Windows Server 2016网络功能的改善及变化

日期: 2015-04-29 作者:Jonathan Hassell翻译:肖培庆 来源:TechTarget中国 英文

随着Windows Server 2016版本的持续发展,是时候考虑改变服务器网络了。在Windows新版本中将会减少对网络访问保护(NAP)的支持,而增加对虚拟网络和网关间的GRE隧道支持,并对DNS客户端的特性进行了改变。 对你来说NAP太老旧了 在早期的2004年,我们会认为网络访问保护(NAP)是网络的万金油。我们可以隔离我们觉得可疑的设备,直到认为这些设备满足了我们的规范(更新到最新版本并且打上了最新的补丁),并扫描这些设备让它不存在任何恶意程序,之后才能认可这个设备并且将这个设备下放到我们的网络中来同时赋予所有权限。

我们可以指定某个区域的网络和某个服务器为修复服务器,在修复服务器上……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

随着Windows Server 2016版本的持续发展,是时候考虑改变服务器网络了。在Windows新版本中将会减少对网络访问保护(NAP)的支持,而增加对虚拟网络和网关间的GRE隧道支持,并对DNS客户端的特性进行了改变。

对你来说NAP太老旧了


在早期的2004年,我们会认为网络访问保护(NAP)是网络的万金油。我们可以隔离我们觉得可疑的设备,直到认为这些设备满足了我们的规范(更新到最新版本并且打上了最新的补丁),并扫描这些设备让它不存在任何恶意程序,之后才能认可这个设备并且将这个设备下放到我们的网络中来同时赋予所有权限。我们可以指定某个区域的网络和某个服务器为修复服务器,在修复服务器上我们可以下载防病毒保护和补丁。即使有个供应商带来了一部很多病毒的笔记本电脑接入网络中,他进行了30分钟的演讲然后便消失得无影无踪,我们也不用花费3天的时间去收拾残局(这里的供应商有时也代表远程办公的职员)。

不管是什么原因, NAP从来没有达到巅峰,这可能要归结于以下几个原因:

  • NAP从来没有统一的标准,其中Juniper用一个标准而Cisco用另一个标准。将所有厂家都统计标准是可行的,但是会耗时耗力。
  • 其实有很多种方法可以达到相同的目的,比如你可以阻止DHCP分配地址,在交换机上执行端口限制,用自定义的访问控制列表等等。
  • 用户也会反对NAP,因为他们不希望他们的电脑在家是能正常使用,而一拿到办公室却要耗费大量时间去打补丁。所以NAP注定是还没怎么存在过就要死去。

哎,如微软回应一样,业界已经远离网络访问检测和保护。在Windows Server中NAP已经被弃用,而且在未来也不太可能被继续开发。

GRE支持


随着很多虚拟机被整合并运行在一个主机上以及云服务的扩张,你的虚拟机会在自己的数据中心和公有云上来回转移,因此对公有因特网上的隧道技术支持已经成为了一种必要。各种VPN一般在数据链路层工作得挺好,但是要修订针对Windows Server上多用户环境,特别在高密度配置下,我们需要使用数据链路层以下的(OSI协议)层。

通用路由封装(GRE),是在Windows Server上使用的一种协议,它可以封装OSI协议栈的网络层上的不同协议,并让这些封装后的数据在云计算中心和你的数据中心中进行数据传输。使用GRE后,Windows可以在虚拟网络、管理程序和外部网络(包括Internet)之间发送网络层报文。GRE是路由器和交换机都能普遍识别的协议,所以它们不需要特殊的硬件等,可能需要的仅仅是重新配置的工作。而且GRE是轻量级的,它能通过Internet连接一个虚拟网络和地理位置离很远的另一个虚拟网络,并且工作得很好。

多网卡服务器的DNS更新


当今很多服务器买回来的时候已经配了多块网卡,有些会在服务器主板上内置类似4口的网卡,有一些是主板内置了一个一口或者双口的网卡,另外在PCI插槽上配一个单网口卡(很多Dell的服务器就是这样的配置模式)。假设所有这些不同的网卡都同时连接到网络中来,而且所有的网卡都通过DHCP分配或者静态地得到了稍微不同的DNS服务器配置,那么会出现很奇怪的名字解析问题,服务器不知道应该用哪一个DNS服务器来解析名称。在下一个版本的Windows Server里面,当任何网卡及其配置的DNS服务器在做DNS解析的时候,DNS client服务会对这块网卡进行绑定。这样可以解决很多异常的现象,特别是服务器上运行了很多虚拟机和承载了很多网络流量的时候,这也清理了一些时不时出现又很难排查和修复的问题。

此外,如果你使用组策略去部署名称解析策略表(NRPT)的话,DNS客户端是不会对网卡进行上述绑定的。一般来说NRPT使用在大型的企业网中,而且默认是关闭的,所以如果你没有设置NRPT,就不用担心这个问题。

作者

Jonathan Hassell
Jonathan Hassell

Jonathan Hassell是一名作家、顾问、演说家。

翻译

肖培庆
肖培庆

TechTarget中国兼职翻译

相关推荐