جلسه 28 - ویندوز سرور 2008 - برخی امکانات شبکه ای جدید
توسط
- 2011-08-05 - 11:21 AM (بازدید: 9242)
|
برخی امکانات شبکهای جالب در Windows Server 2008 R2
زمان نسبتا زیادی از عرضه ویندوز سرور 2008 و نسخه R2 آن میگذرد اما شاید بسیاری هنوز هم از ویندوز 2003 (و یا حتی 2000) استفاده میکنند. در اینجا قصد داریم به برخی امکانات شبکهای مهم در Windows Server 2008 R2 اشاره کنیم، شاید شما هم ترغیب شوید که هر چه زودتر سراغ این سیستمعامل جدید بروید.
برخی از این امکانات که در اینجا اشاره مختصری به آنها خواهیم داشت عبارتند از:
ویژگی DirectAccess:
با استفاده از این ویژگی، رایانههای عضو دامین همیشه به صورت امن شبکه اینترانت شما متصل هستند بدون اینکه نیازی به زدن یک اتصال VPN باشد. شاید بعضا شنیده باشید که DirectAccess را نوعی VPN به شمار میآورند اما باید آن را بسیار فراتر از یک ارتباط VPN دانست. در واقع مایکروسافت به دنبال جایگزینی VPN با DirectAccess بوده است. خوب ! ببینیم تفاوت این دو در چیست؟
یک شبکۀ خصوصی مجازی یا همان Virtual Private Network (VPN) به شما کمک میکند تا به یک شبکۀ دیگر به صورت امن متصل شده و از منابع مختلف آن استفاده کنید. اما DirectAccess کار جالبتری انجام میدهد و آن گسترده کردن خود شبکه و دربرگرفتن تمام رایانههایی است که این قابلیت روی آنها فعال شده است. در نتیجه کاربران همواره به شبکۀ اینترانت شما متصل هستند. بزرگترین مزیت استفاده از این ویژگی آن است که دیگر برای مدیریت رایانهها، اعمال تغییرات روی آنها و ... نیازی به برقراری ارتباطات VPN بین دو طرف نیست بلکه این رایانهها (انگار که در شبکۀ داخلی شما و به صورت دائم متصل هستند) به سادگی قابل دسترسی، مدیریت و اعمال تغییرات و به روزرسانیها و مواردی از این دست هستند.
دقت داشته باشید که DirectAccess در واقع یک فناوری منحصر به فرد و خاص نیست بلکه ترکیبی است از چندین فناوری که در کنار هم قرار گرفته و پیکربندیهایی روی آنها انجام میشود. فناوریهای مهم تشکیلدهندۀ DirectAccess عبارتند از:
- Active Directory: سرور و کلاینتهای DirectAccess باید عضوی از یک دامین اکتیو دایرکتوری باشند و احراز هویت آنها از این طریق صورت میگیرد.
- Group Policy: برای توزیع و اعمال تنظیمات مربوطه از اشیای سیاستهای گروهی یا (GPO’s) استفاده میشود. (چه روی سرورها و چه روی کلاینتها)
- DNS: در DirectAccess از DNS استفاده میشود تا معلوم شود چه کانکشنهایی باید مستقیما به سمت اینترنت بروند و چه کانکشنهایی باید از ارتباط DirectAccess برقرار شده استفاده کنند.
- PKI: در DirectAccess از احراز هویت رایانهها (با گواهیهای دیجیتالی) و IPSec استفاده میشود که مسلما این مساله نیاز به یک ساختار PKI دارد. (برای مدیریت گواهیها (Certificate) )
- IPSec: فناوری DirectAccess از حالتهای تونل (Tunnel mode) و انتقالی (Transport mode) در IPSec استفاده میکند تا ارتباطات را کاملاً امن سازد.
- IPv6: فناوری DirectAccess یک فناوری رو به جلو و پیشنگرانه است که بر اساس پروتکل شبکهای آینده یعنی IPv6 بنا شده است. (البته اگر هنوز هم با آدرسهای IPv4 سروکار دارید میتوانید برای بهرهگیری از DirectAccess از Forefront UAG استفاده کنید.)
برخی از این فناوریها که جزو مسلم و لاینفک دامینها هستند و حتما در شبکۀ شما هم وجود دارند، اما ممکن است برخی دیگر را هنوز پیادهسازی نکرده باشید. به یک نکتۀ مهم دقت کنید. در نسخههای قبلی ویندوز سرور هم این فناوریها وجود دارند اما فقط و فقط این سیستمعامل Windows Server 2008 R2 است که میتواند آنها را در کنار هم قرار داده و فناوری DirectAccess را برای شما به ارمغان بیاورد.
مساله دیگر، دو حالت DirectAccess یعنی Windows DirectAccess و UAG DirectAccess است. اولی برای زمانی مناسب است که شبکه چندان بزرگ و تعداد سرورها چندان زیاد نیست، اما دامین شما حتما Windows Server 2008 R2 است و از IPv6 استفاده میکنید. حالت دوم یعنی UAG DirectAccess به درد حالتی میخورد که همهجا IPv6 ندارید و ضمنا برخی ویندوزهای سرور شما غیر از 2008 هستند. (البته حتما یک سرور 2008 برای نصب و پیادهسازی UAG نیاز دارید.)
برای مطالعۀ بیشتر:
DirectAccess
Windows Server 2008 R2: DirectAccess: Getting Started
directaccessinternettrafficrouting.jpg
ویژگی VPN Reconnect:
گفتیم DirectAccess فناوری است که مایکروسافت به دنبال جایگزینی VPN با آن است اما VPN Reconnect یک فناوری VPN جدید در Windows Server 2008 R2 است که شباهت زیادی با دیگر پروتکلهای VPN مانند PPTP و L2TP/IPSec دارد. تفاوت اصلی در آن است که در این ویژگی، به محض قطع شدن ارتباط VPN به هر دلیل، ویندوز سریعاً و بدون اینکه پیغامی به کاربر نشان دهد، سعی در برقراری مجدد آن خواهد داشت.
فرض کنید در قطاری نشستهاید و با یک ارتباط وایرلس به اینترنت و شبکۀ داخلی شرکت متصل شدهاید و روی یک فایل ارائه یا سایت داخلی یا .. مشغول کار هستید. قطار وارد تونل شده و ارتباط وایرلس شما قطع میشود. شما هیچ چیزی متوجه نمیشوید و به کار خود ادامه میدهید. فناوری VPN Reconnect در پشت صحنه مشغول به کار است. به محض خروج شما از تونل و برقراری ارتباط اینترنت شما، سریعا ارتباط VPN بین شما و دفتر مرکزی برقرار شده و شما اصلا این قطعی موردی را متوجه نمیشوید.
قابلیت VPN Reconnect با استفاده از برخی فناوریهای جدید در ویندوز سرور 2008، یعنی فناوریهای مخصوص جابجایی (Mobility) و تبادل اینترنتی کلید (Internet Key Exchange – IEK2) پیادهسازی میشود. این امکان فقط برای کلاینتهای ویندوز 7 و سرورهای Windows Server 2008 R2 قابل اجراست.
شاید پیش خود فکر کنید این دو فناوری یعنی VPN Reconnect و DirectAccess شبیه به هم هستند اما تفاوتهای عمدهای از جمله موارد زیر بین آنها وجود دارد.
- در فناوری DirectAccess نیاز است که کلاینتها عضو دامین باشند اما در VPN Reconnect این مساله اجباری نیست.
- در DirectAccess ارتباط پیش از Logon کردن کاربر برقرار میشود اما VPN Reconnect زمانی شروع به کار میکند که ارتباط VPN اولیه توسط کاربر شروع گردد.
- از DirectAccess میتوان برای برقراری ارتباط یک کلاینت به شبکه یا شبکه به شبکه (اصطلاحا End-to-Edge و Edge-to-Edge) استفاده کرد اما VPN Reconnect فقط برای حالت End-to-Edge استفاده میشود.)
برای مطالعه بیشتر
VPN Reconnect: A New Tunnel for Mobility - Routing and Remote Access Blog - Site Home - TechNet Blogs
Download Details - Microsoft Download Center - Step-by-Step Guide: Deploy VPN Reconnect
http://technet.microsoft.com/en-us/library/dd637830(v=ws.10).aspx
فناوری BranchCache:
یک فناوری جدید دیگر که بین کلاینتهای ویندوز 7 و سرورهای Windows Server 2008 R2 قابل پیادهسازی است، BranchCache میباشد. این فناوری به کاربران راه دور (شعب دیگر) اجازه میدهد به اطلاعات موجود در سرورهای دفتر مرکزی، با سرعتی بسیار بیش از گذشته دسترسی داشته باشند. یکی از بزرگترین مشکلاتی که کاربران راه دور با آن درگیر هستند، اتصال به دفتر مرکزی با کمک لینکهای WAN کمسرعت و یا ارتباطات Site-to-Site است. این مساله منجر به بروز مشکلات مختلف و یا کندی فراوان در دسترسی به اطلاعات دفتر مرکزی شده کسب و کار سازمان را دچار افت میکند.
با استفاده از BranchCache میتوان اطلاعات را در شعبههای شرکت، ذخیرهسازی یا به اصطلاح Cache کرد. وقتی که کاربری با استفاده از HTTP یا HTTPS یا SMB به سرورهای دفتر مرکزی وصل می شود و اطلاعاتی را فراخوانی میکند، این دیتا روی سرورهای شعبه هم ذخیره یا کَش میشوند. حال اگر کاربر دیگری قصد دسترسی به این اطلاعات را داشت، دیگر لازم نیست به مرکز وصل شود بلکه دیتای مورد نیاز وی از روی این کَش فراخوانی میشود). این مساله دسترسی به اطلاعات را بسیار سریعتر میسازد و البته این فناوری مراقب تغییرات احتمالی دیتای فراخوانی شده در سمت دفتر مرکزی هم هست.
فناوری BranchCache به دو صورت قابل پیادهسازی است.
حالت Hosted: در این حالت در شعب یک سرور وجود دارد که اطلاعات فرخوانی شده از دفتر مرکزی روی آن کَش میشود. بقیۀ قضایا واضح است و نیازی به توضیح ندارد. یکبار اطلاعات فراخوانی شده توسط کلاینت روی این سرور ذخیره میشود. کلاینت بعدی که این اطلاعات را نیاز داشته باشد از همین سرور محلی استفاده خواهد کرد.
حالت Distributed: در این حالت شعبۀ مرکزی سرور جداگانهای برای BranchCache ندارد و کلاینتها (که البته همه باید ویندوز 7 باشند) اطلاعات را بین خود به اشتراک میگذارند. کاربر 1 اطلاعاتی را از سرور مرکزی میخواند و این اطلاعات روی رایانۀ وی ذخیره میشوند. کاربر 2 هم همین اطلاعات را نیاز دارد. اینجاست که وی میتواند بسته به تنظیمات و دسترسیهای تعریف شده، اطلاعات را از روی رایانۀ کاربر 1 بخواند و نیازی به برقراری ارتباط با دفتر مرکزی از طریق یک لینک WAN کند را ندارد.
برای مطالعۀ بیشتر:
BranchCache
Windows Server 2008 R2: Branch Cache
فناوری URL-Based QoS:
کلاینتهای ویندوز 7 و سرورهای Windows Server 2008 R2 میتوانند از کیفیت سرویس بر اساس URL استفاده کنند چیزی که قبلا فقط توسط سرورهای ISA و TMG امکانپذیر بوده است، اما اکنون کلاینتها و سرورها میتوانند بدون نیاز به یک نرمافزار واسط از آن بهره ببرند.
توضیح این مساله نیاز به آشنایی با برخی مفاهیم QoS دارد که در اینجا نمیخواهیم چندان به آنها بپردازیم. به طور کلی در نظر بگیرید که مقادیر سرویس متمایزی در بستههای IP قابل تعریف هستند (مقادیر DSCP) . مسیریابهایی که برای استفاده از این مقادیر DSCP پیکربندی شدهاند میتوانند بستههای IP را خوانده و با توجه به این پارامتر، ارسال و دریافت برخی بستهها را در اولویت قرار دهند.
اما این کار با استفاده از آدرسهای مبدا یا پروتکلها و پورتها صورت میگیرد اما امکان بسیار جالب در ویندوز 7 و Windows Server 2008 R2 توانایی پیادهسازی این مساله بر اساس آدرسهای وبسایتهاست. سعی میکنم این مساله را با یک مثال ساده توضیح دهم.
فرض کنید من نسبت به شما اولویت دارم ! بنابراین ترافیک من به سمت اینترنت باید نسبت به شما اولویت داشته باشد. پس در QoS تنظیم میکنیم که رایانۀ Ganji با آدرس 192.168.10.10 و ارتباطات Web (TCP 80) وی نسبت به بقیه اولویت دارد. من از این مساله سوء استفاده میکنم و به جای اینکه به سایت شرکت وصل بشوم و کارهای آن را انجام دهد به سایت Rapidshare.com رفته و شروع به دانلود میکنم !!
در URL-Based QoS چه اتفاقی رخ میدهد. ! بله درست است ! اولویت بر اساس URL درخواستی ! یعنی اگر گنجی یا هر کس دیگر قصد داشت به سایت Company.com وصل شود (کلا بستهها به سمت این سایت) بستههای وی نسبت به ترافیک دیگر اولویت دارند و باید DSCP بالاتری بخورند و مسیریاب آنها را با اولویت بیشتر به سمت سرور وب Company.com بفرستد. امیدوارم خوب توضیح داده باشم.
برای مطالعۀ بیشتر
http://technet.microsoft.com/en-us/library/dd637810(WS.10).aspx
url-1.jpgurl-2.jpg