Новые сетевые возможности в Windows 7

Сергей Пахомов

Общие изменения

Вид Центра управления сетями и общим доступом

Функция «Показать активные сети»

Функция DHCP Network Hint

Функция VPN Reconnect

Технологии Smart Network Power и Wake on LAN для беспроводного соединения

Исправление сетевых проблем

Сетевые возможности для обычных пользователей

Создание виртуальных библиотек пользователей для общего доступа

Функция «Домашняя группа»

Корпоративным пользователям

Технология DirectAccess

Технология urlQoS

Технология BranchCache

Улучшение автономных файлов и доступа к общим папкам

Прозрачное кэширование

Фоновая синхронизация автономных файлов

Технология DNS Security Extensions

Усовершенствования в системе виртуализации

 

В этом году, несмотря на финансовый кризис, крупнейшая софтверная компания Microsoft выпустила в срок свое новое детище — операционную систему Windows 7. Безусловно, о возможностях и достоинствах новой ОС сказано и написано уже достаточно, поэтому мы постараемся рассмотреть только сетевую составляющую данной операционной системы и внесенные в нее изменения. В линейке Windows NT система имеет номер 6.1 (Windows 2000 — 5.0, Windows XP — 5.1, Windows Server 2003 — 5.2, Windows Vista и Windows Server 2008 — 6.0). Серверной версией является Windows Server 2008 R2. Из этого следует, что новая операционная система является, по сути, хорошо отлаженной сис­темой Windows Vista, вышедшей тремя годами ранее. Поэтому многие улучшения, которые были внесены в Windows Vista, были унаследованы Windows 7. Однако есть между ними и различия, причем в лучшую сторону. Сразу разделим улучшение сетевых возможностей в новой ОС на две категории: внедрение корпоративных технологий и обновление сетевых возможностей для простых смертных, то есть пользователей. В начале статьи мы поговорим об общих изменениях, которые могут пригодиться как корпоративным, так и домашним пользователям.

Общие изменения

Вид Центра управления сетями и общим доступом

В предыдущей операционной системе Windows Vista диалоговое окно Центр управления сетями и общим доступом (Network and Sharing Center) стало замечательным нововведением. По своим функциональным возможностям оно значительно отличается от разбросанных по панели управления сетевых возможностей Windows XP. Здесь множество полезных опций, которые, правда, могут ввести в заблуждение. В новой операционной системе Windows 7 вид центра управления сетями и общим доступом значительно упрощен. Опции управления сетями и общим доступом перенесены в окно Выбор опций домашней группы и общего доступа (Choose homegroup and sharing options), о котором будет рассказано далее, а оставшиеся навигационные опции — в другие окна меню.

На рис. 1 показаны все доступные сетевые подключения, а именно: доменная сеть, домашняя сеть и общественная сеть. В операционной системе Windows Vista этот подраздел выглядит несколько иначе (рис. 2).

 

Рисунок

Рис. 1. Диалоговое окно центра управления сетями и общим доступом в Windows 7

Рисунок

Рис. 2. Диалоговое окно центра управления сетями и общим доступом в Windows Vista

Если сравнить эти два рисунка, то становится очевидно, что в новой ОС центр управления сетями гораздо проще для понимания и более нагляден для рядовых пользователей.

Функция «Показать активные сети»

В Windows 7 изменен интерфейс диалогового окна Показать активные сети (view your active networks), который теперь выглядит лучше и проще для понимания. В Windows Vista это было всплывающее окно (рис. 3), что не слишком удобно. В Windows 7 данная функция значительно переработана (рис. 4) и расположена в системном трее, что позволяет значительно быстрее подключаться или отключаться от различных сетей.

 

Рисунок

Рис. 3. Диалоговое окно Активные сети в Windows Vista

Рисунок

Рис. 4. Диалоговое окно Показать активные сети
в Windows 7

С помощью этого диалогового окна достаточно сделать пару кликов мышью, чтобы подключиться или отключиться от предпочитаемой сети. Все сети сведены в общий каталог, что упрощает их поиск и управление.

Функция DHCP Network Hint

С массовым развитием и внедрением беспроводных сетей в городах и растущей популярностью ноутбуков и нетбуков стала вполне обыденной ситуация, когда пользователь работает со многими беспроводными сетями и при этом время от времени подключается к сетям, которыми пользовался ранее. С целью упростить процедуру подключения к сети, когда пользователь подключается к ранее используемой сети с еще действующим сроком резервирования (lease time) от сервера DHCP, в Windows 7 была реализована функция DHCP Network Hint. Она необходима для идентификации правильной конфигурации DHCP в ранее используемых сетях. Функция сетевой подсказки, а именно так переводится ее название, в качестве отправной точки использует уникальный идентификатор сети SSID (Service Set Identifier). Стоит отметить, что экономия времени подключения от использования данной функции будет заметна лишь в том случае, когда компьютер подключается к сети, в которой он имеет действующий срок резервирования. В этом случае время получения IP-адреса будет гораздо меньше, чем при подключении к новой сети или к сети, в которой срок резервирования уже истек. Поскольку привязка этой функции происходит к параметру SSID, который используется только в беспроводных сетях, эта технология не будет работать в проводных сетях. Кроме того, как заявляет компания Microsoft, на текущий момент функция поддерживает только протокол IPv4.

Рассмотрим простой пример, когда пользователь использует свой ноутбук и дома, и в офисе. При этом и дома, и в офисе есть беспроводная сеть, к которой и подключается пользователь. В случае использования описанной технологии время подключения к этим сетям сократится в несколько раз, по сравнению с подключением к незнакомой беспроводной сети в придорожном кафе.

В качестве резюме стоит отметить, что хотя эта технология была объявлена еще в конце 2008 года, подтверждений внедрения ее в официальный релиз операционной системы пока не поступало. Однако при работе с беспроводными сетями скорость подключения, по сравнению с операционной системой Windows Vista, увеличилась.

Функция VPN Reconnect

Данная функция использует технологию IKEv2 (Internet Key Exchange v2) для обеспечения стабильного, защищенного и постоянного VPN-соединения, автоматически восстанавливаемого в случае временной потери соединения с Интернетом. Эта функция ориентирована на пользователей, которые применяют для работы в сети беспроводное подключение. Также она поможет тем, кто использует нестабильные сетевые соединения, к примеру пользователям, которые работают в поезде или на корабле. Для связи с офисом и выполнения своих задач они применяют VPN-соединение, которое установлено поверх беспроводного доступа в Интернет. Эта функция актуальна в ситуациях, когда беспроводная связь нестабильна и прерывиста или теряется и восстанавливается только после смены точки доступа. В более ранних версиях ОС Windows подключение VPN не восстанавливалось автоматически, и пользователю приходилось выполнять несколько действий для восстановления подключения к VPN. В Windows 7 система автоматически восстанавливает VPN-соединение после появления связи с Интернетом. К слову сказать, пользователь может сам выбрать время «простоя» соединения — от 5 минут до 8 часов. Несмотря на то что повторное подключение может занять несколько секунд, процесс является полностью прозрачным для пользователей, которые теперь имеют больше шансов остаться подключенными к ресурсам Сети.

Нельзя не отметить и изменившийся интерфейс настройки VPN-соединения. Если раньше, в ОС Windows XP/Vista, диалоговое окно вкладки шифрования выглядело так, как показано на рис. 5, то теперь оно имеет несколько иной вид (рис. 6).

 

Рисунок

Рис. 5. Диалоговое окно Безопасность VPN в Windows Vista

Рисунок

Рис. 6. Диалоговое окно Безопасность VPN в Windows 7

Кроме поддержки протокола IKEv2, в ОС Windows 7 внедрена поддержка протокола SSTP (Secure Socket Tunneling Protocol). Протокол SSTP является одним из видов VPN-туннеля, который направлен на передачу PPP- или L2TP-трафика через шифрованный канал SSL 3.0. Таким образом, осуществляется более безопасное соединение по сравнению с использованием обычных туннельных протоколов PPP (шифрование MPPE) и L2TP (шифрование IPsec).

Технологии Smart Network Power и Wake on LAN для беспроводного соединения

Отметим, что некоторые из новых функций Windows 7 предназначены для ускорения работы системы или снижения энергопотребления, однако напрямую затрагивают сетевую составляющую системы. Одной из таких технологий, которая, кстати, применяется в некоторых маршрутизаторах, является Smart Network Power. Она автоматически отключает питание сетевого адаптера в том случае, если сетевой кабель не подключен. В результате сетевая карта (не имеет значения — интегрированная или внешняя) переходит в спящий режим. В Windows 7 внедрена старая и в то же время новая технология Wake on LAN for Wireless (WoWLAN). Это реинкарнация технологии Wake on LAN (WOL), но только для использования совместно с беспроводными адаптерами. Теперь администратор сети может выводить из спящего режима компьютеры, подключенные по беспроводной сети, с помощью технологии Wake on LAN for Wireless.

Исправление сетевых проблем

Одним из изменений в сетевых параметрах Windows 7 является обновленная версия возможности диагностики и исправления (diagnose and repair). В операционной системе Windows 7, как и в Windows Vista, если пользователь хочет получить помощь по исправлению сетевых проблем, он просто нажимает кнопку Исправить проблему сети (Fix a network problem). Однако теперь в центре управления сетями и общим доступом, если пользователь нажмет Исправить сетевую проблему, откроется диалоговое окно (рис. 7) с вопросом о том, что конкретно необходимо исправить.

 

Рисунок

Рис. 7. Исправление сетевых проблем

Система Windows 7 выполнит поиск и постарается исправить любые сетевые проблемы, которые были выбраны пользователем. Если необходимо устранить проблему с помощью административных возможностей, система спросит пользователя, хочет ли он исправить проблему от имени администратора системы Windows 7.

Сетевые возможности для обычных пользователей

Помимо дополнительных настроек для корпоративных пользователей и администраторов в новую операционную систему было интегрировано несколько возможностей, облегчающих работу с сетевым окружением для рядовых пользователей.

Создание виртуальных библиотек пользователей для общего доступа

Одна из новых и в то же время основных сетевых функций Windows 7 собирает данные из нескольких источников в единую папку — библиотеку. Иначе эту папку можно назвать виртуальным каталогом, который, по сути, является индексированным видом нескольких источников данных. Благодаря этой новой функциональности многие общие папки пользователей в Windows 7 были переименованы. В Windows Vista у пользователей были папки Документы, Загрузки, Фотографии, Видео и Музыка. В Windows 7 они превратились в Личные документы, Личные загрузки, Личные фото, Личное видео и Личная музыка. То есть в названиях всех папок в корневом каталоге теперь присутствует слово «личный» (Personal). Причина этого заключается в том, что теперь пользователи могут использовать библиотеки и при этом различать личные (частные) и публичные документы. Помимо новых папок личных документов каждый компьютер с ОС Windows 7 имеет публичную папку под названием Общие документы (Public Documents). Основной целью создания библиотек (Libraries) является объединение частных и публичных документов в один каталог документов (как и в других библиотеках, создаваемых пользователями).

Таким образом, стандартными библиотеками, доступными пользователям по умолчанию, в Windows 7 будут:

  • документы — личные и общие;
  • загрузки — личные и общие;
  • музыка — личная и публичная;
  • фото — личные и общие;
  • видео — личные и общие.

При этом для всех папок и файлов можно разграничить доступ сетевых пользователей. Доступ теперь осуществляется через новую функцию Домашние группы, которая будет описана далее.

Одним из преимуществ новых библиотек Windows 7 является возможность создания собственных библиотек пользователями. При этом сделать собственную библиотеку очень просто. В проводнике нужно просто перейти к Библиотекам, нажав правую клавишу мыши, и во всплывающем меню выбрать опцию Новая —> Библиотека. После этого созданная библиотека будет включена в список библиотек (рис. 8) в навигационной панели всех видов проводника (если отметить опцию Показывать в навигационной панели (show in navigation pane)).

 

Рисунок

Рис. 8. Библиотеки пользователя

После создания библиотеки необходимо решить, что в нее будет включено. Для этого, кликнув правой клавишей на папке, надо выбрать Свойства (Properties). Далее в закладке Библиотека необходимо нажать Добавить, выбрать папку и затем нажать Добавить папку (Include in Library) — рис. 9. Пользователь может включить в библиотеку столько папок, сколько ему необходимо — никаких ограничений не существует.

 

Рисунок

Рис. 9. Добавление файлов в библиотеку

Созданная библиотека при добавлении нескольких папок будет выглядеть примерно так, как показано на рис. 10.

 

Рисунок

Рис. 10. Библиотека с файлами

Отметитм, что создание библиотек файлов является одним из значимых нововведений в новой операционной системе. Возможность создания виртуальных папок позволяет пользователям легко каталогизировать свою информацию и при этом обмениваться ею с другими пользователями сети.

Функция «Домашняя группа»

В новую операционную систему была внедрена новая функция, направленная на упрощение обмена данными между пользователями одной сети. В Windows Vista реализация общего доступа к ресурсам компьютера для других пользователей по сравнению со старушкой XP не столь прозрачна и не очень удобна в настройке. Однако справедливости ради отметим, что Vista более надежно защищает данные пользователя и повышает безопасность их передачи. В новой ОС Windows 7 программисты Microsoft совместили надежную систему безопасности с более простым интерфейсом создания папок общего доступа. Функция Домашняя группа (homegroup) позволяет за несколько минут или даже секунд создать папки общего доступа, доступные пользователям локальной сети и надежно защищенные паролем. Эта функция есть во всех версиях ОС — Windows 7. Однако в младших версиях Начальная (Starter) и Домашняя базовая (Home Basic) — пользователь может лишь присоединиться к существующей домашней группе, но не создать ее.

Домашняя группа — это простой способ подключения компьютеров в домашней сети, чтобы все они могли совместно использовать рисунки, музыку, видео, документы и принтеры. Для доступа к домашней группе применяется единый пароль, что значительно упрощает ее создание и подключение к ней.

Рассмотрим процесс создания домашней группы в локальной сети. Допустим, в локальной сети, где IP-адреса раздаются с помощью DHCP-сервера, существуют два или более компьютеров, каждый из которых подсоединен к этой сети по проводной или беспроводной технологии связи. Для того чтобы папки на этих компьютерах были доступны каждому из компьютеров, необходимо лишь запустить мастер настройки домашней группы на одном из них.

Для настройки домашней группы в Windows 7 пользователю необходимо кликнуть на Выбор опций домашней группы и общего доступа (Choose Homegroup and Sharing Options) в центре управления сетями и общим доступом в Windows 7, а затем выбрать опцию Создать (Create now). Появится диалоговое окно с приглашением создать домашнюю группу (рис. 11). Следует учитывать, что такое окно появится лишь в том случае, если в сети не создано ни одной домашней группы. В противном случае компьютер лишь может присоединиться к существующей группе, создание двух домашних групп в одной подсети невозможно.

 

Рисунок

Рис. 11. Создание домашней группы

Затем, после клика на Создать домашнюю группу, системой будет задан вопрос о том, к какому типу личного содержимого пользователь хочет предоставить пользователям общий доступ в домашней группе. После выбора соответствующих папок для общего доступа система автоматически сгенерирует пароль для домашней группы (рис. 12) и работа мастера настройки будет завершена. Пароль домашней группы можно посмотреть в любое время во вкладке Домашняя группа в центре управления сетями и общим доступом.

 

Рисунок

Рис. 12. Создание пароля и завершение работы мастера

Теперь любой компьютер, входящий в подсеть ПК, на котором создана домашняя группа, может присоединиться к существующей группе.

Как только в Центре управления сетями напротив подключения появится строка Готов к присоединению (Ready for join), компьютер может быть присоединен к существующей домашней группе. После клика на эту ссылку откроется диалоговое окно, показанное на рис. 13.

 

Рисунок

Рис. 13. Присоединение к домашней группе

После клика по кнопке Присоединиться пользователю предстоит выбрать папки для общего доступа, а затем система запросит пароль домашней группы. Следует отметить, что пароль домашней группы можно посмотреть на любом из компьютеров, входящих в домашнюю группу. То есть применяется децентрализованная система распределения пароля, что упрощает работу в домашних сетях, где компьютеры часто бывают выключены.

После успешного присоединения к домашней группе у каждого из компьютеров в проводнике появится строка Компьютеры домашней группы (рис. 14). В ней будут находиться компьютеры, входящие в виртуальную сеть. При щелчке на выбранном компьютере пользователь получит доступ к папкам, которые разрешены для общего доступа настройками этого компьютера.

 

Рисунок

Рис. 14. Домашняя группа

Также следует обратить внимание на то, что для всех пользователей сети по умолчанию действуют одинаковые правила. Поэтому для более детального управления общими папками необходимо указывать в свойствах общего доступа интересующей папки необходимые критерии. Общий доступ отлично сочетается с еще одной новой функцией Windows 7 — созданием библиотек. Если пользователь открывает доступ к своей библиотеке, то другие пользователи будут иметь доступ ко всем находящимся в ней файлам.

Отметим несколько подводных камней, которые могут встретиться при настройке домашней группы. На всех компьютерах, где нужно создать домашнюю группу, необходимо выбрать режим сети Домашняя сеть. Только после этого функция домашней группы станет доступна. Компьютеры локальной сети должны принадлежать одной подсети, при этом неважно — установлены IP-адреса компьютеров вручную или эту функцию выполняет дополнительный DHCP-сервер (например, маршрутизатор). Перед настройкой домашней группы на компьютерах следует запустить мастер идентификации сети (Свойства системы —> вкладка Имя компьютера) и указать, что компьютер не принадлежит доменной сети. Это нужно сделать в том случае, если компьютеры по какой-то причине не могут обнаружить созданную домашнюю группу. Отметим, что имена компьютеров должны быть различными и лучше, если они будут на английском языке. При этом наличие одинаковых профилей пользователей на подключаемых компьютерах необязательно, но в некоторых случаях желательно — это поможет решить проблемы с подключением к домашней группе. И хотя в бета-версии Windows 7 RC (Release Candidate) большинство проблем, связанных с домашней группой, решалось установкой специального исправления, в полноценной версии эта функция также иногда заставляет плясать с бубном вокруг компьютеров.

В качестве заключения отметим, что данная функция, вероятно, будет весьма востребована начинающими пользователями. Удобство развертывания этой сетевой возможности для домашних пользователей в данном случае максимально. Она позволяет открывать доступ не только к папкам и библиотекам, но также к принтерам и многофункциональным устройствам.

Корпоративным пользователям

Поскольку Windows 7 — это новая домашняя операционная система, в качестве ее серверного варианта компания предложила новую серверную ОС Windows 2008 R2. Корпоративные пользователи в большинстве случаев используют централизированные серверы, поэтому нельзя не упомянуть о глобальных сетевых новшествах, которые затрагивают не только пользовательскую операционную систему, но и ее серверный вариант.

Технология DirectAccess

Новая сетевая технология DirectAccess предоставляет корпоративным пользователям прозрачный доступ к внутренним ресурсам сети предприятия, если они подключены к Интернету. Как правило, большинство пользователей подключаются к внутренним сетевым ресурсам компании с помощью различных вариаций виртуальных частных сетей VPN (PPTP, L2TP). Однако применение такого типа подключения по некоторым критериям может быть неудобно для пользователя. Например, подключение к виртуальной частной сети осуществляется в несколько шагов, при этом пользователь должен ждать проверки подлинности. Более того, в ряде случаев необходимо более точно настраивать VPN-подключение на клиентских компьютерах. В организациях, проверяющих состояние компьютера перед тем, как разрешить подключение, создание VPN может занять несколько минут. Кроме того, каждый раз, когда пользователь теряет подключение к Интернету, необходимо повторно устанавливать VPN-соединение, что тоже отнимает время. Также стоит отметить, что скорость работы замедляется, если весь трафик направляется через VPN-подключение, поскольку он проходит через единый сервер. К тому же нагрузка на сервер значительно увеличивается. Из-за этих проблем многие пользователи избегают подключения через VPN-подключение. Вместо этого для подключения к внутренним ресурсам сети предприятий они используют такие технологии, как Microsoft Office Outlook Web Access (OWA). С OWA пользователь может получить доступ к внутренней электронной почте без установления VPN-соединения. Если пользователь пытается открыть документ во внутренней сети компании (ссылка на него может быть доставлена электронным письмом), то ему отказывают в доступе к внутреннему ресурсу, поскольку тот, как правило, недоступен из Интернета.

Операционные системы Windows 7 и Windows Server 2008 R2 предоставляют новую технологию DirectAccess, которая позволяет пользователям работать из дома либо через точки беспроводного доступа в сеть так, как будто они находятся в офисе. С помощью DirectAccess авторизованные пользователи, использующие ОС Windows 7, могут получить доступ к корпоративным папкам с общим доступом, просматривать веб-узлы интрасети, а также работать с интранет-приложениями без установки VPN-подключения.

DirectAccess также удобна для ИТ-специалистов, так как позволяет им управлять мобильными компьютерами за пределами офиса в любое время и в любом месте, даже несмотря на то, что компьютеры не подключены к VPN. Каждый раз, когда мобильный компьютер подключается к Интернету, прежде чем пользователь войдет в систему, DirectAccess создает двунаправленное соединение, что позволяет клиентскому компьютеру применять политики компании и получать обновления программного обеспечения.

По сравнению с VPN технология DirectAccess обеспечивает более безопасную и гибкую сетевую инфраструктуру с применением таких технологий, как IPv6 и IPSec. Функции безопасности и эффективности включают:

  • улучшенную аутентификацию — технология DirectAccess аутентифицирует компьютер до входа пользователя в систему, позволяя администраторам сети удаленно управлять компьютером с установленным интернет-соединением. С помощью DirectAccess можно проверять подлинность пользователей, поддерживая многофакторную аутентификацию, такую как аутентификация по смарт-картам;
  • полноценную поддержку протокола IPv6 — технология DirectAccess использует протокол IPv6, предоставляя клиентам для удаленного доступа маршрутизируемые IP-адреса. Организации, которые еще не готовы в полной мере развернуть IPv6, могут применять переходные к IPv6 технологии, такие как ISATAP, 6to4 и Teredo, чтобы клиенты могли подключаться через IPv4-Интернет к IPv4-ресурсам на предприятии. Эти технологии обеспечивают поддержку IPv6 для устройств и серверов, не имеющих полноценной поддержки IPv6;
  • улучшенное шифрование — технология DirectAccess использует шифрование IPsec для обеспечения аутентификации и шифрования данных, передаваемых через Интернет. Пользователь может применять любой IPsec-метод шифрования, включая DES с 56-битным ключом или улучшенный 3DES с тремя 56-битными ключами;
  • контроль доступа — с помощью DirectAccess администраторы могут определить внутренние ресурсы, к которым каждый пользователь сможет подключиться и получить неограниченный доступ, или разрешить доступ только к конкретным серверам или сетям.

Технология DirectAccess предполагает применение разделенного туннеля маршрутизации, за счет чего значительно сокращается излишний сетевой трафик в корпоративной сети. При такой схеме через DirectAccess-серверы пересылается только трафик, предназначенный для сети предприятия, а остальной трафик передается через Интернет. И хотя разделенный туннель маршрутизации является конфигурацией по умолчанию для DirectAccess, ИТ-специалисты компании при необходимости могут отключить эту функцию и направить весь трафик через сеть предприятия.

Технология urlQoS

Другая новая технология, внедренная компанией Microsoft в операционные системы Windows 7 и Windows 2008 R2, — urlQoS. Увеличение пропускной способности сети не всегда повышает производительность, поскольку любое загруженное сетевое подключение замедляется, ибо маршрутизатор не успевает обрабатывать исходящий трафик. Особенно это заметно в сетях, состоящих из нескольких локальных высокоскоростных сегментов, соединенных медленными внешними каналами.

К примеру, организация имеет локальную сеть с пропускной способностью 1 Гбит/с и выход в Интернет на скорости 10 Мбит/с; компьютеры могут посылать пакеты по локальной сети на маршрутизатор с большей скоростью, чем маршрутизатор может передать их в Интернет. В таком случае маршрутизатор держит полученные пакеты в очереди и обрабатывает их по мере доступности внешнего канала. По умолчанию маршрутизатор обрабатывает пакеты, стоящие в очереди, по принципу «первый пришел — первый ушел». В таком случае важный для организации трафик может ожидать отправки, в то время как маршрутизатор будет обрабатывать менее значимые пакеты. Такая сеть работает без применения технологии QoS.

Когда администраторы сети предприятия конфигурируют Quality of Service (QoS), сервер Windows начинает помечать исходящие пакеты специальным номером Differentiated Services Code Point (DSCP). Маршрутизатор сети проверяет значение DSCP и определяет приоритет отправленного пакета. Если сеть загружена и маршрутизатор держит пакеты в очереди, то пакеты с высоким приоритетом обрабатываются в первую очередь независимо от порядка поступления. Таким образом, технология QoS позволяет управлять скоростью ответа важного сетевого приложения даже во время высокой загрузки сети. Однако в более ранних версиях Windows (до Windows 7 и Windows 2008 R2) администраторы сети могли указать приложение, IP-адреса и номера портов для определения приоритетов QoS. Таким образом, администраторы могли назначать приоритеты трафику (web и e-mail) для улучшения использования полосы пропускания, а также определять, к каким серверам данные должны передаваться в первую очередь.

В то же время с увеличением количества веб-сервисов и интеграции серверов приложений в веб-среду появилась потребность в более гибком контроле приоритетов. Например, один из серверов несет на себе сразу два приложения, одно из которых является критичным. Веб-сервисы одного сервера используют общий IP-адрес, что сразу ограничивает возможности приоритезации обычного QoS.

Операционная система Windows 7 и ее серверный собрат позволяют приоритезировать веб-трафик, базируясь на новой технологии urlQoS. Используя настройку QoS на основе URL, администраторы сети могут настроить маршрутизатор таким образом, что важный веб-трафик будет обработан с высшим приоритетом, что улучшит производительность в загруженных сетях. Также можно конфигурировать правила, применяя идентификатор Uniform Resource, то есть для данных для http://mysite.com/server-status/ можно назначить высокий приоритет, а для http://mysite.com/forum/ — низкий. Все настройки urlQoS можно определить с помощью групповых политик пользователей.

Технология BranchCache

Новая технология кэширования данных BranchCache позволяет при использовании операционных систем Windows 7 и Windows Server 2008 R2 снизить нагрузку на внешние каналы связи, ускорив скорость ответа сетевых приложений из удаленных офисов. При включении BranchCache в Windows 7 и Windows Server 2008 данные, полученные с веб- или файловых серверов, расположенных за пределами локальной сети, кэшируются во внутренней сети. Если другой клиент из этого же филиала корпоративной сети запросит такие же данные, то получены они будут из своего сегмента сети с сервера, без обращения к серверу через внешний канал. Перед получением данных из кэша клиенты всегда должны проходить авторизацию на сервере в дата-центре до получения доступа к данным, закэшированным в их сегменте сети. Технология BranchCache может работать в одном из двух режимов:

  • распределенный кэш (Distributed Cache) — используя одноранговую архитектуру сети, клиенты Windows 7 единожды кэшируют данные, полученные с сервера под управлением Windows Server 2008 R2, и посылают их напрямую другим клиентам сети с операционной системой Windows 7 по мере надобности, без повторных запросов этих данных по внешнему каналу. Распределенный кэш является оптимальным режимом для филиалов, не имеющих сервера на базе Windows Server 2008 R2;
  • централизованный кэш (Hosted Cache) — в данном режиме задействуется клиент-серверная архитектура, в которой клиент под управлением ОС Windows 7 посылает копию полученных данных на сервер с установленной системой Windows Server 2008 R2 с включенной функцией BranchCache. При необходимости другие клиенты запрашивают нужные данные с кэша, расположенного на этом сервере. Сравнивая два режима работы BranchCache, можно отметить, что централизованный кэш повышает доступность данных, поскольку не зависит от работы клиентского компьютера, который первым осуществил запрос данных с внешней сети. К тому же централизованный кэш позволяет одновременно работать с несколькими подсетями филиала и уменьшает количество широковещательного трафика в локальной сети. Под сервер хранилища централизованного кэша необязательно выделять какой-либо сервер, обычно его функции может выполнять уже установленный сервер с операционной системой Windows Server 2008 R2.

На данный момент BranchCache полностью совместим с шифрованием IPsec и поддерживает работу следующих протоколов:

  • HTTP (включая HTTPS) — стандартный протокол для передачи веб-данных, используется приложениями Internet Explorer, Windows Media и Windows SharePoint;
  • SMB (включая подписанный SMB) — при подключении к общим папкам с применением Windows Explorer является стандартным протоколом передачи файлов по сети в предприятиях на базе систем Windows.

При включенной функции BranchCache клиентский и серверный компьютеры для получения данных по протоколам HTTP или SMB проходят несколько этапов:

  1. Компьютер Windows 7 соединяется с сервером под управлением Windows Server 2008 R2 и запрашивает данные, точно так же он бы сделал это без включенной технологии BranchCache.
  2. Сервер аутентифицирует пользователя и проверяет, что он авторизован для получения этих данных.
  3. Вместо содержимого сервер возвращает клиенту идентификатор (хеш) запрашиваемых данных.
  4. Используя полученный идентификатор, компьютер-клиент под управлением Windows 7 делает следующее:
    • a) если применяется распределенный кэш, то клиент рассылает широковещательные пакеты в своем сегменте сети, пытаясь найти компьютеры, уже скачавшие данные;
    • б) если используется централизованный кэш, то клиент ищет данные на сервере, централизованно хранящем кэш.
  5.    В случае если необходимое клиенту содержимое доступно в его сегменте сети и при этом неважно, какой режим BranchCache используется, то он получает эти данные и проверяет, что они не были модифицированы или повреждены. При отсутствии нужных данных клиент запрашивает их непосредственно с сервера, после чего клиент делает их доступными в своем кэше либо пересылает на сервер централизованного кэширования в зависимости от выбранного режима работы BranchCache. Следует отметить, что все передаваемые данные, которыми обмениваются клиентские компьютеры, и сервер централизованного кэширования в рамках работы BranchCache шифруются.

Улучшение автономных файлов и доступа к общим папкам

Администраторы сетей смогут оценить преимущество работы Windows 7, связанное с улучшением доступа к общим папкам в филиалах компании. Новая операционная система поддерживает прозрачное кэширование общих папок на клиентском компьютере, что значительно уменьшает время, требуемое для получения доступа к файлу для второго и последующих обращений на медленных внешних и локальных каналах. Это достигается за счет усовершенствований протокола, связанных с устранением множества избыточных операций при открытии или сохранении файлов, что помогло улучшить работу приложений на медленных каналах. Также в новой операционной системе существует возможность фоновой синхронизации автономных файлов, что упрощает администрирование и улучшает работу конечных пользователей.

Прозрачное кэширование

В предыдущих версиях операционных систем на базе Windows для открытия файла по медленному каналу компьютер-клиент всегда брал файл с сервера, даже если требовалось только чтение этого файла. С появлением прозрачного кэширования компьютер сохраняет в своем локальном кэше открываемые файлы, уменьшая тем самым количество обращений к серверу в случае повторного открытия файлов. При первом открытии клиент с операционной системой Windows 7 считывает файл с сервера и сохраняет его в кэш на локальный диск. Вторые и последующие открытия этого файла производятся операционной системой с кэша, расположенного на локальном диске компьютера, то есть необходимость в новом считывании данных с сервера отпадает.

Однако для обеспечения проверки целостности данных Windows 7 всегда связывается с сервером, проверяя актуальность кэшированной копии. Получить доступ к кэшу на локальном компьютере в случае недоступности сервера невозможно, что увеличивает безопасность передаваемых данных. Изменения файла всегда производятся на сервере. По умолчанию прозрачное кэширование на быстрых (локальных) сетях отключено.

Администраторы сетей также могут использовать групповые политики для управления прозрачным кэшированием, сконфигурировать размер диска, выделяемого под кэш, и предотвратить кэширование файлов определенных форматов. Для конечного пользователя данное кэширование абсолютно прозрачно и позволяет работать с серверами так, как будто он находится с ними в одном сегменте высокоскоростной сети.

Фоновая синхронизация автономных файлов

В операционной системе Windows Vista пользователи, находясь в сети, работали с файлами на сервере. Если пользователь отключался от сети, изменения файлов кэшировались на клиентском компьютере и синхронизировались с сервером при следующем подключении к ней. В Windows 7 синхронизация происходит автоматически в фоновом режиме без необходимости выбирать, в каком режиме — онлайн или офлайн — находится пользователь. Файловая синхронизация прозрачна для конечного пользователя и может централизованно управляться через групповые политики и контролироваться с помощью единого центра синхронизации. Такой подход обеспечивает надежную и прозрачную синхронизацию общих папок, предоставляя пользователям доступ к данным, даже когда они отсоединены от сети. Пользователю не нужно беспокоиться о ручной синхронизации данных по медленным каналам, а администратор сети может быть уверен, что пользовательские данные полностью синхронизованы с сервером. Кроме того, в новой операционной системе доступна функция перенаправления папок, дающая пользователю возможность перенаправить папки профиля на сервер, — с изменениями в синхронизации она стала более полезной. Перенаправленная с помощью групповой политики папка с включенной синхронизацией позволяет пользователю при отключении от сети автоматически переключиться на локальную копию и после возвращения в сеть осуществить автоматическую синхронизацию с данными на сервере. В свою очередь, это дает возможность создавать резервные копии важных пользовательских данных, не вмешиваясь в работу сотрудника. В операционную систему Windows 7 добавлен классический офлайн-режим, который предусматривает аналогичные возможности при подключении к серверу через медленную сеть.

Технология DNS Security Extensions

DNS-клиенты под управлением Windows 7 или Windows Server 2008 R2, а также DNS-серверы Windows Server 2008 R2 поддерживают DNS Security Extensions (DNSSEC) (расширения безопасности данных DNS) для проверки целостности DNS-записей согласно стандартам RFC 4033, 4034 и 4035. Для того чтобы убедиться в том, что запись была создана авторитетным DNS-сервером и не была изменена при передаче через сеть, компьютеры с установленными ОС Windows 7 и Windows Server 2008 R2 могут проверять целостность DNS-ответов.

В случае применения технологии DNSSEC авторитетный DNS-сервер Windows Server 2008 R2 осуществляет цифровое подписывание запрашиваемой DNS-зоны и генерирует цифровую подпись для каждой ресурсной записи в зоне. Таким образом, другие DNS-серверы, используя доверительные связи, могут убедиться, что DNS-запись была подписана авторитетным DNS-сервером и впоследствии не изменялась. Компьютеры-клиенты, поддерживающие DNSSEC, могут анализировать успешность серверной проверки до использования возвращенного ответа с DNS-записью.

Отметим, что при применении шифрования IPsec и технологии DNSSEC пользователю предоставляется сквозная безопасность в случае прохождения запросов и ответов через несколько DNS-серверов. К примеру, компьютер-клиент находится в филиале и отсылает DNS-запросы на неавторитетный DNS-сервер под управлением Windows Server 2008 R2. Этот филиальный DNS-сервер перенаправляет DNS-запросы на авторитетный DNS-сервер в главном офисе и с помощью технологии DNSSEC проверяет целостность внутренних DNS-записей, даже если на пути у него есть несколько промежуточных серверов, через которые передаются данные. После этого сервер информирует клиента о том, что DNSSEC был использован для проверки записей.

Усовершенствования в системе виртуализации

C релизом операционной системы Windows Vista компания Microsoft в значительной мере упростила развертывание и обслуживание образов операционной системы в масштабах предприятия. В новой операционной системе Windows 7 в дополнение к имеющимся возможностям была добавлена встроенная поддержка образов виртуальных машин формата VHD. Кроме офлайн-обслуживания VHD-файлов, установки/удаления обновлений, языковых пакетов и иных компонентов ОС, в новой системе Windows 7 появилась возможность загрузки с ранее созданных VHD-файлов. Это означает, что администраторы сетей могут применять один и тот же мастер-образ для удаленных клиентов, использующих инфраструктуру VDI (Virtual Desktop Infrastructure), и традиционных настольных компьютеров. Это избавит от необходимости управлять многочисленными образами системы и упростит переход к полностью виртуализованному окружению. И хотя технология открывает новые возможности для развертывания, загрузка с VHD-образа не сможет обеспечить полную функциональность операционной системы, установленной традиционным путем. Изменения также коснулись работы через VDI в Windows 7. Теперь пользователь удаленной системы вряд ли почувствует разницу с работой на обычном настольном компьютере, поскольку даже в удаленном режиме операционная система Windows 7 поддерживает интерфейс Aero, воспроизведение видео в WMP и многомониторную конфигурацию. Также стоит отметить, что в удаленных сессиях появилась полноценная поддержка микрофона, которая предоставит пользователям удаленных компьютеров, работающих под управлением Windows 7 Enterprise, функции VoIP (Voice over IP) и распознавания речи, а технология Easy Print позволит распечатывать документы на локальном принтере без необходимости установки драйверов принтера на сервере. Еще одним новшеством в Windows 7 и VDI является лицензия Windows Vista Enterprise Centralized Desktop (VECD).

 

В начало В начало

КомпьютерПресс 11'2009