Все разделы сайта DANILIDI.RU
Виндовс 7 корпоративная для фирм и компаний
Windows 7 для предприятий
Поскольку Windows 7 — это новая домашняя операционная система, в качестве ее серверного варианта компания предложила новую серверную ОС Windows 2008 R2.
Корпоративные пользователи в большинстве случаев используют централизированные серверы, поэтому нельзя не упомянуть о глобальных сетевых новшествах, которые затрагивают не только пользовательскую операционную систему, но и ее серверный вариант.
Технология DirectAccess
Новая сетевая технология DirectAccess предоставляет корпоративным пользователям прозрачный доступ к внутренним ресурсам сети предприятия, если они подключены к Интернету.
Как правило, большинство пользователей подключаются к внутренним сетевым ресурсам компании с помощью различных вариаций виртуальных частных сетей VPN (PPTP, L2TP).
Однако применение такого типа подключения по некоторым критериям может быть неудобно для пользователя.
Например, подключение к виртуальной частной сети осуществляется в несколько шагов, при этом пользователь должен ждать проверки подлинности. Более того, в ряде случаев необходимо более точно настраивать VPN-подключение на клиентских компьютерах.
В организациях, проверяющих состояние компьютера перед тем, как разрешить подключение, создание VPN может занять несколько минут.
Кроме того, каждый раз, когда пользователь теряет подключение к Интернету, необходимо повторно устанавливать VPN-соединение, что тоже отнимает время. Также стоит отметить, что скорость работы замедляется, если весь трафик направляется через VPN-подключение, поскольку он проходит через единый сервер. К тому же нагрузка на сервер значительно увеличивается.
Из-за этих проблем многие пользователи избегают подключения через VPN-подключение. Вместо этого для подключения к внутренним ресурсам сети предприятий они используют такие технологии, как Microsoft Office Outlook Web Access (OWA). С OWA пользователь может получить доступ к внутренней электронной почте без установления VPN-соединения.
Если пользователь пытается открыть документ во внутренней сети компании (ссылка на него может быть доставлена электронным письмом), то ему отказывают в доступе к внутреннему ресурсу, поскольку тот, как правило, недоступен из Интернета.
Операционные системы Windows 7 и Windows Server 2008 R2 предоставляют новую технологию DirectAccess, которая позволяет пользователям работать из дома либо через точки беспроводного доступа в сеть так, как будто они находятся в офисе.
С помощью DirectAccess авторизованные пользователи, использующие ОС Windows 7, могут получить доступ к корпоративным папкам с общим доступом, просматривать веб-узлы интрасети, а также работать с интранет-приложениями без установки VPN-подключения.
DirectAccess также удобна для ИТ-специалистов, так как позволяет им управлять мобильными компьютерами за пределами офиса в любое время и в любом месте, даже несмотря на то, что компьютеры не подключены к VPN.
Каждый раз, когда мобильный компьютер подключается к Интернету, прежде чем пользователь войдет в систему, DirectAccess создает двунаправленное соединение, что позволяет клиентскому компьютеру применять политики компании и получать обновления программного обеспечения.
По сравнению с VPN технология DirectAccess обеспечивает более безопасную и гибкую сетевую инфраструктуру с применением таких технологий, как IPv6 и IPSec. Функции безопасности и эффективности включают:
• улучшенную аутентификацию — технология DirectAccess аутентифицирует компьютер до входа пользователя в систему, позволяя администраторам сети удаленно управлять компьютером с установленным интернет-соединением. С помощью DirectAccess можно проверять подлинность пользователей, поддерживая многофакторную аутентификацию, такую как аутентификация по смарт-картам;
• полноценную поддержку протокола IPv6 — технология DirectAccess использует протокол IPv6, предоставляя клиентам для удаленного доступа маршрутизируемые IP-адреса.
Организации, которые еще не готовы в полной мере развернуть IPv6, могут применять переходные к IPv6 технологии, такие как ISATAP, 6to4 и Teredo, чтобы клиенты могли подключаться через 1Ру4-Интернет к IPv4-pecypcaM на предприятии. Эти технологии обеспечивают поддержку IPv6 для устройств и серверов, не имеющих полноценной поддержки IPv6;
• улучшенное шифрование — технология DirectAccess использует шифрование IPsec для обеспечения аутентификации и шифрования данных, передаваемых через Интернет. Пользователь может применять любой IPsec-метод шифрования, включая DES с 56-битным ключом или улучшенный 3DES с тремя 56-битными ключами;
• контроль доступа — с помощью DirectAccess администраторы могут определить внутренние ресурсы, к которым каждый пользователь сможет подключиться и получить неограниченный доступ, или разрешить доступ только к конкретным серверам или сетям.
Технология DirectAccess предполагает применение разделенного туннеля маршрутизации, за счет чего значительно сокращается излишний сетевой трафик в корпоративной сети.
При такой схеме через DirectAccess-серверы пересылается только трафик, предназначенный для сети предприятия, а остальной трафик передается через Интернет.
И хотя разделенный туннель маршрутизации является конфигурацией по умолчанию для DirectAccess, ИТ-специалисты компании при необходимости могут отключить эту функцию и направить весь трафик через сеть предприятия.
Технология urlQoS
Другая новая технология, внедренная компанией Microsoft в операционные системы Windows 7 и Windows 2008 R2, — urlQoS. Увеличение пропускной способности сети не всегда повышает производительность, поскольку любое загруженное сетевое подключение замедляется, ибо маршрутизатор не успевает обрабатывать исходящий трафик.
Особенно это заметно в сетях, состоящих из нескольких локальных высокоскоростных сегментов, соединенных медленными внешними каналами.
К примеру, организация имеет локальную сеть с пропускной способностью 1 Гбит/с и выход в Интернет на скорости 10 Мбит/с; компьютеры могут посылать пакеты по локальной сети на маршрутизатор с большей скоростью, чем маршрутизатор может передать их в Интернет.
В таком случае маршрутизатор держит полученные пакеты в очереди и обрабатывает их по мере доступности внешнего канала. По умолчанию маршрутизатор обрабатывает пакеты, стоящие в очереди, по принципу «первый пришел — первый ушел».
В таком случае важный для организации трафик может ожидать отправки, в то время как маршрутизатор будет обрабатывать менее значимые пакеты. Такая сеть работает без применения технологии QoS.
Когда администраторы сети предприятия конфигурируют Quality of Service (QoS), сервер Windows начинает помечать исходящие пакеты специальным номером Differentiated Services Code Point (DSCP). Маршрутизатор сети проверяет значение DSCP и определяет приоритет отправленного пакета.
Если сеть загружена и маршрутизатор держит пакеты в очереди, то пакеты с высоким приоритетом обрабатываются в первую очередь независимо от порядка поступления. Таким образом, технология QoS позволяет управлять скоростью ответа важного сетевого приложения даже во время высокой загрузки сети.
Однако в более ранних версиях Windows (до Windows 7 и Windows 2008 R2) администраторы сети могли указать приложение, IP-адреса и номера портов для определения приоритетов QoS. Таким образом, администраторы могли назначать приоритеты трафику (web и e-mail) для улучшения использования полосы пропускания, а также определять, к каким серверам данные должны передаваться в первую очередь.
В то же время с увеличением количества веб-сервисов и интеграции серверов приложений в веб-среду появилась потребность в более гибком контроле приоритетов. Например, один из серверов несет на себе сразу два приложения, одно из которых является критичным.
Веб-сервисы одного сервера используют общий IP-адрес, что сразу ограничивает возможности приорите-зации обычного QoS.
Операционная система Windows 7 и ее серверный собрат позволяют приоритезировать веб-трафик, базируясь на новой технологии urlQoS. Используя настройку QoS на основе URL, администраторы сети могут настроить маршрутизатор таким образом, что важный веб-трафик будет обработан с высшим приоритетом, что улучшит производительность в загруженных сетях.
Также можно конфигурировать правила, применяя идентификатор Uniform Resource, то есть для данных для http://mysite.com/ server-status/ можно назначить высокий приоритет, а для http://mysite.com/ forum/— низкий. Все настройки urlQoS можно определить с помощью групповых политик пользователей.
Технология BranchCache
Новая технология кэширования данных BranchCache позволяет при использовании операционных систем Windows 7 и Windows Server 2008 R2 снизить нагрузку на внешние каналы связи, ускорив скорость ответа сетевых приложений из удаленных офисов.
При включении BranchCache в Windows 7 и Windows Server 2008 данные, полученные с веб- или файловых серверов, расположенных за пределами локальной сети, кэшируются во внутренней сети.
Если другой клиент из этого же филиала корпоративной сети запросит такие же данные, то получены они будут из своего сегмента сети с сервера, без обращения к серверу через внешний канал.
Перед получением данных из кэша клиенты всегда должны проходить авторизацию на сервере в дата-центре до получения доступа к данным, закэшированным в их сегменте сети. Технология BranchCache может работать в одном из двух режимов:
• распределенный кэш (Distributed Cache) — используя одноранговую архитектуру сети, клиенты Windows 7 единожды кэшируют данные, полученные с сервера под управлением Windows Server 2008 R2, и посылают их напрямую другим клиентам сети с операционной системой Windows 7 по мере надобности, без повторных запросов этих данных по внешнему каналу. Распределенный кэш является оптимальным режимом для филиалов, не имеющих сервера на базе Windows Server 2008 R2;
• централизованный кэш (Hosted Cache) — в данном режиме задейству-ется клиент-серверная архитектура, в которой клиент под управлением ОС Windows 7 посылает копию полученных данных на сервер с установленной системой Windows Server 2008 R2 с включенной функцией BranchCache.
При необходимости другие клиенты запрашивают нужные данные с кэша, расположенного на этом сервере. Сравнивая два режима работы BranchCache, можно отметить, что централизованный кэш повышает доступность данных, поскольку не зависит от работы клиентского компьютера, который первым осуществил запрос данных с внешней сети.
К тому же централизованный кэш позволяет одновременно работать с несколькими подсетями филиала и уменьшает количество широковещательного трафика в локальной сети. Под сервер хранилища централизованного кэша необязательно выделять какой-либо сервер, обычно его функции может выполнять уже установленный сервер с операционной системой Windows Server 2008 R2.
На данный момент BranchCache полностью совместим с шифрованием IPsec и поддерживает работу следующих протоколов:
• HTTP (включая HTTPS) — стандартный протокол для передачи веб-данных, используется приложениями Internet Explorer, Windows Media и Windows SharePoint;
• SMB (включая подписанный SMB) — при подключении к общим папкам с применением Windows Explorer является стандартным протоколом передачи файлов по сети в предприятиях на базе систем Windows.
При включенной функции BranchCache клиентский и серверный компьютеры для получения данных по протоколам HTTP или SMB проходят несколько этапов:
1. Компьютер Windows 7 соединяется с сервером под управлением Windows Server 2008 R2 и запрашивает данные, точно так же он бы сделал это без включенной технологии BranchCache.
2. Сервер аутентифицирует пользователя и проверяет, что он авторизован для получения этих данных.
3. Вместо содержимого сервер возвращает клиенту идентификатор (хеш) запрашиваемых данных.
4. Используя полученный идентификатор, компьютер-клиент под управлением Windows 7 делает следующее:
а) если применяется распределенный кэш, то клиент рассылает широковещательные пакеты в своем сегменте сети, пытаясь найти компьютеры, уже скачавшие данные;
б) если используется централизованный кэш, то клиент ищет данные на сервере, централизованно хранящем кэш.
5. В случае если необходимое клиенту содержимое доступно в его сегменте сети и при этом неважно, какой режим BranchCache используется, то он получает эти данные и проверяет, что они не были модифицированы или повреждены.
При отсутствии нужных данных клиент запрашивает их непосредственно с сервера, после чего клиент делает их доступными в своем кэше либо пересылает на сервер централизованного кэширования в зависимости от выбранного режима работы BranchCache.
Следует отметить, что все передаваемые данные, которыми обмениваются клиентские компьютеры, и сервер централизованного кэширования в рамках работы BranchCache шифруются.
Улучшение автономных файлов и доступа к общим папкам
Администраторы сетей смогут оценить преимущество работы Windows 7, связанное с улучшением доступа к общим папкам в филиалах компании. Новая операционная система поддерживает прозрачное кэширование общих папок на клиентском компьютере, что значительно уменьшает время, требуемое для получения доступа к файлу для второго и последующих обращений на медленных внешних и локальных каналах.
Это достигается за счет усовершенствований протокола, связанных с устранением множества избыточных операций при открытии или сохранении файлов, что помогло улучшить работу приложений на медленных каналах.
Также в новой операционной системе существует возможность фоновой синхронизации автономных файлов, что упрощает администрирование и улучшает работу конечных пользователей.
Прозрачное кэширование
В предыдущих версиях операционных систем на базе Windows для открытия файла по медленному каналу компьютер-клиент всегда брал файл с сервера, даже если требовалось только чтение этого файла.
С появлением прозрачного кэширования компьютер сохраняет в своем локальном кэше открываемые файлы, уменьшая тем самым количество обращений к серверу в случае повторного открытия файлов.
При первом открытии клиент с операционной системой Windows 7 считывает файл с сервера и сохраняет его в кэш на локальный диск. Вторые и последующие открытия этого файла производятся операционной системой с кэша, расположенного на локальном диске компьютера, то есть необходимость в новом считывании данных с сервера отпадает.
Однако для обеспечения проверки целостности данных Windows 7 всегда связывается с сервером, проверяя актуальность кэшированной копии. Получить доступ к кэшу на локальном компьютере в случае недоступности сервера невозможно, что увеличивает безопасность передаваемых данных.
Изменения файла всегда производятся на сервере. По умолчанию прозрачное кэширование на быстрых (локальных) сетях отключено.
Администраторы сетей также могут использовать групповые политики для управления прозрачным кэшированием, сконфигурировать размер диска, выделяемого под кэш, и предотвратить кэширование файлов определенных форматов.
Для конечного пользователя данное кэширование абсолютно прозрачно и позволяет работать с серверами так, как будто он находится с ними в одном сегменте высокоскоростной сети.
Фоновая синхронизация автономных файлов
В операционной системе Windows Vista пользователи, находясь в сети, работали с файлами на сервере. Если пользователь отключался от сети, изменения файлов кэшировались на клиентском компьютере и синхронизировались с сервером при следующем подключении к ней.
В Windows 7 синхронизация происходит автоматически в фоновом режиме без необходимости выбирать, в каком режиме — онлайн или офлайн — находится пользователь. Файловая синхронизация прозрачна для конечного пользователя и может централизованно управляться через групповые политики и контролироваться с помощью единого центра синхронизации.
Такой подход обеспечивает надежную и прозрачную синхронизацию общих лапок, предоставляя пользователям доступ к данным, даже когда они отсоединены от сети. Пользователю не нужно беспокоиться о ручной синхронизации данных по медленным каналам, а администратор сети может быть уверен, что пользовательские данные полностью синхронизованы с сервером.
Кроме того, в новой операционной системе доступна функция перенаправления папок, дающая пользователю возможность перенаправить папки профиля на сервер, — с изменениями в синхронизации она стала более полезной.
Перенаправленная с помощью групповой политики папка с включенной синхронизацией позволяет пользователю при отключении от сети автоматически переключиться на локальную копию и после возвращения в сеть осуществить автоматическую синхронизацию с данными на сервере.
В свою очередь, это дает возможность создавать резервные копии важных пользовательских данных, не вмешиваясь в работу сотрудника. В операционную систему Windows 7 добавлен классический офлайн-режим, который предусматривает аналогичные возможности при подключении к серверу через медленную сеть.
Технология DNS Security Extensions
DNS-клиенты под управлением Windows 7 или Windows Server 2008 R2, а также DNS-серверы Windows Server 2008 R2 поддерживают DNS Security Extensions (DNSSEC) (расширения безопасности данных DNS) для проверки целостности DNS-записей согласно стандартам RFC 4033, 4034 и 4035.
Для того чтобы убедиться в том, что запись была создана авторитетным DNS-сервером и не была изменена при передаче через сеть, компьютеры с установленными ОС Windows 7 и Windows Server 2008 R2 могут проверять целостность DNS-ответов.
В случае применения технологии DNSSEC авторитетный DNS-сервер Windows Server 2008 R2 осуществляет цифровое подписывание запрашиваемой DNS-зоны и генерирует цифровую подпись для каждой ресурсной записи в зоне.
Таким образом, другие DNS-серверы, используя доверительные связи, могут убедиться, что DNS-запись была подписана авторитетным DNS-сервером и впоследствии не изменялась. Компьютеры-клиенты, поддерживающие DNSSEC, могут анализировать успешность серверной проверки до использования возвращенного ответа с DNS-записью.
Отметим, что при применении шифрования IPsec и технологии DNSSEC пользователю предоставляется сквозная безопасность в случае прохождения запросов и ответов через несколько DNS-серверов.
К примеру, компьютер-клиент находится в филиале и отсылает DNS-запросы на неавторитетный DNS-сервер под управлением Windows Server 2008 R2. Этот филиальный DNS-сервер перенаправляет DNS-запросы на авторитетный DNS-сервер в главном офисе и с помощью технологии DNSSEC проверяет целостность внутренних DNS-записей, даже если на пути у него есть несколько промежуточных серверов, через которые передаются данные. После этого сервер информирует клиента о том, что DNSSEC был использован для проверки записей.
==============
Усовершенствования в системе виртуализации
С релизом операционной системы Windows Vista компания Microsoft в значительной мере упростила развертывание и обслуживание образов операционной системы в масштабах предприятия.
В новой операционной системе Windows 7 в дополнение к имеющимся возможностям была добавлена встроенная поддержка образов виртуальных машин формата VHD. Кроме офлайн-обслуживания VHD-файлов, установки/удаления обновлений, языковых пакетов и иных компонентов ОС, в новой системе Windows 7 появилась возможность загрузки с ранее созданных VHD-файлов.
Это означает, что администраторы сетей могут применять один и тот же мастер-образ для удаленных клиентов, использующих инфраструктуру VDI (Virtual Desktop Infrastructure), и традиционных настольных компьютеров. Это избавит от необходимости управлять многочисленными образами системы и упростит переход к полностью виртуализованному окружению.
И хотя технология открывает новые возможности для развертывания, загрузка с VHD-образа не сможет обеспечить полную функциональность операционной системы, установленной традиционным путем. Изменения также коснулись работы через VDI в Windows 7.
Теперь пользователь удаленной системы вряд ли почувствует разницу с работой на обычном настольном компьютере, поскольку даже в удаленном режиме операционная система Windows 7 поддерживает интерфейс Aero, воспроизведение видео в WMP и многомониторную конфигурацию.
Также стоит отметить, что в удаленных сессиях появилась полноценная поддержка микрофона, которая предоставит пользователям удаленных компьютеров, работающих под управлением Windows 7 Enterprise, функции VoIP (Voice over IP) и распознавания речи.
Ну, а технология Easy Print позволит распечатывать документы на локальном принтере без необходимости установки драйверов принтера на сервере.
Еще одним новшеством в Windows 7 и VDI является лицензия Windows Vista Enterprise Centralized Desktop (VECD)
Windows 7 все нюансы уроки обучение работе на компьютере
Все секреты и тонкости Windows 7
Обзор и работа в Windows Seven
Две встроенные утилиты в Windows 7
Будут cтарые программы работать под Windows 7 ?
Поделитесь с друзьями или поставьте закладку на эту страницу,
если планируете зайти на нее попозже ...
(Windows 7 для предприятий | Виндовс 7 корпоративная )