尽管计算机无处不在,你也可以从任何地方访问互联网,但是你大概只能从办公室的个人计算机和手提电脑访问你公司的网络资源。如果你想要从其他计算机(比如,你丈夫的手提电脑或当地图书馆的个人计算机)安全地使用办公室资源,这在过去只怕难以如愿。不过,现在情况不同了。
IT 部门通过综合运用 Windows 7 和 Windows Server 2008 R2 服务,可以设置微软所说的 安全远程连接。在这个功能的帮助下,任何Windows 7 系统上的用户都能访问企业的内部网资源。简而言之,在正确设置后端之后,你可以在任何一台 Windows 7 个人计算机上运行仅限于办公室使用的程序,并能获取服务器上的文件。如有需要,你甚至可以设置完整的瘦客户机桌面解决方案,使整个商务桌面系统托管到服务器上。这样,员工可以在任何一台有高速互联网连接的Windows 7 个人计算机上运行桌面系统。
这与微软的 Windows Server 2008 终端服务网关 或 Citrix XenApp 有什么不同呢?“安全远程连接”试图在服务器端提供更加综合的程序包,而不需要在 Windows 7 桌面上安装任何附加软件。
微软尚未提供如何实施的具体方法,但我们确实知道这种虚拟桌面系统所需要的基本要素。在服务器端,首先需要 Server 2008 R2 的“远程工作区”和“远程桌面网关”。
“远程工作区”是“终端服务”在 Windows Server 2008 R2 中的新名称。此程序包不仅有全新的名称,还集成了演示虚拟化和虚拟桌面基础设施 (VDI)。
这又由 远程桌面连接中介器 进行管理。在这个基于虚拟化的新方法中,有两种瘦客户端 Windows 7 桌面可供远程用户使用:持久(即永久性)的虚拟机和共享的虚拟机。
远程桌面连接中介器是内外部服务器上的应用程序和虚拟桌面的枢纽。
在持久的虚拟机中,用户拥有一对一的瘦客户端 Windows 7 桌面映射。如同普通桌面系统一样,每位用户拥有自己独一无二的桌面系统,只不过此时是一个虚拟桌面。用户可以根据自己的喜好自定义桌面系统,也可以在任何一台有互联网连接的Windows 7 个人计算机上使用该系统。
在共享的虚拟机中,则根据需要复制单个镜像。你仍可以使用配置文件和文件夹重定向来维持独一无二的用户状态,但用户在会话期间所做的任何更改在用户结束注册后即消失。
无论使用上述哪个功能,只靠技术是行不通的,你还需要获得 微软 Windows 虚拟企业中心化桌面系统 (VECD) 许可。基于设备的 VECD 许可是所有使用虚拟 Windows 拷贝的 Windows VDI 部署必不可缺的。为便于管理所有这一切,Windows Server 2008 R2 使用统一的前端管理这些基于 Hyper-V 的新虚拟机远程桌面。
为了确保这些(持久或共享的)远程虚拟桌面获得正确的资源,Server 2008 R2 使用最新的终端服务网关,即远程桌面网关。从企业角度而言,最大的变化是,“远程桌面网关”在处理和管理空闲会话时更高效。这又节约了服务器端的系统资源,从长远角度看,也就是节约了资金。
将所有这一切与 Windows 7 桌面连接起来的是最新版本的远程桌面协议 (RDP)。微软声称,新版本RDP 的速度比以往任何版本都快。此外,它支持 Aero Glass 界面,提高了多媒体性能并且支持重定向 DirectX。因此,从理论上讲,你可以通过 RDP 在虚拟 Windows 7 桌面上运行游戏。在工作时当然不能玩游戏,但这充分证明了 RDP 的速度得到了提升。
在 Windows 7 端帮助提高这些性能的是 DirectAccess。微软把 DirectAccess 叫做虚拟专用网络 (VPN) 的替代品,但是这个名称不是很确切。DirectAccess 包含内置的 Windows 7 VPN,它使用一种较旧、但仍稳健的微软VPN 协议 Internet Protocol Security (IPSec)。
DirectAccess 超出了 VPN 的范畴,其原因在于它使用互联网协议第 6 版本 (IPv6) 在 Windows 7 客户端与 Windows Server 2008 R2 主机之间建立了端到端连接。IPv6 没有什么创新,它是下一代 TCP/IP 网络,在北美或欧洲从未得到广泛的认可。现在,微软用它解决同时提高安全性和速度的难题。
它综合运用了相对不太常用的 IPv6 和 IPSec 来提高安全性。你还可以使用 DirectAccess 验证用户,配置某位用户可以用它访问哪些内部网资源。最后也是很重要的一点,你还可以将 DirectAccess 与网络访问保护 (NAP) 集成到一起。集成两者之后,你可以确保当用户尝试从未安装最新补丁或防病毒程序的 Windows 7 系统登录时,该用户登录将被拒绝。
系统性能的提高还来自企业通信流与互联网通信流的分离。在 DirectAccess 的帮助下,只有企业网络通信流实际上起始于商务服务器或流向商务服务器。在传统的 VPN 情况下,所有通信流(哪怕只是进行谷歌搜索)都是通过企业网络路由的。DirectAccess 通过减少此类通信流,同时降低了企业网关和局域网内部的通信流,从而节约了资源。它还避免通过商务网络发送普通的互联网请求,从而提高了客户端个人计算机的有效网速。
DirectAccess 避免通过商务网络发送互联网通信,从而节约了时间,使 Windows 7 获得了比使用传统 VPN 方法更快的速度。
你目前没有使用 IPv6?这不是问题。DirectConnect 支持 IP-HTTPS。这是一种新的隧道协议,仅受 Windows 7 和 Windows Server 2008 R2 的支持。它使办公室的个人计算机和服务器能够在基于 IPv4 的 HTTPS 会话中传输 IPv6 程序包。这不仅提供了必要的 IPv6 支持,还有助于企业的个人计算机通过 Web 代理服务器或可能阻止普通 VPN 连接的防火墙建立连接。
下面概述一下它的工作原理。首先,设置 Windows Server 2008 R2 主机,使它们能够处理 DirectConnect、“远程工作区”和“远程桌面网关”。如果你选择场外 Windows 7 用户可使用虚拟机,还需要跳过 VECD 圈。完成之后,你可以允许任何一位 Windows 7 用户(在经过恰当的身份验证后)开始使用企业资源。
经过恰当地设置之后,Windows 7 和 Server 2008 R2 的这种强大组合可允许员工在任何地点进行工作。虽然这可能要求你升级服务器,但是它提高了远程安全性和网络速度,最终可提高 IT 的收益率。
