Innledning
’ re nærmer seg målstreken med vår artikkelserie om de nye funksjonene og funksjonaliteten i Windows Server 2012 nettverksteknologier. I del 1 til 6, vi ’ ve allerede dekket et dusin viktige endringer, forbedringer og tillegg. I denne del 7 av serien, vi ’ ll diskutere Windows Server 2012 ’ s. Gjennomføring av Direct teknologien vi kjenner og elsker, så vel som den nye enhetlig Routing and Remote Access (RRAS)
Her ’ er vår liste igjen, og viser elementene vi ’ ve allerede omtalt i tidligere artikler, de vi ’ ll se på i denne artikkelen, og en som er enda bedre:
Tidligere artikler:
802.1x Godkjente Kablet og trådløst tilgangs
Branchcache
Data Center Bridging (DCB)
Domain Name System (DNS)
DHCP
Hyper-V nettverk virtualisering
IP Address Management (IPAM)
Low Latency arbeidsmengde teknologier
Network Load Balancing
Nettverk Regler og Access Tjenester
NIC Teaming
Windows QoS
Denne artikkelen:
Direct og Unified RRAS
Future artikkel:
Windows-brannmur med avansert sikkerhet
La ’ s komme i gang
Direct i Server 2012
Direct har eksistert siden Windows Server 2008 R2, og det ’ s en stor hjelp av å gi eksterne brukere med en måte å koble tilbake til bedriftens nettverk uten å måtte forholde seg til VPN-innstillinger. Den store fordelen for administratorer er muligheten til å ha mye mer kontroll over eksterne datamaskiner, fordi du kan håndtere dem selv om brukeren isn ’ t logget på, så lenge datamaskinen har en Internett-tilkobling. Det gjør det enkelt å oppdatere programvare eller Group Policy når du må, uten å vente for brukeren å lage en VPN-tilkobling. Det letter også belastningen på IT for opplærings brukere til å bruke VPN-klienter og teknisk support samtaler at du nødvendigvis får når brukerne har problemer med å konfigurere VPN-tilkoblinger.
Som med tidligere implementeringer, Direct i Windows Server 2012 krypterer trafikken som ’ s overført over Internett, slik at brukerne har en sikker tilkobling til bedriftens nettverk
Men Direct har noen begrensninger.. Det fungerer bare for klientdatamaskiner som kjører Enterprise eller Ultimate-utgavene av Windows 7 og Enterprise-utgaven av Windows 8. I tillegg må disse systemene være koblet til domenet. Det betyr at brukere som har datamaskiner som kjører Profesjonelle utgaver av Windows 7 eller 8 er ikke i stand til å koble til via Direct og må i stedet bruke en tradisjonell VPN-tilkobling.
I Windows Server 2008 R2, Direct og Routing and Remote Access (RRAS ), hvor VPN-tjenester er konfigurert og administreres, er to separate funksjoner med ulike forvaltnings konsoller. Videre må RRAS kjøres på en annen server fra kanten serveren kjører Direct service. Dette kompliserer forvaltningen av ekstern tilgang i bedriften.
Windows Server 2012 går for en mer helhetlig tilnærming ved å kombinere Direct med RRAS i en ny Unified RRAS serveren rolle. Det betyr at du kan konfigurere, administrere og overvåke begge typer fjerntilgang tjenester fra ett sentralt sted. Nå de to rollene eksistere på samme maskin og du don ’. T nødt til å ha egne servere for dette formålet
Enklere å distribuere og bruke
Til tross for alle fordelene Direct tilbys i Server 2008 R2 , mange nettverk admins var nølende om å rulle den ut på grunn av kompleksiteten i distribusjonsprosessen. Det var mange forutsetninger, for eksempel behovet for en public key infrastructure (PKI) og vanskeligheten med å få tilgang til IPv4 datamaskiner på bedriftens intranett med Directaccess. De fleste av disse hindringene er fjernet eller sterkt redusert i gjennomføringen av Direct inkludert i Windows Server 2012 og 2012 R2 med Windows 8 /8.1-klienter.
En viktig forskjell er at du ikke lenger trenger å sette opp en sertifisering autoritet og implementere en PKI å utstede databevis til DA server og klienter. Mens du kan fortsatt bruke en PKI for autentisering, nå er det ’ s valgfritt. I stedet kan klientmaskinene sende autentiseringsforespørsler til en Kerberos proxy som kjører på DA-serveren og er satt opp av Getting Started veiviseren når du konfigurerer DA. Nå er det er Her ’ s Slik fungerer det:. Når du bruker denne forenklede modellen utplassering (uten en PKI), er bare en IPsec tunnel etablert i stedet for to. I en tradisjonell distribusjon, er det en infrastruktur tunnel etablert først som bruker datamaskinen sertifikat og NTLM, så kunden får en Kerberos token og etablerer den andre tunnelen ved hjelp av datamaskinen sertifikat og Kerberos. Nå Kerberos proxy utsteder token slik at første tunnelen isn ’. T til nødvendig Ulempen med å ikke ha en intern PKI er at når du distribuerer DA på denne måten, du vant ’ t være i stand til å bruke bestemte funksjoner som NAP (Network Access Protection) integrering og to-faktor autentisering. Du ’ ll trenger å veie fordeler og ulemper og avgjøre om det trade-off er verdt det, men denne nye funksjonen i det minste åpner opp bruken av DA til organisasjoner som ikke ville ’ t anser det før på grunn av PKI kravet Hvis du velger å distribuere med en PKI, i tillegg til smartkort støtte Windows Server 2012/2012 R2 DA støtter engangspassord (OTP) tokens, og du kan også bruke virtuelle smartkort for klientdatamaskiner som har en Trusted Platform Module (TPM) Du har også muligheten til å distribuere DA i Windows Server 2012/2012 R2 på en server som ’ s. bak en NAT-enhet, noe som var vanskelig å gjennomføre i 2008 R2 DA fordi to NICS med to påfølgende offentlige IPv4-adresser var nødvendig. Nå kan du distribuere bak NAT med bare ett nettverksgrensesnitt. En annen stor forbedring er innebygd støtte for NAT64 protokollen oversettelses å tillate DA klienter å få tilgang til disse interne ressurser som kjører på IPv4-bare maskiner. Dette er en stor avtale, fordi det er mange bedriftsnettverk som har eldre filservere og andre servere som kjører applikasjoner som don ’ t støtter IPv6. Tidligere hvis du hadde denne typen situasjon, ble du bedt om å bruke Forefront UAG Gateway Direct Access – men det var en dyr løsning så mange foreninger bare didn ’ t distribuere DA i det hele tatt. Nå er det ’ s ikke bare mulig; det ’ s lett. Konfigurasjonsveiviseren konfigurerer NAT64 og DNS64 for deg, automatisk, hvis DA server ’ s interne NIC har en IPv4-adresse tildelt Dette isn ’. T den eneste måten den nye Komme i gang veiviseren virkelig forenkler hele prosessen med å distribuere DA. Du trenger ikke lenger å være en ekspert på de tekniske detaljene for å få den opp og kjører. Og du har mange flere alternativer. Nå kan du distribuere DA i en “ administrere-out bare ” konfigurasjon. Hva det betyr er at du kan bruke DA til å distribuere oppdateringer og administrere datamaskinene eksternt, uten at brukerne logger inn, samtidig som vi holder VPN eller andre mer tradisjonelle fjerntilgang metode på plass for brukere å få tilgang til bedriftens ressurser. For store bedrifter, er en stor forbedring som Windows Server 2012/2012 R2 ’ s Direct Access implementering støtter nå mye enklere distribusjon med flere domener og flere nettsteder. Med Server 2008 R2, kan du bare konfigurere DA for ett domene med oppsettsveiviseren, så hvis du hadde kunder i et annet domene, de couldn ’ t bruke den. Det var mulig å gjøre det manuelt, men du måtte redigere DA politikk, noe som gjør det mer komplisert. Nå installasjonsprosessen støtter integrering av flere domener. Multi-site support har også blitt forbedret, slik at kundene vil kunne få tilgang til de ressursene de trenger, uavhengig av hvor de fysisk befinner seg. Den multi-site konfigurasjon tildeler DA inngangspunkter til Windows 8 datamaskiner automatisk, og Windows 7-maskiner kan også tildeles automatisk hvis du har Global Server Load Balancing (GSLB) utplassert. Da trafikken kan distribueres og balansert på tvers av flere nettsteder Windows Server er i bevegelse mot en mer “. Minimalis ” tilnærming til GUI, med flere og flere organisasjoner som kjører en nedstrippet Server Core-installasjonen for å redusere angrepsflaten og også for å forbedre ytelsen. Samtidig er admins omfavner kommandolinjen igjen, med den økende raffinement av Powershell verktøy for administrasjon, scripting og automatisering av oppgaver. Direct i Server 2012/2012 R2 reflekterer denne trenden, med Server Core rolle å støtte den nye Unified RRAS rolle, inkludert Direct. Det gir også full kjennetegnet Powershell-støtte slik at du kan installere, konfigurere, administrere, overvåke og feilsøke alle aspekter av Unified RRAS tjenester. Speaking of overvåkning og feilsøking, dette er oppgaver som bruker en stor del av en admin ’ s tid, og de har blitt vesentlig forbedret for Unified RRAS i Windows Server 2012/2012 R2. Det er nye diagnosefunksjoner, inkludert detaljert logging for DA, sporing og pakke fangst og logge korrelasjon. Regnskap og rapportering er bedre når du bruker en RADIUS-server eller Windows Internal Database (WID). Du kan måle konkrete beregninger, for eksempel antall brukere som er koblet til DA-serveren, og opprette egendefinerte rapporter Som for overvåking, dashbordet som ’ s. Nås fra RRAS konsollen viser et vell av informasjon om status for DA server og klient aktivitet. I Server 2008 R2 DA, kan du bare gjøre grunnleggende helsestatus overvåking Dette er noen av høydepunktene i forbedringene Microsoft har gjort til Direct i Windows Server 2012. Det ’ s. ikke en all-inclusive liste; det er flere forbedringer som vil gagne organisasjoner i bestemte situasjoner, men dette bør være nok til å illustrere at det ’ s mye som skjer med den nye Direct og Unified RRAS funksjonen Neste gang vi ’. ll bringe denne serien til en slutt med vår diskusjon av Windows Server 2012 brannmur med avansert sikkerhet. Anmeldelser
fortsatt noen krav og noen advarsler. DA server trenger fortsatt et sertifikat, men det ’ s mulig å bruke et selvsignert sertifikat som du konfigurerer under installasjonen. Imidlertid ville bedre sikkerhet praksis være å bruke et sertifikat utstedt av en offentlig sertifiseringsinstans
Bredere Omfanget
Støtte for nye teknologier
Sammendrag