Một số điểm mới trong kết nối mạng của Windows
Server 2008 R2


Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số điểm
mới trong vấn đề kết nối mạng của Windows Server 2008 R2.

Windows Server 2008 R2 đã được phát hành một thời gian nhưng
còn rất nhiều bạn vẫn đang sử dụng Windows Server 2003 hoặc
có thể Windows Server 2008 với nhiều lý do khác nhau. Mỗi một
phát hành mới luôn đi kèm với rất nhiều điểm mới mẻ, thú vị nếu
bạn có thời gian tìm hiểu và khai thác chúng. Trong Windows
Server 2008 R2 cũng vậy, phải nói rằng các tính năng kết nối
mạng mới của nó thực sự thú vị, và bài này chúng tôi sẽ đề cập
đến nội dung đó.
Một số tính năng trong Windows Server 2008 R2 chắc chắn sẽ
làm hấp dẫn bạn đó là:
DirectAccess
VPN Reconnect
BranchCache
QoS dựa trên URL
Sau đây chúng ta sẽ đi xem xét các tính năng này.
DirectAccess
DirectAccess là một kỹ thuật truy cập trừ xa mới, cho phép các
máy tính thành viên miền có thể kết nối với mạng nội bộ mà
không cần kết nối VPN. Có thể bạn đã nghe nhiều thông tin về
DirectAccess với tư cách là một kiểu kết nối VPN, tuy nhiên sự
thật thì DirectAccess lại hơn nhiều so với một VPN. Microsoft đã
phát triển công nghệ này như một công nghệ thay thế cho VPN.
Vậy điểm khác biệt ở đây l
à gì? Virtual Private Network cho phép

người dùng của bạn có thể truy cập vào mạng khi họ muốn truy
cập thông tin nằm ở đây. Ngược lại, DirectAccess cho phép mở
rộng bản thân mạng của bạn đến tất cả các máy khách được kích
hoạt DirectAccess, vì vậy người dùng sẽ luôn kết nối với mạng
nội bộ và nhóm CNTT của bạn luôn kết nối với các máy khách
DirectAccess. Ưu điểm lớn mang lại ở đây là, trái ngược với các
máy khách VPN, các máy khách DirectAccess luôn nằm trong sự
kiểm soát, luôn được cập nhật và luôn tuân thủ các thiết lập cấu
hình mong muốn.
Chỉ có hai cách để đạt được điều đó là nâng cấp, vì DirectAccess
yêu cầu Windows Server 2008 R2 bên phía trình chủ v
à Windows
7 Enterprise hoặc Ultimate bên phía trình khách. Bạn có thể hoặc
không thể nâng cấp toàn bộ cơ sở hạ tầng mạng, phụ thuộc vào
hình thức DirectAccess nào bạn triển khai (chúng ta sẽ đề cập đến
vấn đề đó trong phần dưới).
DirectAccess không phải là một kỹ thuật cụ thể, nó là một bộ sưu
tập các kỹ thuật có sẵn và được kết hợp cùng nhau dưới một tên
gọi chung “DirectAccess”. Các kỹ thuật chính trong DirectAccess
gồm có:
Active Directory – Máy khách và máy chủ DirectAccess phải là
các thành viên của miền Active Directory để đảm bảo điều kiện
xác thực.
Group Policy - Group Policy Objects (GPOs) được sử dụng để
phân phối các thiết lập cấu hình có liên quan đến DirectAccess
đến cả máy chủ và khách DirectAccess.
DNS – DirectAccess sử dụng DNS để xác định kết nối nào sẽ
được gửi qua kết nối DirectAccess, kết nối này sẽ được gửi trực
tiếp đến máy chủ trên Internet.
PKI – DirectAccess sử dụng xác thực chứng chỉ máy tính và

Ipsec, kỹ thuật yêu cầu PKI để triển khai các chứng chỉ.
IPsec - DirectAccess là một giải pháp truy cập an toàn có thể lợi
dụng cả chế độ đường hầm Ipsec và chế độ truyền tải Ipsec nhằm
b
ảo mật các kết nối từ các máy khách DirectAccess từ xa đến máy
chủ DirectAccess và đến các máy chủ nằm trong mạng nội bộ.
IPv6 – DirectAccess là một công nghệ được kỳ vọng, công nghệ
này được xây dựng trên giao thức mạng tương lai IPv6. (Mặc dù
vậy, với UAG, bạn không cần phải có một mạng IPv6 nguyên b
ản
để DirectAccess làm việc trong mạng của bạn hiện nay).
Một số kỹ thuật này có trong bất cứ Windows domain nào. M
ột số
khác có thể hoặc chưa được sử dụng trong mạng của bạn. Tất cả
các kỹ thuật này có thể được sử dụng với các phiên bản Windows
Server trước đây, tuy nhiên được sử dụng một cách rời rạc và chỉ
ở Windows Server 2008 R2 tất cả chúng được kết hợp cùng nhau
để tạo nên giải pháp DirectAccess.
Điều quan trọng ở đây là ph
ải hiểu rằng có hai dạng DirectAccess,
đó là: Windows DirectAccess và UAG DirectAccess. Dạng
Windows DirectAccess cho các doanh nghiệp có kích thước vừa
và nhỏ chỉ có một vài máy chủ, tuy nhiên để sử dụng nó, bạn phải
có một miền Windows Server 2008 R2 nguyên bản và ph
ải có một
mạng IPv6. Với các triển khai doanh nghiệp cỡ lớn, bạn cần sử
dụng giải pháp UAG DirectAccess vì dạng thức này có thể mở
rộng và khá vững chắc. Thêm vào đó, UAG DirectAccess cho
phép bạn sử dụng DirectAccess thậm chí khi không triển khai
IPv6 và không có cơ sở hạ tầng Windows Server 2008 (vẫn vần

có một máy Windows Server 2008 R2 trên UAG nào được cài
đặt).
VPN Reconnect
Trong khi DirectAccess là công nghệ có thể thay thế cho VPN thì
VPN Reconnect, một công nghệ VPN mới có trong Windows
Server 2008 R2 lại tương tự như các giao thức VPN khác, chẳng
hạn như PPTP và L2TP/IPsec. Nó sử dụng cùng một VPN
connectoID vẫn được sử dụng bởi các giao thức VPN này. Mặc d
ù
vậy, khác biệt lớn giữa các giao thức VPN và VPN Reconnect là:
với VPN Reconnect, kết nối tự động được thiết lập lại khi bị mất
kết nối. Trong khi đó, nếu kết nối VPN bị mất, người dùng sẽ
không nhận được thông báo rằng kết nối bị mất và yêu cầu có
muốn kết nối lại hay không. Thay vì đó phần mềm sẽ kết nối lại
cho họ.
Cách thức này tỏ ra rất thuận tiện cho người dùng di động. Cho ví
dụ, giả định bạn đang sử dụng kết nối Wireless WAN thông qua
một tài khoản nào đó. Lúc này bạn đang ở trên tàu và kiểm tra
email hay làm việc với các tài liệu gì đó… M
ọi thứ hiện đang diễn
ra như mong đợi thì đó đoàn tàu đi qua đoạn đường hầm. Trong
đường hầm kết nối Internet bị đứt vì không có sóng vô tuy
ến. Mặc
dù đang làm việc với các email trong Outlook cùng thời điểm đó
thì bạn vẫn không nhận ra rằng kết nối của mình bị rớt (đó là kết
nối VPN Reconnect). Khi đoàn tàu đi ra khỏi đư
ờng hầm, Internet
được kết nối trở lại và kết nối VPN Reconnect tự động được thiết
lập lại. Tất cả những điều này xảy ra ở chế độ background do đó
người dùng không hề hay biết rằng kết nối Internet của mình bị

rớt trong thời gian tàu đi qua đường hầm.
VPN Reconnect sử dụng IKEv2, áp dụng các tính năng mới qua
khả năng di động IKEv2 và kỹ thuật multihoming (kỹ thuật tăng
độ tin cậy) đư
ợc mô tả trong RFC4555. Bạn cần phải có Windows
Server 2008 R2 và các máy khách Windows 7 để sử dụng VPN
Reconnect. Các phiên bản Windows trư
ớc đây không có tính năng
này.
Có thể thấy có đôi chút giống nhau giữa DirectAccess và VPN
Reconnect. Cả hai chúng đều cho phép kết nối trong một cách
suốt với mạng công ty và cả hai chúng đều tự động kết nối lại nếu
kết nối Internet bị rớt. Mặc dù vậy vẫn có một số khác biệt đáng
kể:
DirectAccess yêu cầu các máy khách DirectAccess phải là các
thành viên miền còn VPN Reconnect không yêu cầu điều đó.
DirectAccess cho phép kết nối với các máy chủ quản lý trước khi
người dùng đăng nhập còn VPN Reconnect bắt đầu khi người
dùng khởi chạy VPN connectoid để thiết lập kết nối ban đầu.
DirectAccess được thiết kế để hỗ trợ bảo mật “end-to-edge” và
“end-to-end” còn VPN connectoid chỉ được thiết kế để hỗ trợ bảo
mật “end-to-edge”.
Nói chung, bạn nên sử dụng VPN Reconnect cho các thành viên
không thuộc miền. Còn với các thành viên miền, các máy tính
được quản lý, DirectAccess là kỹ thuật truy cập từ xa được ưa
thích hơn.
BranchCache
BranchCache là một công nghệ mới trong Windows Server 2008
R2 và Windows 7, cho phép người dùng tại các văn phòng chi
nhánh có thể truy cập các thông tin tại văn phòng chính nhanh h

ơn
bao giờ hết. Một vấn đề lớn nhất mà người dùng tại văn ph
òng chi
nhánh gặp phải là việc truy cập dữ liệu tại văn phòng chính qua
kết nối WAN có băng thông hạn chế hoặc site-to-site VPN đến
văn phòng chính. Vấn đề này đôi khi dẫn đến tình trạng người
dùng tránh truy cập các thông tin mà có th
ể giúp họ tăng năng suất
và bổ sung nhiều giá trị lợi ích cho công ty.
Có thể sử dụng BranchCache để lưu trữ các dữ liệu văn phòng
chính tại văn phòng chi nhánh. Khi người dùng kết nối HTTP(S)
hoặc SMB (CIFS) đến tài nguyên nằm tại văn phòng chính thì dữ
liệu đó sẽ được lưu tại văn phòng chi nhánh. Khi người d
ùng khác
sau đó cố gắng truy cập vào dữ liệu đó thì dữ liệu này sẽ được
cung cấp từ cache cục bộ được lưu trữ tại văn phòng chi nhánh.
Cách thức này giúp tăng đáng kể tốc độ truy cập dữ liệu vì nó
được cung cấp ở tốc độ LAN tại văn phòng chi nhánh (Gigabit
Ethernet) thay vì tốc độ WAN (vẫn nằm trong khoảng 10 Mbps).
BranchCache có thể được cấu hình dưới một trong hai chế độ sau:

Hosted Mode – Trong chế độ Hosted Mode, BranchCache làm
việc với một máy chủ BranchCache nắm giữ các dữ liệu được
cache cho tất cả các máy tính trong văn ph
òng chi nhánh. Khi máy
khách BranchCache trong văn phòng chi nhánh yêu c
ầu dữ liệu từ
văn phòng chính, nó sẽ truy cập vào dữ liệu và sau đó chia sẻ dữ
liệu này với máy chủ BranchCache. Khi host thứ hai tại văn
phòng chi nhánh tạo yêu cầu với nội dung tương tự, nó sẽ kết nối

với máy chủ tài nguyên tại văn phòng chính để xác thực và nhận
được metadata nhằm xác định các nội dung đó đã được thay đổi
so với những gì được cache trước đó hay chưa. Nếu chưa có gì
thay đổi nó có thể sử dụng dữ liệu được lưu trữ cục bộ với tốc độ
LAN từ Hosted Mode BranchCache tại văn phòng chi nhánh.
Distributed Mode – Trong chế độ Distributed Mode, không có
máy chủ BranchCache m
à thay vào đó các máy khách Windows 7
sẽ chia sẻ các dữ liệu được cache với nhau. Khi một máy tính
Windows 7 tại văn phòng chi nhánh nhận dữ liệu qua SMB hoặc
HTTP(S) từ văn phòng chính, nó sẽ cache các thông tin này cục
bộ. Khi một máy tính Windows 7 khác tại văn phòng chi nhánh
thực hiện yêu cầu với nội dung tương tự, nó sẽ xác thực với máy
chủ gốc và nhận metadata, sau đó sẽ nhận dữ liệu với tốc độ LAN
từ máy khách Windows 7 đã yêu cầu cùng nội dung như vậy trư
ớc
đó.
Chế độ Distributed Mode được sử dụng khi có ít hơn 50 máy tính
trong mạng văn phòng chi nhánh. Tất cả các máy tính cần nằm
trong cùng một một đoạn mạng. Nếu văn phòng chi nhánh có hơn
50 máy khách hoặc có nhiều đoạn mạng thì bạn cần sử dụng chế
độ Hosted Mode.
QoS dựa trên URL
Windows Server 2008 R2 và Windows 7 hiện hỗ trợ Quality of
Service (QoS) dựa trên URL. Đây là công nghệ đã có trong ISA
Server và Threat Management Gateway (TMG) tuy nhiên giờ đây
nó được cấp đến các máy khách và máy chủ trong mạng.
Điểm mới ở đây là các gói IP có chứa giá trị Differentiated
Services Code Point (DSCP), đây là giá trị để các router được cấu
hình giá trị DSCP có thể kiểm tra để gán mức ưu tiên. Khi các

router bận, các gói sẽ được xếp hàng và hàng đợi có thể được cấu
hình theo các gói có mức ưu tiên cao trước, mức ưu tiên thấp sau.

Với Windows Server 2008 R2 và Windows 7, bạn có thể sử dụng
QoS theo URL để xét ưu tiên lưu lượng mạng dựa trên URL
nguồn, bổ sung thêm việc ưu tiên dựa trên địa chỉ IP và cổng.
Cách thức này cho phép bạn có thêm sự kiểm soát đối với lưu
lượng mạng và bảo đảm rằng lưu lượng web ở mức ưu tiên cao sẽ
được chuyển tiếp trước lưu lượng có mức ưu tiên thấp, thậm chí
khi lưu lượng đó được cấp từ cùng một máy chủ. Đây là một khác
biệt lớn về hiệu suất.
Cho ví dụ, bạn chắc chắn sẽ có một số lư
ợng lớn các máy chủ web
bên trong mà người dùng cần truy cập để thực hiện các công việc
của họ. Khi đó bạn có thể gán các máy chủ bên trong này các địa
chỉ với mức ưu tiên cao hơn so với các địa chỉ của máy chủ bên
ngoài, như vậy lưu lượng đến các tài nguyên quan trọng b
ên trong
sẽ được ưu tiên hơn so với lưu lượng truy cập đến các máy chủ
không quan trọng.
Kết luận
Trong bài này chúng tôi đã giới thiệu được cho các bạn một số
tính năng về mạng mới có trong Windows Server 2008 R2 và
Windows 7. Đó là DirectAccess, một công nghệ truy cập từ xa
mới, giúp mở rộng mạng nội bộ của bạn đến bất cả các máy tính
thành viên miền dù các máy tính này được đặt ở đâu; VPN
Reconnect, một giải pháp tuyệt vời cho các máy tính thành viên
không thuộc miền cần có kết nối VPN với mạng công ty, cho
phép kết nối một cách dễ dàng, không bị phiền muộn về việc phải
thiết lập lại các kết nối VPN; BranchCache, một tính năng cho

phép các máy khách tại văn phòng chi nhánh có thể nhận các nội
dung từ văn phòng chính với tốc độ của một mạng LAN thay vì
tốt độ WAN chậm chạp; QoS dựa trên URL, cho phép bạn
ưu tiên
các kết nối dựa trên URL để từ đó có sự điều chỉnh phù hợp ở các
máy chủ web cho kết nối mạng.