如何提升组建企业网络的ROI和效率

2010年北京的第一场雪把我的整个出差计划打乱，乘飞机变得不可能，只能坐火车去深圳。离开大雪纷飞的首都，我抱着试试看的心理打开电脑连接WCDMA，火车以130公里的时速奔驰，我原本不期待有奇迹。或许是我太孤陋寡闻，我不但轻松连接3G网络，而且通过DirectAccess可以完成所有在公司做的工作，于是旅途不再寂寞，整个晚上我都沐浴在科技进步带来的温暖之中。

您可能猜到我今天要讲的内容。是的，Windows 7之中闪亮的2个功能—DirectAccess和BranchCache，以及如何在提供安全信息交换的基础上，为移动办公、远程办公和企业分支机构IT建设提供佳的解决方案。下面我们就来一起探讨DirectAccess和BranchCache到底是何方神圣(以下简称DA和BC， 这两个功能都需要Windows 7 Enterprise和Windows Server 2008 R2来实现)。

MC特约专家 金海龙 微软(中国)有限公司信息技术部 IT经理

实际案例1

VPN，这个曾经一度被认为是远程办公利器的解决方案，随着用户需求的不断提高变得越来越难当大任。当用户可以在家里、咖啡厅、机场、餐馆轻松获得1Mbps，2Mbps甚至更高速的Internet连接时，我们的VPN延续着以KB计算的速度。投资多少到VPN上是很多IT主管头疼的问题，如果为了峰值用户维护一定的带宽，ROI(投资回报率)是很差的；如果为了平均用户规模来设计接入网络，却又难以应付诸如月结、季度结算、半年结算、年终结算时突如其来的巨大访问量。即便是勉强得到财务官的认可，投资了比较大的VPN带宽，IT经理们也会沮丧的发现，如果真的在VPN上跑业务系统，不管是时滞、安全政策的实施还是用户的可操作性都差得不能接受。

原本战绩辉煌的VPN解决方案，在高速互联的时代变得如鸡肋一样食之无味，弃之可惜。但是来自业务部门的需求却没有因为技术的瓶颈而停止，需要高速、安全、稳定的企业移动计算的呼声从来就没有停止过。还记得有位高瞻远瞩的老总说要大限度地下放决策权到一线的销售人员，因为他们接近战场。这样的想法固然好，但是如果没有强大的IT系统支撑，成为失聪+失明的前线部队是不能及时、有效地做出正确决策的。就是在这样的背景下，DA在Windows 7和Windows Server 2008 R2下的登场，可以成为终解决企业移动计算需求的坚实基础之一。

解决方案

历史惊人的相似，就如当初很多人质疑VPN的安全性一样，开始谈及Direct Access的时候，我被问及多的问题就是安全性。这不奇怪，信息安全是每个IT管理人员必须履行的职责，没有安全性就谈不上IT管理。但是很多人容易忽略的一个问题是，到底什么是信息安全？信息安全管理的目标是什么？在接触客户的过程中，我看到太多企业陷入一味的追求所谓“万全”的安全之中，终的结果是信息系统非但不能助力企业成长，反而成为限制企业发挥生产力和创造性的桎梏。难怪很多安全官每天如坐针毡，兢兢业业工作，但结果是企业决策层开始讨论IT部门存在的合理性……

本文的交流重点不是信息安全的课题，我也不准备在此探讨很多DA安全性的问题，如果大家感兴趣，可以访问微软TechNet主页，上面有非常多的资源，探讨如何保证安全DA方案的实现。但是有一点我觉得是非常有必要说明和强调：所谓信息安全管理，是将信息安全风险限制在可接受的范围内，至于什么是“可接受”的范围，我们以后有机会进一步探讨。这里我们先探讨DA的优势。

Direct Access从根本上解决了VPN的很多局限性，通过IPv6的技术特性在外网客户机和公司内网服务器之间自动建立双向连接，通过使用IPSec(Internet Protocol Security的缩写)进行计算机之间的验证从而允许IT管理部门在用户真正登录企业内部资源之前进行计算机管理，例如补丁更新、漏洞扫描和安全性扫描等。

DA连接需要设置一台Server，又分为两种模式，
Full Enterprise Network Access模式(上图)和Selected Server Access模式(下图)

DA工作时，客户机建立一个通向Direct Access Server的IPv6隧道连接，这个隧道连接可以在普通的IPv4网络上工作，而DirectAccess Server承担了网关的角色，连接内网和外网之间。

建立方便的访问，带宽不再是限制之后，带给IT管理员的挑战是：用户会不会滥用唾手可得的资源，给服务器带来不必要的资源消耗和负担？为了解决这一问题，DA可以提供两种内部资源的访问方式来满足不同管理场景的需要。

第一种是Full Enterprise Network Access及类似Exchange服务器的RPC Over Http方式，采用这种方式的DA服务器把来自用户的请求以非IPSec的方式向内网的服务器转发。

另外一种是Selected Server Access，就是有选择性地允许访问内网特定的服务器。这样做的优点是可以在DirectAccess服务器上配置访问规则进行安全控制(被访问的服务器版本必须是Windows Server 2008或2008 R2，而且这些服务器需要同时支持IPv6和IPSec协议)。这种方式是那些需要管理不同信息安全区域的IT部门所需要的。在某些场景下，远程访问用户可以被限制只能访问特定的内部服务器，当然您也可以通过配置不同的组策略来实现，但是组策略不能完全解决的问题是：当该用户回到公司以后需要恢复享有正常的访问权限，组策略不能自动识别满足。因此在很多场景下，组策略、IPSec和相关的DAS策略共同构筑远程访问的用户鉴权和授权体系。

实际案例2

前几天去使馆见签证官，排在我前面一位女士准备带她父亲去美国，她展示给签证官的是一大堆在各地开店的照片和注册材料，德国、法国、意大利、韩国、日本……得到准签以后她回头略带骄傲地对我说，“我在全世界有15家分店！”可能是职业病吧，我没听清她到底是卖什么的，脑海里立刻反映出的是这位几乎要在联合国开店的女士，她的分支机构IT建设是如何进行的。

随着国际化进程的加快，行业竞争的白热化。越来越多大企业加快了建设分支机构的步伐。这些分支结构面临的问题同时也困扰着很多中小企业：规模小、人员分散、预算紧张、很难维护一个具备高可靠性的IT环境。所有这些和企业的快速扩张形成尖锐的矛盾，分支机构的IT建设需要使用有限的资金来完成企业日益增长的稳定性、安全性和高效率要求，这让IT主管们非常头疼。解决IT经费投入产出的矛盾不是容易的事情，IT主管很难说服自己为了一个50人的办公室拉一条E1中继线。事实上在微软，150人的非研发办公室也未见得会有专线连接。但是如果这50人从事的是SCM(供应链管理)，那就是另一个版本的解释了，系统的稳定性又会被排在重要性的首位，但是你仍然需要面对高昂的人均IT成本……BranchCache的出现，让廉价、稳定、高速而又易于维护的分支机构IT建设成为可能。

解决方案

BranchCache专门用于降低WAN链接的利用率和提高分支机构工作人员(当他们访问位于远程位置服务器上的内容时)的应用程序响应速度。分支机构客户端计算机使用本地维护的数据缓存来降低通过WAN链接的流量。缓存可以跨客户端计算机分布(分布式缓存模式)，也可以存放在分支的服务器上(托管缓存模式)。

BranchCache用于防止未经授权的内容访问。当内容在对等端之间或在客户端和托管缓存服务器之间进行传输时，会被加密。内容只能用由总部内容服务器提供的标识符进行解密。内容服务器只会为授权客户端提供标识符。BranchCache支持通过端对端安全传输(如HTTPS和IPSec)的下载优化。

分布式缓存模式

如果客户端计算机配置为使用分布式缓存模式，则缓存内容将分布在分支机构网络的计算机中。除了运行 Windows 7 的客户端计算机，分支机构中不需要任何基础结构或服务器。

分布式缓存模式

托管缓存模式

在托管缓存模式中，缓存内容在分支机构网络中运行Windows Server 2008 R2的计算机上进行维护。如果客户端计算机无法在托管缓存服务器上找到内容，则返回总部的服务器并请求下载。

托管缓存模式

托管缓存模式和分布式缓存模式是互斥的。客户端计算机请配置为一次只使用一种缓存模式。

小结

如果IT管理人员要实现分支机构和移动办公方面质的飞跃，DirectAccess和BranchCache无疑提供了更为经济和有效的技术手段，由此带来的用户生产力提高以及对于整个公司业务流程、决策流程的积极影响也让人期待。而对于那些满怀理想，希望体现IT价值的IT管理者而言，“与时俱进”地采用更为先进和高效的技术手段将是实现梦想的坚实基础。Windows 7的“神兵利器”还没有完全的展示完毕，接下来我们会继续和大家分享，请继续关注《微型计算机·PCOffice》栏目。