Một số điểm mới trong kết nối mạng của Windows Server 2008 R2

Quản trị mạng Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số điểm mới trong vấn đề kết nối mạng của Windows Server 2008 R2.

Windows Server 2008 R2 đã được phát hành một thời gian nhưng còn rất nhiều bạn vẫn đang sử dụng Windows Server 2003 hoặc có thể Windows Server 2008 với nhiều lý do khác nhau. Mỗi một phát hành mới luôn đi kèm với rất nhiều điểm mới mẻ, thú vị nếu bạn có thời gian tìm hiểu và khai thác chúng. Trong Windows Server 2008 R2 cũng vậy, phải nói rằng các tính năng kết nối mạng mới của nó thực sự thú vị, và bài này chúng tôi sẽ đề cập đến nội dung đó.

Một số tính năng trong Windows Server 2008 R2 chắc chắn sẽ làm hấp dẫn bạn đó là:

DirectAccess

VPN Reconnect

BranchCache

QoS dựa trên URL

Sau đây chúng ta sẽ đi xem xét các tính năng này.

DirectAccess

DirectAccess là một kỹ thuật truy cập trừ xa mới, cho phép các máy tính thành viên miền có thể kết nối với mạng nội bộ mà không cần kết nối VPN. Có thể bạn đã nghe nhiều thông tin về DirectAccess với tư cách là một kiểu kết nối VPN, tuy nhiên sự thật thì DirectAccess lại hơn nhiều so với một VPN. Microsoft đã phát triển công nghệ này như một công nghệ thay thế cho VPN. Vậy điểm khác biệt ở đây là gì? Virtual Private Network cho phép người dùng của bạn có thể truy cập vào mạng khi họ muốn truy cập thông tin nằm ở đây. Ngược lại, DirectAccess cho phép mở rộng bản thân mạng của bạn đến tất cả các máy khách được kích hoạt DirectAccess, vì vậy người dùng sẽ luôn kết nối với mạng nội bộ và nhóm CNTT của bạn luôn kết nối với các máy khách DirectAccess. Ưu điểm lớn mang lại ở đây là, trái ngược với các máy khách VPN, các máy khách DirectAccess luôn nằm trong sự kiểm soát, luôn được cập nhật và luôn tuân thủ các thiết lập cấu hình mong muốn.

Chỉ có hai cách để đạt được điều đó là nâng cấp, vì DirectAccess yêu cầu Windows Server 2008 R2 bên phía trình chủ và Windows 7 Enterprise hoặc Ultimate bên phía trình khách. Bạn có thể hoặc không thể nâng cấp toàn bộ cơ sở hạ tầng mạng, phụ thuộc vào hình thức DirectAccess nào bạn triển khai (chúng ta sẽ đề cập đến vấn đề đó trong phần dưới).

DirectAccess không phải là một kỹ thuật cụ thể, nó là một bộ sưu tập các kỹ thuật có sẵn và được kết hợp cùng nhau dưới một tên gọi chung “DirectAccess”. Các kỹ thuật chính trong DirectAccess gồm có:

Active Directory – Máy khách và máy chủ DirectAccess phải là các thành viên của miền Active Directory để đảm bảo điều kiện xác thực.

Group Policy - Group Policy Objects (GPOs) được sử dụng để phân phối các thiết lập cấu hình có liên quan đến DirectAccess đến cả máy chủ và khách DirectAccess.

DNS – DirectAccess sử dụng DNS để xác định kết nối nào sẽ được gửi qua kết nối DirectAccess, kết nối này sẽ được gửi trực tiếp đến máy chủ trên Internet.

PKI – DirectAccess sử dụng xác thực chứng chỉ máy tính và Ipsec, kỹ thuật yêu cầu PKI để triển khai các chứng chỉ.

IPsec - DirectAccess là một giải pháp truy cập an toàn có thể lợi dụng cả chế độ đường hầm Ipsec và chế độ truyền tải Ipsec nhằm bảo mật các kết nối từ các máy khách DirectAccess từ xa đến máy chủ DirectAccess và đến các máy chủ nằm trong mạng nội bộ.

IPv6 – DirectAccess là một công nghệ được kỳ vọng, công nghệ này được xây dựng trên giao thức mạng tương lai IPv6. (Mặc dù vậy, với UAG, bạn không cần phải có một mạng IPv6 nguyên bản để DirectAccess làm việc trong mạng của bạn hiện nay).

Một số kỹ thuật này có trong bất cứ Windows domain nào. Một số khác có thể hoặc chưa được sử dụng trong mạng của bạn. Tất cả các kỹ thuật này có thể được sử dụng với các phiên bản Windows Server trước đây, tuy nhiên được sử dụng một cách rời rạc và chỉ ở Windows Server 2008 R2 tất cả chúng được kết hợp cùng nhau để tạo nên giải pháp DirectAccess.

Điều quan trọng ở đây là phải hiểu rằng có hai dạng DirectAccess, đó là: Windows DirectAccess và UAG DirectAccess. Dạng Windows DirectAccess cho các doanh nghiệp có kích thước vừa và nhỏ chỉ có một vài máy chủ, tuy nhiên để sử dụng nó, bạn phải có một miền Windows Server 2008 R2 nguyên bản và phải có một mạng IPv6. Với các triển khai doanh nghiệp cỡ lớn, bạn cần sử dụng giải pháp UAG DirectAccess vì dạng thức này có thể mở rộng và khá vững chắc. Thêm vào đó, UAG DirectAccess cho phép bạn sử dụng DirectAccess thậm chí khi không triển khai IPv6 và không có cơ sở hạ tầng Windows Server 2008 (vẫn vần có một máy Windows Server 2008 R2 trên UAG nào được cài đặt).

VPN Reconnect

Trong khi DirectAccess là công nghệ có thể thay thế cho VPN thì VPN Reconnect, một công nghệ VPN mới có trong Windows Server 2008 R2 lại tương tự như các giao thức VPN khác, chẳng hạn như PPTP và L2TP/IPsec. Nó sử dụng cùng một VPN connectoID vẫn được sử dụng bởi các giao thức VPN này. Mặc dù vậy, khác biệt lớn giữa các giao thức VPN và VPN Reconnect là: với VPN Reconnect, kết nối tự động được thiết lập lại khi bị mất kết nối. Trong khi đó, nếu kết nối VPN bị mất, người dùng sẽ không nhận được thông báo rằng kết nối bị mất và yêu cầu có muốn kết nối lại hay không. Thay vì đó phần mềm sẽ kết nối lại cho họ.

Cách thức này tỏ ra rất thuận tiện cho người dùng di động. Cho ví dụ, giả định bạn đang sử dụng kết nối Wireless WAN thông qua một tài khoản nào đó. Lúc này bạn đang ở trên tàu và kiểm tra email hay làm việc với các tài liệu gì đó… Mọi thứ hiện đang diễn ra như mong đợi thì đó đoàn tàu đi qua đoạn đường hầm. Trong đường hầm kết nối Internet bị đứt vì không có sóng vô tuyến. Mặc dù đang làm việc với các email trong Outlook cùng thời điểm đó thì bạn vẫn không nhận ra rằng kết nối của mình bị rớt (đó là kết nối VPN Reconnect). Khi đoàn tàu đi ra khỏi đường hầm, Internet được kết nối trở lại và kết nối VPN Reconnect tự động được thiết lập lại. Tất cả những điều này xảy ra ở chế độ background do đó người dùng không hề hay biết rằng kết nối Internet của mình bị rớt trong thời gian tàu đi qua đường hầm.

VPN Reconnect sử dụng IKEv2, áp dụng các tính năng mới qua khả năng di động IKEv2 và kỹ thuật multihoming (kỹ thuật tăng độ tin cậy) được mô tả trong RFC4555. Bạn cần phải có Windows Server 2008 R2 và các máy khách Windows 7 để sử dụng VPN Reconnect. Các phiên bản Windows trước đây không có tính năng này.

Có thể thấy có đôi chút giống nhau giữa DirectAccess và VPN Reconnect. Cả hai chúng đều cho phép kết nối trong một cách suốt với mạng công ty và cả hai chúng đều tự động kết nối lại nếu kết nối Internet bị rớt. Mặc dù vậy vẫn có một số khác biệt đáng kể:

DirectAccess yêu cầu các máy khách DirectAccess phải là các thành viên miền còn VPN Reconnect không yêu cầu điều đó.

DirectAccess cho phép kết nối với các máy chủ quản lý trước khi người dùng đăng nhập còn VPN Reconnect bắt đầu khi người dùng khởi chạy VPN connectoid để thiết lập kết nối ban đầu.

DirectAccess được thiết kế để hỗ trợ bảo mật “end-to-edge” và “end-to-end” còn VPN connectoid chỉ được thiết kế để hỗ trợ bảo mật “end-to-edge”.

Nói chung, bạn nên sử dụng VPN Reconnect cho các thành viên không thuộc miền. Còn với các thành viên miền, các máy tính được quản lý, DirectAccess là kỹ thuật truy cập từ xa được ưa thích hơn.

BranchCache

BranchCache là một công nghệ mới trong Windows Server 2008 R2 và Windows 7, cho phép người dùng tại các văn phòng chi nhánh có thể truy cập các thông tin tại văn phòng chính nhanh hơn bao giờ hết. Một vấn đề lớn nhất mà người dùng tại văn phòng chi nhánh gặp phải là việc truy cập dữ liệu tại văn phòng chính qua kết nối WAN có băng thông hạn chế hoặc site-to-site VPN đến văn phòng chính. Vấn đề này đôi khi dẫn đến tình trạng người dùng tránh truy cập các thông tin mà có thể giúp họ tăng năng suất và bổ sung nhiều giá trị lợi ích cho công ty.

Có thể sử dụng BranchCache để lưu trữ các dữ liệu văn phòng chính tại văn phòng chi nhánh. Khi người dùng kết nối HTTP(S) hoặc SMB (CIFS) đến tài nguyên nằm tại văn phòng chính thì dữ liệu đó sẽ được lưu tại văn phòng chi nhánh. Khi người dùng khác sau đó cố gắng truy cập vào dữ liệu đó thì dữ liệu này sẽ được cung cấp từ cache cục bộ được lưu trữ tại văn phòng chi nhánh. Cách thức này giúp tăng đáng kể tốc độ truy cập dữ liệu vì nó được cung cấp ở tốc độ LAN tại văn phòng chi nhánh (Gigabit Ethernet) thay vì tốc độ WAN (vẫn nằm trong khoảng 10 Mbps).

BranchCache có thể được cấu hình dưới một trong hai chế độ sau:

Hosted Mode – Trong chế độ Hosted Mode, BranchCache làm việc với một máy chủ BranchCache nắm giữ các dữ liệu được cache cho tất cả các máy tính trong văn phòng chi nhánh. Khi máy khách BranchCache trong văn phòng chi nhánh yêu cầu dữ liệu từ văn phòng chính, nó sẽ truy cập vào dữ liệu và sau đó chia sẻ dữ liệu này với máy chủ BranchCache. Khi host thứ hai tại văn phòng chi nhánh tạo yêu cầu với nội dung tương tự, nó sẽ kết nối với máy chủ tài nguyên tại văn phòng chính để xác thực và nhận được metadata nhằm xác định các nội dung đó đã được thay đổi so với những gì được cache trước đó hay chưa. Nếu chưa có gì thay đổi nó có thể sử dụng dữ liệu được lưu trữ cục bộ với tốc độ LAN từ Hosted Mode BranchCache tại văn phòng chi nhánh.

Distributed Mode – Trong chế độ Distributed Mode, không có máy chủ BranchCache mà thay vào đó các máy khách Windows 7 sẽ chia sẻ các dữ liệu được cache với nhau. Khi một máy tính Windows 7 tại văn phòng chi nhánh nhận dữ liệu qua SMB hoặc HTTP(S) từ văn phòng chính, nó sẽ cache các thông tin này cục bộ. Khi một máy tính Windows 7 khác tại văn phòng chi nhánh thực hiện yêu cầu với nội dung tương tự, nó sẽ xác thực với máy chủ gốc và nhận metadata, sau đó sẽ nhận dữ liệu với tốc độ LAN từ máy khách Windows 7 đã yêu cầu cùng nội dung như vậy trước đó.

Chế độ Distributed Mode được sử dụng khi có ít hơn 50 máy tính trong mạng văn phòng chi nhánh. Tất cả các máy tính cần nằm trong cùng một một đoạn mạng. Nếu văn phòng chi nhánh có hơn 50 máy khách hoặc có nhiều đoạn mạng thì bạn cần sử dụng chế độ Hosted Mode.

QoS dựa trên URL

Windows Server 2008 R2 và Windows 7 hiện hỗ trợ Quality of Service (QoS) dựa trên URL. Đây là công nghệ đã có trong ISA Server và Threat Management Gateway (TMG) tuy nhiên giờ đây nó được cấp đến các máy khách và máy chủ trong mạng.

Điểm mới ở đây là các gói IP có chứa giá trị Differentiated Services Code Point (DSCP), đây là giá trị để các router được cấu hình giá trị DSCP có thể kiểm tra để gán mức ưu tiên. Khi các router bận, các gói sẽ được xếp hàng và hàng đợi có thể được cấu hình theo các gói có mức ưu tiên cao trước, mức ưu tiên thấp sau.

Với Windows Server 2008 R2 và Windows 7, bạn có thể sử dụng QoS theo URL để xét ưu tiên lưu lượng mạng dựa trên URL nguồn, bổ sung thêm việc ưu tiên dựa trên địa chỉ IP và cổng. Cách thức này cho phép bạn có thêm sự kiểm soát đối với lưu lượng mạng và bảo đảm rằng lưu lượng web ở mức ưu tiên cao sẽ được chuyển tiếp trước lưu lượng có mức ưu tiên thấp, thậm chí khi lưu lượng đó được cấp từ cùng một máy chủ. Đây là một khác biệt lớn về hiệu suất.

Cho ví dụ, bạn chắc chắn sẽ có một số lượng lớn các máy chủ web bên trong mà người dùng cần truy cập để thực hiện các công việc của họ. Khi đó bạn có thể gán các máy chủ bên trong này các địa chỉ với mức ưu tiên cao hơn so với các địa chỉ của máy chủ bên ngoài, như vậy lưu lượng đến các tài nguyên quan trọng bên trong sẽ được ưu tiên hơn so với lưu lượng truy cập đến các máy chủ không quan trọng.

Kết luận

Trong bài này chúng tôi đã giới thiệu được cho các bạn một số tính năng về mạng mới có trong Windows Server 2008 R2 và Windows 7. Đó là DirectAccess, một công nghệ truy cập từ xa mới, giúp mở rộng mạng nội bộ của bạn đến bất cả các máy tính thành viên miền dù các máy tính này được đặt ở đâu; VPN Reconnect, một giải pháp tuyệt vời cho các máy tính thành viên không thuộc miền cần có kết nối VPN với mạng công ty, cho phép kết nối một cách dễ dàng, không bị phiền muộn về việc phải thiết lập lại các kết nối VPN; BranchCache, một tính năng cho phép các máy khách tại văn phòng chi nhánh có thể nhận các nội dung từ văn phòng chính với tốc độ của một mạng LAN thay vì tốt độ WAN chậm chạp; QoS dựa trên URL, cho phép bạn ưu tiên các kết nối dựa trên URL để từ đó có sự điều chỉnh phù hợp ở các máy chủ web cho kết nối mạng.

Thứ Ba, 14/12/2010 09:45
52 👨 5.430
0 Bình luận
Sắp xếp theo
    ❖ Kiến thức cơ bản