以为系统管理员提供集成式的远程访问解决方案,部署和管理都更加简单。另外,某些高级RRAS 功能,例如路由,依然需要通过原有的路由与远程管理控制台进行配置。
Directaccess简化远程访问步骤
如果远程客户端设备可以持续连接,用户的工作效率可以更高。能够持续连接的设备在管理上也可以更容易,这有助于确保合规性,降低支持成本。首次在 Windows Server 2008 R2中引入,并且可被运行在Windows 7客户端的设备上,所支持的DirectAccess 功能通过让用户在具备互联网连接的时候,无缝连接到企业网络,可以充分满足这些需求。
图 Directaccess简化远程访问步骤
DirectAccess可以让用户用一种安全的方式远程访问企业资源,例如共享文件夹、网站,以及应用程序,同时并不需要预先建立VPN连接。每次用户设备连接到互联网之后,DirectAccess可以在用户的设备与企业网络之间自动建立双向连接。
使用传统的VPN时经常遇到的一些困扰。例如,连接到VPN通常需要执行多个步骤,并且用户需要等待身份验证的完成。如果企业网络中实施了网络访问保护(NAP)技术,那需要先对计算机进行健康检查,随后才允许连接到企业网络,造成VPN连接的建立可能需要好几分钟甚至更长时间,这主要取决于是否需要执行补救操作,以及用户上一次建立 VPN 连接的时长。
在某些对 VPN 通讯进行过滤的环境中,VPN连接本身也会遇到问题,并且如果需要用VPN 连接对内部和互联网通讯进行路由,互联网性能也会变得很慢。后,一旦用户的互联网连接中断,还需要从头开始重新建立连接。
而微软新的DirectAccess消除了远程用户的这些困扰。新的DirectAccess与传统的VPN 连接不同,DirectAccess 的连接甚至可以在用户登录之前建立完成,这样用户完全不需要考虑连接到企业网络的资源,或者等待完成健康程度检查。新的DirectAccess还可以将互联网通讯与内网通讯区分开,降低绕道企业网络而造成的不必要的网络通讯,因为与互联网的通讯不需要先绕道企业网络、再发送到互联网,而传统的 VPN 连接通常都是这样做的,DirectAccess 则不会影响用户访问互联网的速度。
终,DirectAccess使得管理员可以远程管理办公室范围之外的计算机,算这些计算机没有通过 VPN 建立连接也能进行管理。这也意味着远程计算机通过组策略可以获得充分的管理,这有助于在所有时间确保安全性。
在 Windows Server 2008 R2中,实施DirectAccess是一个相当复杂的任务,需要执行大量操作,包括一些命令行任务,并且需要分别在服务器和客户端执行。但在Windows Server 2012中,DirectAccess服务器和客户端的部署与配置工作被大幅简化。
此外,DirectAccess与传统的VPN远程访问功能可以在同一台服务器上共存,因此可以部署混合式远程访问解决方案,满足业务的各种需求。并且远程访问角色可以在Server Core环境中安装和配置。
新DirectAccess部署变得更容易
在各种远程访问技术中,Windows 7以及 Windows Server 2008 R2中的 DirectAccess是一个重大创新。它几乎全部时间都是远程工作的-也许是在客户站点,或者是在家里,因此企业员工的笔记本电脑很少能从物理上连接到微软的内部网络。
然而,企业员工经常需要访问内部资源才能完成工作。现在,企业员工都可以通过微软的VPN进行连接。他们所需要做的只是,在自己的环境中插入一个智能卡读卡器,插入智能卡,然后输入自己的PIN码。很显然,这算是一个多么简单的操作体验,符合企业的系统管理员喜欢的“操作简单,容易上手”。
那么,如果换作是新Directaccess又会是什么情呢?会不会更容易。如果有互联网连接,那么大部分情况下同时有了DirectAccess连接。
在Windows Server 2012中部署DirectAccess时,请注意有两种不同形式的部署场景:快速安装和高级配置。从较高角度来看,这两种场景的区别请参见下表:
图 DirectAccess部署场景的两种场景
在Windows 7中对 DirectAccess 进行排错的工作非常困难。但在Windows 8中,客户端的体验好很多了。新DirectAccess中连接的属性通过网络的用户界面很容易能看到,该界面可以告诉我们当前DirectAccess的状态,并且如果没有连接,还会提供补救措施。
此外,在某些情况下如果有多个网络接入点可供DirectAccess 使用,该界面还会显示用户当前连接的站点,并且如果有必要,还可以连接到其他站点的接入点。
但如果所有接入点都连接失败,属性页面还可以让客户端收集DirectAccess 日志(保存在一个可读性非常高的 HTML 文件中),并用电子邮件将其发送给技术支持人员,协助对问题进行排查。(除非用户能把它关掉,并且禁止别人使用,否则这算不上一种"酷技术")
因此基本上,通过对支持人员的电子邮件地址进行配置,为用户提供切换不同接入点的能力,以及临时从DirectAccess 断开的能力,都可以通过组策略对象(GPO)进行配置。