Компьютерная помощь

Система Microsoft® Windows Server® под кодовым названием "Longhorn" (сейчас проходящая бета-тестирование) и система Windows Vista™ (сейчас проходящая бета-тестирование) включают множество изменений и усовершенствований сетевых технологий. В данной статье дается описание изменений протоколов и основных сетевых компонентов, беспроводных и проводных технологий с проверкой подлинности на основе 802.1X, а также компонентов и служб инфраструктуры сети в бета-версии 2 Windows Server "Longhorn" и в версии Release Candidate 1 системы Windows Vista.

Сетевое обеспечение и связь являются наиболее важными инструментами, обеспечивающими поддержку конкурентоспособности различных организаций на мировом рынке. Сотрудникам организаций необходимо иметь возможность подключения к сети независимо от их местонахождения и типа устройства. Партнерам, поставщикам и другим лицам за пределами сети необходимо эффективно взаимодействовать с ключевыми ресурсами, при этом безопасность приобретает все большую важность.

Данная статья является техническим обзором сетевых и коммуникационных усовершенствований в Windows Server "Longhorn" и Windows Vista для решения вопросов связи, удобства использования, управления, повышения надежности и обеспечения безопасности. С помощью Windows Server "Longhorn" и Windows Vista у ИТ-администраторов появляются многочисленные и более гибкие возможности для управления инфраструктурой сети, для защиты своих сетей за счет запросов компьютеров на подтверждение системной исправности с помощью аутентифицированных беcпроводных и проводных подключений посредством использования групповых политик, сценариев и внедрения сценариев защищенного трафика.

Протоколы и основные сетевые компоненты

В системах Windows Server "Longhorn" и Windows Vista внедрено большое количество изменений и усовершенствований следующих протоколов и основных сетевых компонентов:

• Стек TCP/IP cледующего поколения

• Качество обслуживания на основе политик

• Блок сообщений сервера Server Message Block 2.0

• Усовершенствования http.sys

• Усовершенствования WinINet

• Усовершенствования Windows Sockets

• NDIS 6.0

• Система распознавания наличия сетевых средств (Network Awareness)

• Усовершенствования Windows для одноранговой сети

• Усовершенствования брандмауэра Windows

• Усовершенствования IPsec

Стек TCP/IP cледующего поколения

Системы Windows Server "Longhorn" и Windows Vista включают новую реализацию стека протокола TCP/IP, который получил название Стек TCP/IP cледующего поколения. Стек TCP/IP cледующего поколения - это полная переработка функциональности TCP/IP как для версии 4 Интернет-протокола (IPv4), так и для для версии 6 Интернет-протокола (IPv6), которая удовлетворяет запросам разнообразных современных сетевых сред и технологий.

Автонастройка окна получения (Receive Window Auto Tuning)

Размер окна получения TCP - это количество данных, которое TCP-получатель позволяет отправлять TCP-отправителю до ожидания подтверждения. В целях правильного определения значения максимального размера окна получения для подключения на основе текущих условий сети, стек TCP/IP cледующего поколения поддерживает Автонастройку окна получения (Receive Window Auto-Tuning). С помощью автонастройки окна получения постоянно определяется оптимальный размер окна получения по каждому отдельному подключению путем измерения произведения задержки и полосы пропускания (значение ширины полосы пропускания, умноженное на задержку соединения), а также измерения скорости извлечения данных приложением, и автоматически корректируется максимальный размер окна получения в непрерывном режиме.

При улучшении пропускной способности между одноранговыми узлами TCP возрастает использование полосы пропускания сети во время передачи данных. Если работа всех приложений оптимально настроена на получение данных TCP, то общее использование сети значительно возрастает, что приводит к повышению важности качества обслуживания (QoS) для сетей, работающих с той же или похожей пропускной способностью. Для получения дополнительных сведений см. раздел "Качество обслуживания" данного технического документа.

Составной TCP

Для TCP-соединений с большим размером окна получения и большим произведением полосы пропускания и задержки (значение ширины полосы пропускания, умноженное на задержку соединения), cоставной TCP (CTCP) в стеке TCP/IP следующего поколения вызывает активное увеличение объема данных, отправляемых за один раз путем контроля произведения задержки и полосы пропускания, колебаний значения задержки и потери пакетов. CTCP также обеспечивает отсутствие того, что его работа будет отрицательно влиять на TCP-соединения. Во время внутреннего тестирования, проведенного в корпорации Microsoft, время на резервное копирование больших файлов было уменьшено почти вдвое для подключения на скорости в 1 Гигабит в секунду, при этом время приема-передачи равнялось 50 миллисекундам. В подключениях с большим значением произведения полосы пропускания и задержки могут быть достигнуты даже более высокие показатели производительности.

Автонастройка окна получения оптимизирует пропускную способность на стороне получателя, а CTCP оптимизирует пропускную способность на стороне отправителя. Их взаимодействие увеличивает степень использования канала и приводит к значительному улучшению показателей производительности для соединений с большим произведением полосы пропускания и задержки.

Поддержка ECN

Когда теряется сегмент TCP, то при использовании TCP система принимает решение о том, что сегмент был потерян в связи с перегрузкой на маршрутизаторе, и выполняет контроль перегрузки, в результате чего значительно снижается скорость передачи TCP-отправителя. При поддержке явного уведомления о перегрузке (Explicit Congestion Notification - ECN) на обоих одноранговых узлах TCP и в инфраструктуре маршрутизации, маршрутизаторы, на которых происходит перегрузка, помечают пакеты при их пересылке. На одноранговых узлах TCP, получающих помеченные пакеты, снижается скорость передачи с целью уменьшить перегрузку и предотвратить потерю сегментов. Обнаружение перегрузки до возникновения потери сегментов повышает общую пропускную способность между одноранговыми узлами TCP. Выпуск Release Candidate 1 системы Windows Vista поддерживает ECN, но оно отключено по умолчанию. Вы можете включить поддержку ECN с помощью команды netsh interface tcp set global ecncapability=enabled.

Описание ECN приводится в RFC 3168.

Усовершенствования для сред с высоким уровнем потерь

Стек TCP/IP следующего поколения поддерживает следующие RFC для оптимизации пропускной способности в средах с высоким уровнем потерь:

• RFC 2582: Модификация NewReno TCP-алгоритма быстрого восстановления (Fast Recovery Algorithm)

  Алгоритм NewReno обеспечивает более высокую пропускную способность путем изменения способа, которым отправитель может повысить свою скорость отправки, когда происходит потеря нескольких сегментов в окне данных и отправитель получает частичное подтверждение (подтверждение успешного получения только части данных).

• RFC 2883: Расширение функции селективного подтверждения (SACK) для TCP

  SACK, определение которого содержится в RFC 2018, позволяет получателю указывать до четырех фрагментированных блоков полученных данных. В RFC 2883 дано определение дополнительного использования полей в функции SACK TCP для подтверждения дублирующихся пакетов. Это позволяет получателю TCP-сегмента, содержащего параметр SACK, устанавливать, когда сегмент был передан в избытке, и корректировать его поведение для предотвращения повторной передачи в дальнейшем. Чем меньше происходит повторных передач, тем выше общая пропускная способность.

• RFC 3517: Консервативный алгоритм восстановления потерянных данных на основе SACK для TCP

  В реализации TCP/IP для Windows Server 2003 и Windows® XP данные SACK используются только для определения того, какие TCP-сегменты не дошли до адреса назначения. В RFC 3517 приводится определение метода использования данных SACK для выполнения восстановления потерянных данных, если были получены подтверждения о поступлении дублирующихся пакетов, без применения алгоритма быстрого восстановления, если для данного подключения был активизирован SACK. В стеке TCP/IP следующего поколения данные SACK отслеживаются по каждому подключению в отдельности, и проводится контроль входящих подтверждений и подтверждений о поступлении дублирующихся пакетов с целью ускорения восстановления, если до адресата не дошло несколько пакетов.

• RFC 4138: Алгоритм Forward RTO-Recovery (F-RTO): Алгоритм обнаружения таймаутов ложных повторных передач по TCP и протоколу передачи управления потоком (SCTP)

  Ложные повторные передачи TCP-сегментов могут происходить в том случае, если возникает внезапное временное увеличение времени приема-передачи. Алгоритм F-RTO предотвращает ложные повторные передачи TCP-сегментов. В результате выполнения алгоритма F-RTO в средах, в которых происходит неожиданное временное увеличение времени приема-передачи, например, когда клиент беспроводной сети переходит с одной точки доступа беспроводной сети на другую, F-RTO предотвращает ненужные повторные передачи сегментов и обеспечивает быстрое восстановление нормальной скорости отправки.

Обнаружение недоступности соседа (Neighbor Unreachability Detection) для IPv4

Обнаружение недоступности соседа - это функция IPv4, с помощью которой узел отслеживает, доступен ли соседний узел, в результате чего улучшается обнаружение ошибок и восстановление, если узлы внезапно становятся недоступными. Стек TCP/IP следующего поколения также поддерживает обнаружение недоступности соседа для трафика IPv4 путем отслеживания состояния доступности IPv4-соседей в кэше IPv4-маршрута. При обнаружении недоступности соседа IPv4 доступность определяется путем обмена одноадресными сообщениями запросов и ответов по протоколу разрешения адресов (ARP) или путем использования протоколов верхнего уровня, таких как TCP. Функция обнаружения недоступности соседа IPv4 в подключениях на основе IPv4 позволяет определить, когда соседние узлы, включая маршрутизаторы, становятся недоступными, при этом отправляются соответствующие сообщения о недоступности.

Изменения в обнаружении отказавшего шлюза

Обнаружение отказавшего шлюза в TC/IP для Windows Server 2003 и Windows XP обеспечивает выполнение функции переключения при отказе, но не функции повторного запроса отказавшего шлюза, чтобы определить, не стал ли он доступен. Стек TCP/IP следующего поколения обеспечивает возврат к отказавшим шлюзам путем периодического выполнения попытки отправить TCP-трафик через ранее отказавший шлюз. Если отправка TCP-трафика через отказавший шлюз прошла успешно, стек TCP/IP следующего поколения переключает шлюз по умолчанию на ранее обнаруженный отказавший шлюз. Поддержка возврата к основным шлюзам по умолчанию может обеспечивать более высокую пропускную способность за счет отправки трафика через основной шлюз по умолчанию в подсети.

Изменения в обнаружении маршрутизаторов-черных дыр PMTU

Обнаружение максимального размера передаваемых данных тракта (PMTU), как это определено в RFC 1191, основано на получении по протоколу управляющих сообщений Интернет (Internet Control Message Protocol - ICMP) набора сообщений Destination Unreachable-Fragmentation Needed and Don’t Fragment (DF) Set c MTU следующего канала от маршрутизаторов. Однако в некоторых случаях промежуточные маршрутизаторы просто отбрасывают пакеты, которые нельзя фрагментировать, не сообщая о своих действиях. Такой тип маршрутизаторов известен под названием "маршрутизатор-черная дыра PMTU". Кроме того, промежуточные маршрутизаторы могут удалять сообщения ICMP в соответствии с установленными в брандмауэре правилами. В результате TCP-соединения находятся в ожидании и закрываются, в связи с тем, что промежуточные маршрутизаторы без уведомления отбрасывают большие TCP-сегменты, не осуществляют их повторную передачу и не передают сообщения об ошибках ICMP для обнаружения PMTU.

Функция обнаружения маршрутизаторов-черных дыр PTMU определяет, когда осуществляется повторная отправка больших TCP-сегментов, и автоматически настраивает PMTU под подключение, а не полагается на получение набора ICMP-сообщений Destination Unreachable-Fragmentation Needed и DF Set. В TCP/IP в системах Windows Server 2003 и Windows XP обнаружение маршрутизаторов-черных дыр PMTU по умолчанию отключено, поскольку при включении этой функции возрастает максимальное количество повторных передач, выполняемых по определенному сегменту.

Однако, при все большем распространении использования правил брандмауэра на маршрутизаторах, в результате чего происходит уничтожение трафика ICMP, в стеке TCP/IP следующего поколения функция обнаружения маршрутизаторов-черных дыр PMTU по умолчанию включена для предотвращения закрытия TCP-соединений. Функция обнаружения маршрутизаторов-черных дыр PMTU запускается на TCP-соединении, когда на нем начинается повторная передача сегментов в полном размере при установленном флажке DF. TCP задает новую установку PTMU для подключения, равную 536 байтам, и повторно передает ее сегменты при снятом флажке DF. В результате поддерживается TCP-соединение, хотя, возможно, что размер PMTU будет ниже, чем фактически существующий для этого соединения.

Компоненты маршрутизации

Для предотвращения нежелательного перенаправления трафика между интерфейсами в конфигурациях виртуальной частной сети (VPN) в стеке TCP/IP следующего поколения поддерживаются компоненты маршрутизации. Компонент маршрутизации - это сочетание ряда интерфейсов с сеансом входа в систему, для которого предусмотрены свои собственные таблицы IP-маршрутизации. В компьютере может быть несколько компонентов маршрутизации, изолированных друг от друга. Каждый интерфейс может принадлежать только одному компоненту.

Например, если пользователь устанавливает VPN-соединение в сети Интернет с реализацией протокола TCP/IP в Windows XP, для компьютера пользователя возможно частичное соединение как с сетью Интернет, так и с частной интрасетью через управление записями в таблице маршрутизации IPv4. В некоторых случаях возможно перенаправление трафика из сети Интернет через VPN-соединение в частную интрасеть. Для клиентов VPN, поддерживающих компоненты маршрутизации, стек TCP/IP следующего поколения изолирует соединение с сетью Интернет от соединения с частной интрасетью с отдельными таблицами IP-маршрутизации.

Поддержка Network Diagnostics Framework

Network Diagnostics Framework является расширяемой архитектурой, которая помогает пользователям восстанавливать состояние и устранять проблемы с сетевыми подключениями. При осуществлении связи на основе протокола TCP/IP, Network Diagnostics Framework предоставляет пользователю несколько вариантов устранения возможных причин, до тех пор, пока не будет выявлена основная причина или не будут исчерпаны все возможные варианты. Отдельными проблемами, связанными с TCP/IP, которые может обнаружить Network Diagnostics Framework, являются:

• Неверный IP-адрес

• Недоступность шлюза (маршрутизатора) по умолчанию

• Неверный шлюз по умолчанию

• Ошибка разрешения имен Network Basic Input/Output System (NetBIOS) через TCP/IP (NetBT)

• Неверные настройки DNS

• Локальный порт уже используется

• Служба "DHCP-клиент" не работает

• Отсутствует удаленный прослушиватель

• Устройство отключено

• Локальный порт заблокирован

• Недостаточно памяти

Поддержка ESTATS

Стек TCP/IP следующего поколения поддерживает проект документа группы IETF "MIB расширенной статистики TCP" (draft-ietf-tsvwg-tcp-mib-extension-08.txt), который определяет расширенную статистику производительности для TCP. Анализируя ESTATS при подключении, можно определить, что является узким местом производительности для подключения: отправляющее приложение, принимающее приложение или сеть. По умолчанию ESTATS выключено, и его можно включать для каждого подключения. С помощью ESTATS независимые сторонние поставщики программного обеспечения могут создавать приложения для анализа пропускной способности сети и всесторонней диагностики.

Новая модель фильтрации пакетов с Windows Filtering Platform

Windows Filtering Platform (WFP) - это новая архитектура в стеке TCP/IP следующего поколения с предоставлением API, чтобы сторонние поставщики программного обеспечения смогли принимать участие в принятии решений по фильтрации, которая осуществляется на нескольких уровнях в стеке протокола TCP/IP и во всей операционной системе. Платформа также предусматривает встроенную поддержку функций брандмауэра следующего поколения, например, связь с взаимной проверкой подлинности, динамическая настройка брандмауэра, основанная на использовании приложением Windows Sockets API (политика на основе приложения). Сторонние поставщики программного обеспечения могут создавать брандмауэры, антивирусное программное обеспечение, диагностическое программное обеспечение и другие виды приложений и служб. В брандмауэре Windows и IPsec в Windows Server "Longhorn" и Windows Vista используется WFP API.

Усовершенствования IPv6

Стек TCP/IP следующего поколения поддерживает следующие усовершенствования IPv6:

• Двойные IP-стеки

  Стек TCP/IP следующего поколения поддерживает архитектуру двухуровневого IP, в котором в реализации IPv4 и IPv6 используется общий транспорт (что включает в себя TCP и UDP) и уровни цикловой синхронизации. В стеке TCP/IP следующего поколения IPv4 и IPv6 включены по умолчанию. Для обеспечения поддержки IPv6 нет необходимости устанавливать отдельный компонент.

• Включено по умолчанию

  В Windows Server "Longhorn" и Windows Vista, IPv6 установлен и включен по умолчанию. Конфигурация настроек IPv6 осуществляется через свойства компонента Интернет-протокола версии 6 (TCP/IPv6) и с помощью команд в контексте netsh interface ipv6.

  IPv6 в Windows Server "Longhorn" и Windows Vista невозможно удалить, но его можно отключить.

• Настройка с использованием графического интерфейса пользователя

  Теперь Windows Server "Longhorn" и Windows Vista позволяют вручную задавать настройки IPv6 через ряд диалоговых окон в папке Сетевые подключения, подобно тому, как вручную задаются настройки IPv4.

   

• Усовершенствования Teredo

  Клиент Teredo в Windows Vista включен, но неактивен по умолчанию. Для его активации пользователь должен либо установить приложение, для которого необходимо использовать Teredo, либо выбрать изменение настроек брандмауэра, чтобы разрешить приложению использовать Teredo.

  Teredo включен для компьютеров доменных имен и теперь может работать, если за одним или несколькими симметричными преобразователями сетевых адресов (NAT) находится один клиент Teredo. Симметричный NAT преобразует аналогичный внутренний (частный) адрес и номер порта в другие внешние (публичные) адреса и порты в зависимости от внешнего адреса назначения (для исходящего трафика). Этот новый режим работы позволяет Teredo работать между большим количеством подключенных к сети Интернет узлов.

   

• Интегрированная поддержка IPsec

  В Windows Server "Longhorn" и Windows Vista поддержка IPsec для трафика IPv6 аналогична IPv4, включая поддержку обмена ключами через Интернет (IKE) и шифрование данных. Брандмауэр Windows с политиками Улучшенной безопасности (Advanced Security) и оснастками IP-безопасности теперь поддерживает настройку политик IPsec для трафика IPv6 аналогично трафику IPv4. Например, при настройке IP-фильтра в списке IP-фильтров в оснастке Политики IP-безопасности теперь можно указывать адреса IPv6 и префиксы адресов при задании особого IP-адреса источника или назначения.

   

• MLDv2

  Multicast Listener Discovery версии 2 (MLDv2), определенный в RFC 3810, обеспечивает поддержку многоадресного трафика в зависимости от источника. MLDv2 эквивалентен Internet Group Management Protocol версии 3 (IGMPv3) для IPv4.

• LLMNR

  Разрешение имен в локальной сети с использованием многоадресной передачи (LLMNR) позволяет узлам IPv6 разрешать имена друг друга в единой подсети без DNS-сервера. Данная возможность может быть полезна в домашних сетях с одной подсетью и беспроводных сетях без точки доступа (ad hoc).

• IPv6 через PPP

  Теперь встроенный клиент удаленного доступа поддерживает IPv6 через протокол "точка-точка" (PPP) (PPPv6), как это определено в RFC 2472. Собственный трафик IPv6 теперь можно пересылать через подключения на основе PPP. Например, поддержка PPPv6 позволяет подключаться к поставщику Интернет-услуг на основе IPv6 (ISP) посредством соединения по телефонной линии или подключений на основе PPP через Ethernet (PPPoE), которые можно использовать для широкополосного доступа в сеть Интернет.

• Случайные идентификаторы интерфейсов для адресов IPv6

  Для предотвращения сканирования адресов IPv6 с использованием известных идентификаторов производителей сетевых адаптеров, Windows Server "Longhorn" и Windows Vista по умолчанию генерируют случайные идентификаторы интерфейсов для невременных, автоматически сконфигурированных адресов IPv6, включая публичные и локальные адреса. В системах Windows XP и Windows Server 2003 используются идентификаторы интерфейсов на основе Расширенного уникального идентификатора (EUI)-64 для автоматически сконфигурированных адресов IPv6.

• Поддержка DHCPv6

  В системы Windows Server "Longhorn" и Windows Vista включена служба "DHCP-клиент" с поддержкой DHCPv6, которая будет осуществлять автоматическую конфигурацию адресов с использованием сервера DHCPv6 с хранением адресов.

Качество обслуживания на основе политик

В Windows Server 2003 и Windows XP функциональность качества обслуживания (QoS) приложений обеспечивается через интерфейсы API универсального QoS (GQoS). Приложения, использующие интерфейсы API GQoS, могут получить доступ к приоритетным функциям доставки. В Windows Server "Longhorn" и Windows Vista предусмотрены новые функции для управления трафиком как корпоративной, так и домашней сети.

QoS на основе политик для корпоративных сетей

Политики QoS в Windows Server "Longhorn" и Windows Vista позволяют ИТ-персоналу как определять приоритеты, так и управлять скоростью отправки трафика исходящей сети, который можно ограничить для определенных приложений, источника и IP-адресов назначения, и особых портов TCP или UDP источника и назначения. Настройки политики QoS являются частью групповой политики Конфигурации пользователей или Конфигурации компьютеров. Настройки задаются с помощью Редактора объектов групповой политики и связываются с контейнерами службы каталогов Active Directory® (домены, сайты и подразделения) с помощью Консоли управления групповой политикой (Group Policy Management Console). Политики QoS можно применять к пользователям или компьютерам, которые являются членами домена, сайта или подразделения.

Для настройки использования полосы пропускания можно настроить политику QoS с помощью уровня расхода исходящего трафика. С помощью расхода политика QoS ограничит совокупный трафик исходящей сети до определенного уровня. Для указания приоритетной доставки трафик отмечается настроенным значением Differentiated Services Code Point (DSCP). Маршрутизаторы в инфраструктуре сети могут помещать отмеченные DSCP пакеты в различные очереди для дифференцированной доставки. Для эффективного управления трафиком возможно совместное использование отметок DSCP и расхода. Поскольку расход и отметка приоритета определяются на сетевом уровне, изменять приложения не нужно.

Дополнительные настройки QoS на основе политик позволяют косвенно контролировать входящие данные TCP, указывая максимальный размер окна получения TCP (размер по умолчанию 16 MБ), и определять возможность для приложения задавать значения DSCP (разрешено по умолчанию).

qWave для домашних сетей

Так как домашние сети все чаще используются одновременно приложениями, работающими с данными и аудио/видео (A/V) приложениями, необходимо решение QoS, направленное на обслуживание зависящего от времени A/V трафика с высшим приоритетом по сравнению с трафиком данных. Кроме того, растет количество беспроводных домашних сетей, что создает дополнительные трудности, связанные с задержкой и приложениями, чувствительными к ширине пропускания. Windows Vista поддерживает Quality Windows Audio/Video Experience (qWave), набор модулей программного обеспечения, связанных с QoS, которые направлены на решение сетевых проблем, возникающих из-за использования приложений A/V и беспроводных сетей. qWave интегрировано в сетевой стек как часть подсистемы QoS и работает с несколькими сетями и технологиями приоритета пакетов канального уровня для одновременной поддержки нескольких потоков A/V (потоки в реальном времени, для которых необходимо QoS) и потоков данных (наилучшие потоки, например, электронная почта или передача файлов) в домашней сети, обеспечивая при этом высококачественную работу приложений.

При использовании ряда технологий qWave определяется и контролируется полоса пропускания ЛВС, определяется QoS домашней сети и обеспечивается распределенное управление доступом для справедливого и согласованного использования полосы пропускания сети. Данные технологии обеспечивают улучшенные методы потоковой передачи данных AV, чтобы приложения могли динамически приспосабливаться к изменяющимся условиям сети.

Блок сообщений сервера Server Message Block 2.0

Блок сообщений сервера Server Message Block (SMB), также известный как Общая файловая система для сети Интернет (Common Internet File System - CIFS), является протоколом совместного использования файлов по умолчанию в компьютерах на базе Windows. Windows включает в себя клиента SMB (компонент Клиент Microsoft Windows, установленный через свойства сетевого подключения) и сервер SMB (Совместное использование файлов и принтеров компонента Microsoft Windows, установленное через свойства сетевого подключения). SMB в версиях Windows до Windows Server “Longhorn” и Windows Vista, известный как SMB 1.0, изначально был разработан 15 лет назад для таких ранних операционных систем на базе Windows, как Microsoft LAN Manager и Windows for Workgroups, и в нем сохранились ограничения первоначальной разработки.

SMB в Windows Server “Longhorn” и Windows Vista также поддерживает SMB 2.0; новую версию SMB, которая была переработана для современных сетевых сред и потребностей следующего поколения файловых серверов. Усовершенствования SMB 2.0 включают следующее:

• Поддержка отправки нескольких команд SMB в одном пакете. Благодаря этому уменьшается количество пакетов, отправляемых между клиентом SMB и сервером, на что обычно жаловались пользователи SMB 1.0.

• Поддержка больших размеров буфера по сравнению с SMB 1.0.

• Увеличение ограничивающих постоянных в модели протокола для обеспечения масштабируемости. Примерами являются увеличение количества идентификаторов одновременно открытых файлов на сервере и количество файлов, к которым можно обеспечить доступ на сервере.

• Поддержка надежных идентификаторов, которые могут выдерживать короткие перерывы доступа к сети.

• Поддержка символических ссылок.

В компьютерах с Windows Server “Longhorn” или Windows Vista поддерживается как SMB 1.0, так и SMB 2.0. Версия SMB для операций совместного использования файлов определяется во время сеанса согласования SMB. В следующей таблице показано, какая версия SMB используется для различных комбинаций клиентских и серверных компьютеров.

Усовершенствования http.sys

Http.sys, драйвер режима ядра, обслуживающий трафик Hypertext Transfer Protocol (HTTP), улучшен в Windows Server "Longhorn" и Windows Vista в следующих областях:

• Сервер HTTP API 2.0

• Проверка подлинности на стороне сервера

• Ведение журнала

• Отслеживание ETW для событий HTTP

• Команды Netsh

• Счетчики производительности

Сервер HTTP API 2.0

Сервер HTTP API - это драйвер протокола HTTP режима ядра с API пользовательского режима через Httpapi.dll. API сервера HTTP позволяют серверному приложению регистрировать URL HTTP, получать запросы и обрабатывать ответы. API сервера HTTP включают в себя:

• Простая в использовании функциональность прослушивателя HTTP в Windows как с собственными, так и управляемыми Windows .NET приложениями.

• Приложения могут использовать интерфейс API сервера HTTP для совместной работы и совместного доступа к портам TCP с помощью Internet Information Services (IIS) 6.0. В результате этого появляется возможность одновременного использования таких популярных портов TCP Web-трафика, как 80 и 443, приложениями на основе API сервера HTTP и IIS 6.0, до тех пор, пока они обрабатывают различные части пространства имени URL.

• Собственный стек HTTP для компьютеров с операционной системой Windows, что отвечает требованиям HTTP/1.1.

• Новые API для настройки сервера HTTP: проверка подлинности, расход полосы пропускания, ведение журнала, ограничения подключения, состояние сервера, ответы 503, очереди запросов, кэширование ответов и привязки SSL-сертификатов.

Проверка подлинности на стороне сервера

Http.sys выполняет проверку подлинности на стороне сервера. До настоящего времени серверные приложения выполняли свою собственную проверку подлинности. Преимущества Http.sys, обеспечивающие проверку подлинности на стороне сервера, заключаются в следующем:

• Серверные приложения могут работать в менее привилегированных учетных записях.

• Серверные приложения могут работать в разных учетных записях, поскольку теперь Http.sys выполняет свою проверку подлинности Service Principle Name (SPN).

• Плавная синхронизация проверки подлинности NTLM не приводит к перезапуску процесса синхронизации.

Ведение журнала

В настоящий момент Http.sys обеспечивает централизованное ведение журнала World Wide Web Consortium (W3C), при которой в одном системном журнале хранятся записи всех веб-узлов серверного приложения, например, IIS. Идентификационные поля веб-узла в централизованном системном журнале определяют веб-узел, которому принадлежат записи журнала.

Отслеживание ETW для событий HTTP

Отслеживание событий для Windows (ETW) - это способность Windows получать информацию о компонентах и событиях, которые обычно записываются в системные журналы. Системные журналы ETW значительно упрощают устранение проблем. При отслеживании также возможно обнаружение общих проблем, при котором идентификатор действия (Activity ID) указывает на рабочий процесс между операциями. Http.sys поддерживает отслеживание следующих категорий:

• Запросы и ответы HTTP

• Транзакции SSL и проверки подлинности

• События ведения журнала

• Подключения и таймеры подключений

• Кэш

• Установка службы или приложения; настройка или удаление свойств

• На основе идентификатора действия, в том числе, между другими компонентами с включенным ETW

Для каждой категории отслеживания Http.sys поддерживает четыре уровня информации: Ошибка, Предупреждение, Информационное сообщение и Подробное сообщение. Отслеживание Http.sys можно использовать в качестве улучшенного инструмента устранения неисправностей для получения информации о процессах и режиме работы Http.sys.

Чтобы начать сеанс отслеживания ETW для Http.sys необходимо сделать следующее:

1. Создать папку для хранения файлов отслеживания. В этой папке создать файл с названием Httptrace.txt следующего содержания:

   "Microsoft-Windows-HttpService" 0xFFFF
   
   

2. Для начала отслеживания необходимо выполнить следующую команду:

   logman start "http trace" -pf httptrace.txt -o httptrace.etl -ets
   
   

3. Выполните действия или тестирование, которые необходимо отследить.

Чтобы завершить сеанс отслеживания ETW для Http.sys необходимо выполнить следующую команду:

logman stop "http trace" -ets

В папке должен появиться файл отслеживания Httptrace.etl. Этот файл можно преобразовать в формат XML, HTML или файл CSV с помощью инструмента Tracerpt.exe. Например, для преобразования содержимого файла Httptrace.etl в файл CSV необходимо выполнить следующую команду:

tracerpt httptrace.etl -y -o httptrace.csv

После этого файлы CSV можно просмотреть в текстовом редакторе или приложении для работы с электронным таблицами.

Команды Netsh для Http.sys

Теперь имеется возможность управлять настройками конфигурации и выполнять контроль диагностики для Http.sys с помощью набора команд в контексте netsh http. Netsh - это инструмент командной строки, который используется многими другими сетевыми службами Windows, например, IPsec и службой маршрутизации и удаленного доступа (Routing and Remote Access). С помощью такой поддержки командной строки Windows теперь можно выполнять следующие действия:

• Конфигурировать привязки SSL-сертификатов, URL-резервирований, списков прослушивания IP или глобальных таймаутов

• Удалять или очищать кэш HTTP или буферы журналов

• Отображать службу Http.sys или состояние кэша

Счетчики производительности для Http.sys

Http.sys теперь имеет следующие метрические счетчики производительности, которые облегчают контроль, диагностику и планирование пропускной способности для веб-серверов:

• Счетчики службы HTTP

  • Количество URI в кэше, добавленных с момента запуска, удаленных с момента запуска и количество очисток кэша

  • Удачное/неудачное обращение к кэшу за секунду

• URL-группы службы HTTP

  • Скорость отправки данных, скорость приема данных, переданные (отправленные и полученные) байты

  • Максимальное количество соединений, частота попыток соединения, частота запросов GET и HEAD и общее количество запросов

• Очереди запросов службы HTTP

  • Количество запросов в очереди, срок запросов, поступивших в очередь первыми

  • Скорость поступления запросов в очередь, частота отказов, общее количество отказов на запросы, частота удачных обращений к кэшу

С помощью этих новых счетчиков производительности метрику можно просматривать через оснастку Diagnostic Console

Усовершенствования WinINet

Системы Windows Server "Longhorn" и Windows Vista содержат следующие усовершенствования программного интерфейса WinINet:

• Поддержка литералов IPv6 и идентификаторов области видимости

• Поддержка декодирования HTTP

• Поддержка международных доменных имен (Internationalized Domain Names)

• Поддержка отслеживания ETW

• Поддержка IPv6 в сценариях автоматического обнаружения прокси-сервера в веб-сети (Web Proxy Auto-Discovery)

Поддержка литералов IPv6 и идентификаторов области видимости

Теперь WinINet поддерживает RFC 2732 и использование литеральных адресов IPv6 в URL-адресах. Например, для соединения с веб-сервером по IPv6-адресу 2001:db8:100:2a5f::1, пользователь с веб-браузером на основе WinINet (например, Internet Explorer) может в качестве адреса ввести http://[2001:db8:100:2a5f::1]. Несмотря на то, что обычно пользователи не применяют литеральные IPv6-адреса, возможность использования IPv6-адреса в URL является очень полезным инструментом для разработчиков приложений, тестировщиков программного обеспечения и специалистов по устранению неполадок в сети. WinINet также поддерживает кодировку IPv6-идентификатора области видимости (также известного под названием идентификатор зоны), который может являться частью адреса и позволяет пользователям указать область для IPv6-адреса назначения.

Поддержка декодирования HTTP

Теперь WinINet включает встроенную поддержку для схем кодирования gzip и deflate content. Обработка декомпрессии через WinINet уменьшает количество задач сжатия/декодирования в обмене между веб-браузерами и веб-серверами и приводит к улучшению показателей производительности за счет снижения времени загрузки веб-страницы. Это крайне эффективно для пользователей, которые имеют соединение с небольшой полосой пропускания, например, для пользователей Интернет, использующих соединение по телефонной линии.

Поддержка международных доменных имен (Internationalized Domain Names)

Теперь WinINet соответствует стандарту Internationalized Domain Names (IDN) (RFC 3490) для имен хостов при использовании Unicode-версий программного интерфейса WinINet. Эта новая поддержка обеспечивает правильную работу приложений с доменными именами, содержащими символы, не входящие в ASCII, без необходимости использования поддержки IDN внутри веб-приложения, установки подключаемых модулей сторонних производителей или промежуточных узлов на сетевом пути связи.

Поддержка отслеживания ETW

Теперь WinINet поддерживает отслеживание ETW, что позволяет специалистам справочной службы и поддержки получать подробную информацию о процессах и событиях при решении задач определения источника проблемы протокола или приложения. За счет включения идентификаторов для всех событий WinINet можно построить цепь трассировок ETW, которые охватывают весь сетевой стек, используя идентификаторы для связывания трассировок от смежных сетевых уровней. Для получения дополнительных сведений об отслеживании ETW

Поддержка IPv6 в сценариях автоматического обнаружения прокси-сервера в веб-сети (Web Proxy Auto-Discovery)

Вспомогательные функции сценария автоматического обнаружения прокси-сервера в веб-сети (WPAD), открытые для пользователя через WinINet, были обновлены, и сейчас включают адреса IPv6 и префиксы подсети. Сценарии WPAD, в которых используются вспомогательные программные интерфейсы для прокси-сервера: dnsResolve(), myIpAddress(), isInNet() и isResolvable(), теперь могут получать информацию IPv6 из WinINet.

Усовершенствования WinHTTP

Обновления API WinHTTP 5.1 в системах Windows Server "Longhorn" и Windows Vista включают следующее:

• Поддержка отгрузки данных объемом больше 4 гигабайт

• Поддержка кодировки передачи частями

• Поддержка извлечения списка служб-издателей для проверки подлинности клиента на основе SSL.

• Поддержка необязательных запросов сертификата клиента

• Поддержка определения информации соединения с кортежем в 4 элемента

• Новые коды ошибок для проверки подлинности клиента SSL

• Поддержка IPv6 в сценариях WPAD

Поддержка отгрузки данных объемом больше 4 гигабайт

Теперь с помощью WinHTTP приложения могут добавлять заголовок “Content-Length” (Содержание-Длина) для указания значения длины данных до 264 байтов.

Поддержка кодировки передачи частями

Теперь WinHTTP позволяет приложениям выполнять кодировку данных для передачи частями и отправлять их с использованием программного интерфейса WinHttpWriteData(). WinHTTP определит наличие заголовка “Transfer-Encoding” ("Передача-Кодировка") и выполнит внутреннюю корректировку, чтобы обеспечить соответствие передачи спецификации HTTP 1.1.

Поддержка извлечения списка служб-издателей для проверки подлинности клиента на основе SSL.

Теперь с помощью WinHTTP приложения могут извлекать список служб-издателей, который связан с задачей проверки подлинности клиента. В списке служб-издателей указан список центров сертификации (ЦС), которым сервер предоставляет право выдавать сертификаты клиентам. C помощью этой новой поддержки WinHTTP-приложение может правильно определить сертификат клиента, который необходимо использовать при проверке подлинности клиента.

Поддержка необязательных запросов сертификата клиента

Некоторые защищенные веб-узлы HTTP запрашивают сертификат клиента, но не требуют его. Если у клиента нет сертификата клиента для ответа на запрос, то сервер может использовать другие типы проверки подлинности HTTP или может разрешить анонимный вход. Для поддержки взаимодействия с такими серверными конфигурациями WinHTTP теперь позволяет приложению предоставлять нулевой (NULL) сертификат клиента для указания серверу, что у клиента нет сертификата клиента для проверки подлинности по SSL.

Поддержка определения информации соединения с кортежем в 4 элемента

По завершении работы программного интерфейса WinHttpReceiveResponse() теперь WinHTTP позволяет приложению запрашивать IP/порт источника и IP/порт назначения, связанные с запросом HTTP, на который дается ответ.

Новые коды ошибок для проверки подлинности клиента SSL

Теперь WinHTTP включает коды ошибок для следующих распространенных ошибок при проверке подлинности клиента SSL:

• Сертификат клиента не имеет связанного закрытого ключа, что обычно обусловлено импортом сертификата клиента без закрытого ключа.

• Поток приложения, который вызывает WinHttpSendRequest() или WinHttpReceiveResponse(), не имеет привилегий для доступа к закрытому ключу, связанному с предоставленным сертификатом клиента. Проверка того, что список управления доступом (ACL) для закрытого ключа разрешает приложению получить к нему доступ.

Поддержка IPv6 в сценариях WPAD

Вспомогательные функции сценария WPAD, открытые для пользователя через WinINet, были обновлены, и теперь включают адреса IPv6 и префиксы подсети. Сценарии WPAD, в которых используются вспомогательные программные интерфейсы для прокси-сервера: dnsResolve(), myIpAddress(), isInNet() и isResolvable(), теперь могут получать информацию IPv6 из WinHTTP. Дополнительные сведения о WPAD

Усовершенствования Windows Sockets

Поддержка Windows Sockets (Winsock) была обновлена в отношении следующих аспектов:

• Новые программные интерфейсы Winsock

• Отслеживание ETW для событий Winsock

• Усовершенствования Layered Service Provider

• Модуль Winsock Network Diagnostics Framework

• Sockets API с новым режимом ядра

Новые программные интерфейсы Winsock

В Windows Server "Longhorn" и Windows Vista имеются следующие новые Winsock API:

• WSAConnectByName() Создание подключения к определенному месту назначения с присвоением названия узлу назначения. WSAConnectByName() принимает все адреса назначения, возвращенных по разрешению имен, все локальные адреса и предпринимает попытки подключения, используя пары адресов с наибольшей вероятностью успешного подключения. Обеспечиваемый транспортом оптимальный алгоритм спаривания определяет порядок пар адресов. WSAConnectByName() обеспечивает установление подключения (если возможно) за минимальный промежуток времени.

• WSAConnectByList() Создание подключения к определенному месту назначения, со списком IP-адресов назначения. WSAConnectByList принимает список адресов M и адресов N локального компьютера и пытается подключиться, используя до M x N комбинаций адреса, до возникновения ошибки соединения.

Отслеживание ETW для событий Winsock

• Далее приведены некоторые события Winsock, которые можно отследить с помощью отслеживания ETW:

• Создание Socket

• Привязка

• Подключение

• Принятие

• Отправка

• Прием

• Отмена указаний

Отслеживание ETW для событий Winsock можно включить с помощью следующего:

• Оснастка Event Viewer

• Инструменты Logman.exe и Tracerpt.exe

Для включения отслеживания ETW для событий Winsock с помощью оснастки Event Viewer выполните следующее:

1. Запустите инструмент Run the Event Viewer в папке Administrative Tools.

2. В дереве оснастки Event Viewer откройте Application Logs, затем Microsoft-Windows-Winsock-AFD.

3. Щелкните элемент Winsock/AFD.

4. В области Action щелкните Log Properties.

5. В диалоговом окне Log Properties щелкните Enable Logging, затем щелкните OK.

Для просмотра событий в области Action щелкните Refresh. Для выключения режима ведения журнала снимите флажок Enable Logging в диалоговом окне Log Properties для элемента Winsock/AFD.

Возможно, потребуется увеличение размера журнала в зависимости от количества событий, которые необходимо просматривать.

для включения отслеживания ETW для событий Winsock с помощью инструмента Logman.exe необходимо выполнить следующие команды:

logman create trace afdlog –o LogFileLocation
logman update afdlog –p “Microsoft-Windows-Winsock-AFD”
logman start afdlog

Двоичный системный журнал будет записан в LogFileLocation. Для преобразования двоичного файла, записанного инструментом Logman.exe, в удобочитаемый текст воспользуйтесь инструментом Tracerpt.exe. Например, выполните следующую команду:

tracerpt.exe c:\afdlog.etl –o afdlog.txt

Для приостановки ведения журнала выполните следующую команду:

logman stop afdlog

Усовершенствования Layered Service Provider

Поддержка Winsock Layered Service Provider (LSP) в Windows Server "Longhorn" и Windows Vista усовершенствована в следующих областях:

• Установка и удаление LSP записываются в журнал системных событий для того, чтобы упростить определение приложений, устанавливающих LSP, и устранение проблем, связанных с ошибками установки LSP. Для просмотра событий, записанных в журнал, в консольном окне выполните команду netsh winsock audit trail.

• Существует новый API установки (WSCInstallProviderAndChains), который поставщики программного обеспечения могут использовать для установки LSP в каталог Winsock. Установка LSP вручную выполняется с помощью ряда функций Winsock, однако при неправильных действиях каталог Winsock LSP может остаться в рассогласованном состоянии. Использование данного нового API сэкономит для поставщика программного обеспечения, разрабатывающего LSP, сотни строк кода.

• Предусмотрены новые функции категоризации LSP и удаления большинства LSP из пути обработки для критических системных служб. Эти новые функции обеспечивают более стабильную работу Windows, защищая критические системные службы от неправильно спроектированных LSP.

• Предусмотрен модуль диагностики Winsock для Network Diagnostics Framework, предоставляющий пользователям возможность выборочно восстанавливать каталог Winsock, удаляя только те LSP, которые являются причиной проблемы.

   

Sockets API с новым режимом ядра

Сетевая архитектура Windows Server "Longhorn" и Windows Vista включает в себя новый интерфейс под названием Winsock Kernel (WSK). WSK - это новый интерфейс Network Programming Interface (NPI) для клиентов TDI с не зависящим от транспорта режимом ядра. При использовании WSK модули программного обеспечения режима ядра могут выполнять сетевую связь с помощью семантики программирования по типу сокета, подобной модулям, поддерживаемым в пользовательском режиме Windows Sockets 2 API. Так как TDI поддерживается в Windows Vista для обратной совместимости, клиентам TDI необходимо произвести обновление для возможности использования WSK и достижения наилучшей производительности.

NDIS 6.0

Windows Server "Longhorn" и Windows Vista включают в себя Network Driver Interface Specification (NDIS) 6.0. NDIS определяет стандартный интерфейс между сетевыми драйверами режима ядра и операционной системой. NDIS также определяет стандартный интерфейс между уровневыми сетевыми драйверами, драйверами низкого уровня реферирования, которые управляют аппаратным обеспечением от таких драйверов высокого уровня, как сетевые транспорты. Для получения дополнительных сведений о NDIS 6.0

NDIS 6.0 включает в себя следующие функции:

• Новая поддержка разгрузки

• Поддержка облегченных драйверов фильтра

• Масштабируемость на стороне получателя

Новая поддержка разгрузки

NDIS 6.0 включает в себя следующую новую поддержку функций по обработке сетевого трафика разгрузки для сетевых адаптеров:

• Разгрузка трафика IPv6 NDIS 5.1 в Windows Server 2003 и Windows XP теперь поддерживает разгрузку обработки трафика IPv4. NDIS 6.0 теперь поддерживает разгрузку обработки трафика IPv6.

• Разгрузка контрольной суммы поддерживает IPv6 Теперь поддерживается разгрузка вычислений контрольной суммы для трафика IPv6.

• Large Send Offload версии 2 NDIS 5.1 теперь поддерживает Large Segment Offload (LSO), которая разгружает сегментацию данных TCP для блоков данных размером до 64 килобайт (KБ). Large Send Offload версии 2 (LSOv2) в NDIS 6.0 позволяет разгрузить сегментацию данных TCP для блоков данных размером более 64 килобайт (KБ).

Поддержка облегченных драйверов фильтра

В NDIS 6.0, промежуточные драйверы фильтра заменены драйверами Lightweight Filter (LWF), которые являются комбинацией промежуточного драйвера NDIS и драйвера минипорта. Драйвера LWF обладают следующими преимуществами:

• Теперь больше нет необходимости в написании отдельного протокола и минипорта. Все эти функции содержатся в одном драйвере.

• Драйверы LWF можно добавлять или удалять из стека без разрыва существующих соединений.

• Улучшенная производительность.

• Режим транзитной передачи позволяет драйверу LWF анализировать только выбранные пути управления и данных.

Примером промежуточного драйвера фильтра, который был преобразован в драйвер LWF, является Pacer.sys, ранее известный как Psched.sys. Он обладает аналогичной функциональностью, однако повышает производительность, появляющуюся в связи с внедрением NDIS 6.0.

Масштабируемость на стороне получателя

В архитектуре многопроцессорных компьютеров на базе Windows Server 2003 или Windows XP сетевой адаптер связан с одним процессором. Один процессор должен обрабатывать весь трафик, получаемый сетевым адаптером, независимо от наличия другого процессора. Результатом использования этой архитектуры для таких серверов большого объема, как веб-серверы для сети Интернет или корпоративные файловые серверы, является ограничение количества трафика и числа соединений, которые может обслужить процессор, связанный с сетевым адаптером. Если процессор, связанный с сетевым адаптером, не способен достаточно быстро обработать входящий трафик, сетевой адаптер отбрасывает трафик, что приводит к повторным передачам и снижению производительности.

В Windows Server "Longhorn" и Windows Vista сетевой адаптер не связан с одним процессором. Напротив, обработка входящего трафика распределяется среди процессоров компьютера. Эта новая функция под названием Receive-side Scaling, позволяет сетевому адаптеру на сервере большого объема получить намного больше трафика. Теперь многопроцессорный компьютер способен обработать больше входящего трафика без установки серверов, что приводит к снижению затрат. Для того чтобы воспользоваться этой новой функцией, необходимо установить сетевые адаптеры, совместимые с Receive-side Scaling, которые обеспечат преимущество новой архитектуры Windows Server "Longhorn" и Windows Vista. Сетевые адаптеры, совместимые с Receive-side Scaling, предлагаются многими поставщиками сетевых адаптеров.

Система распознавания наличия сетевых средств (Network Awareness)

Особую сложность для разработчиков представляло создание приложений, которые могли бы автоматически адаптироваться к изменяющимся сетевым условиям. API cистемы распознавания наличия сетевых средств в Windows Vista позволяют приложениям выполнять следующее:

• Регистрация Windows Vista для получения информации об изменениях сети, к которой подключен компьютер.

  Например, пользователь переводит портативный компьютер в режим ожидания на работе, а затем открывает его около беспроводной точки доступа. После предупреждения об изменениях сети Windows Vista, приложения могут автоматически настраиваться или работать по-разному для обеспечения более плавного функционирования приложений.

• Запрос Windows Vista на предмет характеристик текущей подключенной сети для определения настроек приложения и режима работы. Характеристики включают следующее:

  • Возможность соединения Сеть может быть отключена, она может обеспечивать доступ только в локальную сеть или доступ в локальную сеть и Интернет.

  • Подключения Компьютер может быть подключен к сети через одно или несколько подключений (например, сетевые адаптеры). API системы распознавания наличия сетевых средств позволяют приложениям определить подключения, которые в текущий момент использует Windows Vista для подключения к сети.

  • Тип размещения (также известно как Категория) Приложение может автоматически настраиваться в зависимости от типа сетевого расположения Windows Vista.

Разработчики могут усовершенствовать свои приложения Windows Vista для различных видов возможности соединения, подключений и типов сетевого расположения, не создавая собственные компоненты определения сети. API системы распознавания наличия сетевых средств позволяют разработчикам сосредоточить свое внимание на функциях, которые делают сетевое соединение незаметным для пользователя, а не указывают подробности определения сети нижнего уровня.

Усовершенствования Windows для одноранговой сети (Windows Peer-to-Peer Networking)

Средства Windows для одноранговой сети (Windows Peer-to-Peer Networking) изначально вошли в Advanced Networking Pack (Расширенный сетевой пакет) для Windows XP и являются системной платформой и программным интерфейсом API в системе Windows Vista, которая делает возможным развитие одноранговых (P2P) приложений. В систему Windows Vista включены следующие усовершенствования средств Windows для одноранговой сети (Windows Peer-to-Peer Networking):

• Новый, удобный в использовании API-интерфейс Программные интерфейсы API для доступа к средствам Windows для одноранговой сети (Windows Peer-to-Peer Networking), например, к разрешению имен, созданию групп и средствам безопасности, были значительно упрощены в системе Windows Vista, в результате чего P2P-приложения работают в Windows эффективней.

• Новая версия PNRP В Windows Vista включена версия 2 Протокола разрешения имен одноранговых узлов (PNRP), которая обладает большей масштабируемостью и использует меньшую полосу пропускания. Для PNRP v2 в системе Windows Vista приложения средств Windows для одноранговой сети могут получать доступ к функциям публикации и разрешения имен PNRP через упрощенный программный интерфейс PNRP. В оптимально упрощенном разрешении имен PNRP в системе Windows Vista, PNRP-имена теперь интегрированы в функцию Windows Sockets getaddrinfo(). При использовании PNRP для преобразования имени в адрес IPv6 приложения могут пользоваться функцией getaddrinfo() для преобразования полного доменного имени (FQDN) name.prnp.net, в котором name - это имя однорангового узла, которое преобразуется. Домен pnrp.net - это зарезервированный домен в Windows Vista для разрешения имен PNRP. Протокол PNRP v2 несовместим с протоколом PNRP, используемом на компьютерах, работающих на Windows XP. Корпорация Microsoft проводит исследования в сфере разработки и выпуска обновления к компонентам средств Windows для одноранговой сети (Windows Peer-to-Peer Networking) в Windows XP с целью поддержки PNRP v2.

• Узлы рядом со мной (People Near Me) Новая возможность средств Windows для одноранговой сети (Windows Peer-to-Peer Networking) для Windows Vista, позволяющая выполнять динамическое обнаружение других пользователей в локальной подсети, их приложений, занесенных в реестр и обладающих функциональностью People Near Me, и легко приглашать пользователей к совместной деятельности. Отправка приглашения и его принятие приводят к запуску приложения на компьютере приглашенного пользователя, и оба приложения могут присоединяться к совместной деятельности. Например, пользователи могут общаться, обмениваться фотографиями или участвовать в играх.

• Windows Meeting Space Система Windows Vista включает компонент Windows Meeting Space (Место встречи Windows), новое приложение на основе P2P, которое позволяет пользователям удобно организовывать собрания и начинать совместную деятельность. Windows Meeting Space использует функциональность Windows для одноранговой сети.

• Поддержка конфигурации Netsh Теперь можно выполнять конфигурацию настроек средств Windows для одноранговой сети с помощью команд в контексте netsh p2p.

• Поддержка конфигурации групповой политики Теперь существует возможность конфигурировать настройки средств Windows для одноранговой сети через Computer Configuration\Administrative Templates\Network\Microsoft Peer-to-Peer Networking Services.

Брандмауэр Windows

Новый брандмауэр Windows в системах Windows Server "Longhorn" и Windows Vista имеет следующие усовершенствования по сравнению с используемым в настоящее время брандмауэром Windows в системе Windows XP с пакетом обновлений 2 и в системе Windows Server 2003 с пакетом обновлений 1:

• Поддержка фильтрации как входящего, так и исходящего трафика

  Администратор сети может указать в конфигурации брандмауэра Windows набор исключений для блокирования всего отправляемого трафика на определенные порты, например, хорошо известные порты, используемые вирусными программами, или на определенные адреса с сомнительным или нежелательным содержанием.

• Новый брандмауэр Windows с оснасткой Advanced Security Microsoft Management Console (MMC) для конфигурации графического интерфейса пользователя

  В новом брандмауэре Windows с оснасткой Advanced Security есть мастера для конфигурации исключений и правил безопасности. При конфигурации расширенных настроек брандмауэра Windows из командной строки можно использовать команды в контексте netsh advfirewall.

• Настройки фильтров брандмауэра и защиты IPsec интегрированы

  При использовании брандмауэра Windows с оснасткой Advanced Security можно настраивать как фильтры брандмауэра, так и правила защищенного трафика.

• Расширенные настройки конфигурации для исключений

  Конфигурацию исключений фильтров брандмауэра можно настроить для IP-адресов источника и назначения, номера протокола IP, протокола управления передачей (TCP) источника и назначения, портов протокола пользовательских дейтаграмм (UDP), всех или нескольких портов TCP или UDP, определенных типов интерфейсов, трафика ICMP и ICMP для IPv6 (ICMPv6) по типу и коду, а также для служб.

Усовершенствования IPsec

В Windows Server "Longhorn" и Windows Vista включены следующие улучшения безопасности Интернет-протокола (IPsec):

• Интегрированная конфигурация брандмауэра и IPsec

• Упрощенная конфигурация политики IPsec

• Защита IPsec Client-to-DC

• Улучшенная балансировка нагрузки и поддержка серверов кластера

• Улучшенная проверка подлинности IPsec

• Поддержка нового шифрования

• Интеграция с Network Access Protection

• Дополнительные параметры настройки для защищенной связи

• Интегрированная поддержка IPv4 и IPv6

• Расширенные события и счетчики контроля производительности

• Поддержка Network Diagnostics Framework

Интегрированная конфигурация брандмауэра и IPsec

В Windows Server 2003 и Windows XP компоненты и службы брандмауэра Windows и IPsec настраивались по отдельности. Несмотря на то, что назначением брандмауэра Windows было блокировать или разрешать входящий трафик, IPsec также возможно было настроить на блокирование или разрешение входящего трафика. Из-за того, что режим работы блокирования или разрешения входящего трафика можно было настроить с помощью двух разных независимых служб, возникала вероятность дублирования или несовместимости настроек. Кроме того, брандмауэр Windows и IPsec поддерживали разные параметры настройки для определения разрешенного входящего трафика. Например, брандмауэр Windows допускал исключения (разрешенный входящий трафик) через указание названия приложения, а IPsec подобного не предусматривал. IPsec допускал исключения на основе IP-номера, а в брандмауэре Windows подобного не было.

В Windows Server "Longhorn" и Windows Vista настройка брандмауэра Windows и IPsec объединены в один инструмент с новым брандмауэром Windows с оснасткой Advanced Security, который выполняет как традиционные функции брандмауэра (блокирование и разрешение как входящего, так и исходящего трафика), так и защиту трафика с помощью IPsec. Кроме того, команды в контексте netsh advfirewall можно использовать в настройке командной строки режима работы как брандмауэра, так и IPsec. Интеграция брандмауэра Windows и IPsec обеспечивает компьютеры на базе Windows Server "Longhorn" или Windows Vista брандмауэром проверки подлинности.

Упрощенная настройка политики IPsec

В Windows Server 2003 и Windows XP настройка политики IPsec во многих сценариях, например, Server and Domain Isolation, состоит из ряда правил для защиты большей части сетевого трафика в сети и другого ряда правил для исключений защищенного трафика. Исключения необходимы для незащищенной связи с такими серверами сетевой инфраструктуры, как серверы DHCP и DNS и контроллерами доменов. При запуске компьютера он должен иметь возможность получить IP-адрес, использовать DNS для поиска контроллера домена и присоединиться к домену до начала выполнения проверки подлинности Kerberos, чтобы аутентифицировать себя в качестве однорангового узла IPsec. Другие исключения необходимы для связи с сетевыми узлами, которые не поддерживают IPsec. В некоторых случаях существуют десятки или сотни исключений, что затрудняет установку защиты IPsec в корпоративной сети и ее поддержку в течение длительного времени.

IPsec в Windows Server "Longhorn" и Windows Vista предусматривает дополнительный режим работы при согласовании защиты IPsec. При включенном IPSec, если осуществляется подключение с другим сетевым узлом, узел IPsec на базе Windows Server "Longhorn" или Windows Vista попытается осуществить связь в незашифрованном виде и параллельно согласовать защищенную связь. Если устанавливающий подключение одноранговый узел IPsec не получит ответ на первоначальную попытку согласования, связь продолжится в незашифрованном виде. Если устанавливающий соединение одноранговый узел IPsec получит ответ на первоначальную попытку согласования, связь в незашифрованном виде приостанавливается до завершения согласования.

Благодаря этому дополнительному режиму работы и рекомендованной настройки с необходимым требованием защиты на установление входящей связи и запроса на защиту на установление исходящей связи, устанавливающий подключение узел определяет, поддерживает ли узел, с которым он осуществляет связь, IPsec, и работает ли он в надлежащем режиме, что значительно упрощает настройку политики IPsec. Например, для устанавливающего подключение узла нет необходимости в ряде предопределенных фильтров IPsec для исключений для некоторого количества узлов, которые не должны или не могут защитить сетевой трафик с помощью IPsec. Устанавливающий подключение узел параллельно пытается подключиться к защищенному и незащищенному каналу, и, если защищенное подключение невозможно, использует незащищенное подключение.

Этот новый режим согласования также улучшает производительность незащищенных подключений к узлам. Узел IPsec на базе Windows Server 2003 или Windows XP, настроенный на запрос защиты подключений, но разрешающий незащищенные подключение (такой режим работы известен как возврат к исходному состоянию), отправляет сообщения согласования и затем ожидает ответа. Время ожидания устанавливающего соединение узла до возврата к исходному состоянию и попытки установить незащищенные подключения составляло 3 секунды. В Windows Server "Longhorn" и Windows Vista теперь отсутствует задержка в 3 секунды при возврате к обычному состоянию, так как незащищенные подключения уже работают, пока устанавливающий узел ожидает ответ.

Защита Client-to-DC IPsec

В Windows Server 2003 и Windows XP в настоящее время корпорация Microsoft рекомендует избегать использования защиты IPsec для защиты трафика между контроллерами домена и компьютерами-членами домена (однако, Microsoft не рекомендует использовать защиту трафика между контроллерами домена). Причиной этого является чрезвычайно сложная настройка политики IPsec из-за различных типов трафика, пересылаемого между членами домена и контроллерами домена. Кроме того, существует проблема присоединения к домену. Если в контроллере домена требуется обеспечить защиту трафика с помощью IPsec от компьютеров, которые должны предоставить учетные данные на основе домена для проверки подлинности, компьютер, не являющийся членом домена, не может связаться с контроллером домена, чтобы присоединиться к нему.

Windows Server "Longhorn" и Windows Vista поддерживают защиту трафика между членами домена и контроллерами домена в следующих режимах развертывания:

• Благодаря новому режиму согласования, теперь не нужно осуществлять конфигурацию исключений для контроллеров домена, что упрощает политику IPsec и внедрение защиты IPsec в домене.

• Политику IPsec можно настроить в домене таким образом, чтобы обеспечить запрос на передачу защищенного трафика, но не требовать его.

  Контроллеры домена будут защищать большую часть трафика между членами домена, но обеспечат прозрачный текст для присоединения к домену и других типов трафика.

• Политику IPsec можно настроить так, чтобы посылать контроллерам домена запрос на передачу защищенного трафика.

  Когда компьютер с установленной системой Windows Longhorn "Server" или Windows Vista попытается присоединиться к домену, пользователю будет предоставлено диалоговое окно для ввода имени пользователя и пароля учетной записи в домене. IPsec с контроллером домена согласовывают данные пользователя с Windows NT/LAN Manager версии 2 (NTLM v2) для входа в защищенный домен. Такой новый режим работы доступен только для компьютеров-членов домена с установленной системой Windows Vista или Windows Server "Longhorn" и для контроллеров домена с системой Windows Server "Longhorn."

Улучшенная балансировка нагрузки и поддержка серверов кластера

IPsec в Windows Server 2003 поддерживает балансировку нагрузки и серверы кластера. Однако для возобновления соединения IPsec с виртуальным IP-адресом сервера необходимо следующее время:

• Обычно 3-6 секунд для административных перемещений кластерных ресурсов.

• До двух минут, когда кластерный узел внезапно становится недоступным или когда происходит другая внезапная потеря связи. Двумя минутами таймаута являются одна минута для истечения времени ожидания IPsec и одна минута для повторного согласования SA. Такое длительное время ожидания может привести к сбою активных TCP-соединений к кластеру.

В Windows Server “Longhorn” и Windows Vista время таймаута сбоя кластерного узла значительно уменьшено. IPsec в Windows Server “Longhorn” и Windows Vista более плотно интегрирован в стек TCP/IP следующего поколения. Вместо того, чтобы полагаться на таймауты времени ожидания IPsec для обнаружения сбоя кластерного узла, IPsec в Windows Server “Longhorn” и Windows Vista осуществляет мониторинг TCP-соединений для установленных SA. Если TCP-соединение для установленного SA начинает повторно передавать сегменты, IPsec осуществит повторное согласование SA. В результате, переключение на новый кластерный узел происходит быстрее, и этого времени достаточно, чтобы предотвратить сбой приложения.

Улучшенная проверка подлинности IPsec

IPsec в Windows Server 2003 и Windows XP поддерживает обмен ключами через Интернет (IKE) и три метода проверки подлинности в ходе согласования основного режима: Kerberos (для членов домена Active Directory), цифровые сертификаты и предварительный ключ. При использовании всех этих трех методов проверки подлинности осуществляется проверка идентификатора и надежности компьютера, а не пользователя компьютера. При использовании IKE осуществляется попытка проведения только одной проверки подлинности с применением одного метода проверки подлинности.

Windows Server "Longhorn" и Windows Vista поддерживают следующие функции проверки подлинности IPsec:

• Возможность требовать применение сертификата исправности при проверке подлинности одноранговых узлов IPsec

  Сервер сертификатов исправности выдает сертификат исправности, если клиент Network Access Protection докажет, что его состояние соответствует текущей политики исправности. Для получения дополнительных сведений о платформе защиты доступа в сеть см. "Защита доступа в сеть (Network Access Protection)" в данной статье.

• Возможность указывать метод проверки подлинности (либо на основе пользователя, либо на основе исправности) в ходе второй проверки подлинности

  IPsec в Windows Server "Longhorn" и Windows Vista позволяет осуществлять вторую проверку подлинности для связи с защитой IPsec. При второй проверке подлинности, IPsec в Windows Server "Longhorn" и Windows Vista может обеспечивать дополнительный уровень проверки подлинности. Учетные данные, используемые в ходе второй проверки подлинности, могут основываться на следующем:

  • Учетные данные Kerberos пользователя, осуществившего вход в систему

  • Учетные данные NTLM v2 пользователя, осуществившего вход в систему

  • Сертификат пользователя

  • Сертификат исправности компьютера

  Вторая проверка подлинности может осуществляться с использованием первой проверки подлинности или без таковой. Например, первую проверку подлинности и учетные данные Kerberos можно использовать для проверки подлинности компьютера, а вторую проверку подлинности и сертификат исправности - для подтверждения исправного состояния компьютера.

• Использование нескольких методов проверки подлинности

  В Windows Server 2003 и Windows XP можно выбрать в порядке предпочтения несколько методов проверки подлинности для проверки подлинности основного режима IPsec. Однако для проверки подлинности используется только один метод. Если процесс проверки подлинности по согласованному методу проверки подлинности завершился неудачно, основной режим не включается, и защита IPsec не осуществляется. При выборе нескольких методов проверки подлинности для компьютеров с системами Windows Server "Longhorn" или Windows Vista, IPsec будет пытаться использовать несколько методов проверки для осуществления взаимной проверки подлинности. Например, если указать, что необходимо осуществлять проверку подлинности с использованием Kerberos и сертификатов компьютера, выданных определенным центром сертификации (CA) (в данной последовательности), одноранговый узел IPsec может не пройти проверку Kerberos, но после этого попытается осуществить проверку подлинности с использованием сертификата.

Поддержка нового шифрования

В ответ на требования правительства по обеспечению безопасности и тенденциям по поддержке более сильной криптографии, в Windows Server “Longhorn” и Windows Vista поддерживаются дополнительные алгоритмы выработки ключа и шифрования.

Windows Server "Longhorn" и Windows Vista поддерживают следующие дополнительные алгоритмы для согласования материала главного ключа, выработанного в ходе согласования основного режима:

• Diffie-Hellman (DH) Group 19, являющийся алгоритмом эллиптической кривой с использованием группы 256-битной случайной кривой (NIST identifier P-256)

• DH Group 20, являющийся алгоритмом эллиптической кривой с использованием группы 384-битной случайной кривой (NIST identifier P-384)

Эти методы являются более надежными по сравнению с алгоритмами DH-768, DH-1024 и DH-2048, используемыми в Windows Server 2003 и Windows XP с пакетом обновлений 2, и включены в Windows Server "Longhorn" и Windows Vista. Для получения дополнительных сведений по данным алгоритмам см. проект документа группы IETF “Группы ECP для IKE и IKEv2.” Эти новые алгоритмы DH нельзя использовать для согласования основного режима на компьютере с системой Windows Server 2003, Windows XP или Windows 2000.

В дополнение к стандарту шифрования данных (DES) и Triple-DES (3DES), Windows Server "Longhorn" и Windows Vista поддерживают следующие алгоритмы шифрования данных:

• Улучшенный стандарт шифрования (AES) с поблочной передачей зашифрованного текста (CBC) и 128-битным размером ключа (AES 128)

• AES с CBC и 192-битным размером ключа (AES 192)

• AES с CBC и 256-битным размером ключа (AES 256)

Эти новые алгоритмы шифрования невозможно использовать для обеспечения безопасной связи с компьютером с системой Windows Server 2003, Windows XP или Windows 2000.

Интеграция с Network Access Protection

При использовании новой платформы Network Access Protection можно потребовать от узлов IPsec провести вторую проверку подлинности с использованием сертификата исправности для проверки соответствия узла IPsec текущим требованиям системной исправности. Сервер сертификатов исправности выдает сертификат исправности после проверки состояния исправности однорангового узла IPsec с помощью сервера сетевой политики (NPS). Для получения дополнительных сведений см. раздел "Защита доступа в сеть (Network Access Protection)" в данной статье.

Дополнительные параметры настройки для обеспечения защищенной связи

При настройке политики IPsec с помощью нового брандмауэра Windows и оснастки Advanced Security можно настраивать защищенную связь с использованием следующих новых параметров:

• По имени приложения Это значительно упрощает настройку защищенного трафика, так как нет необходимости вручную настраивать порты, используемые приложением.

• Все или несколько портов Теперь можно указать все порты TCP или UDP или несколько портов TCP или UDP в списке с разделяющими запятыми, что упрощает настройку.

• Для всех адресов в числовом диапазоне Теперь можно указать диапазон IP-адресов с помощью числового диапазона, например, с 10.1.17.23 по 10.1.17.219.

• Для всех адресов локальной подсети Набор предопределенных адресов, динамически сопоставленных с набором адресов, определенных вашим IPv4-адресом и маской подсети или вашим префиксом локальной подсети IPv6.

• Для всех адаптеров беспроводной сети Имеется возможность защиты трафика на основе типа интерфейса, который теперь включает интерфейс беспроводной связи в дополнение к ЛВС и удаленному доступу.

• По пользователю Active Directory или учетной записи компьютера Имеется возможность указать список учетных записей компьютеров или пользователей, имеющих право на инициирование защищенной связи. Например, это позволяет указать то, что трафик к определенным серверам с конфиденциальными данными должен быть защищен, и может исходить только от тех учетных записей пользователей, которые являются членами определенных групп безопасности Active Directory.

• По значению поля типа или кода ICMP или ICMPv6 Имеется возможность указать сообщения ICMP или ICMPv6 с помощью ввода значений в поля типа и кода сообщений ICMP или ICMPv6.

• Для служб Имеется возможность указать то, относится ли исключение к какому-либо процессу, только для служб, для определенной службы по имени службы; также можно ввести краткое имя службы.

Интегрированная поддержка IPv4 и IPv6

Поддержка IPsec для трафика IPv6 в Windows XP и Windows Server 2003 ограничена. Обмен ключами через Интернет (IKE) или шифрование данных не поддерживаются. Конфигурацию политики безопасности IPsec, сопоставлений безопасности и ключей необходимо настраивать в текстовых файлах и активировать с помощью инструмента командной строки IPsec6.exe.

В Windows Server "Longhorn" и Windows Vista поддержка IPsec для трафика IPv6 аналогична IPv4, включая поддержку IKE и шифрование данных. Конфигурация политики для трафика IPv4 и IPv6 настраивается одинаково, с использованием либо брандмауэра Windows с усовершенствованной безопасностью, либо оснастки IP Security Policies.

Расширенные события и счетчики контроля производительности

В Windows Server "Longhorn" и Windows Vista включены 15 новых событий IPsec, относящихся к аудиту, а текст 25 существующих событий был дополнен более полезной информацией. Эти улучшения помогут устранять проблемы, возникающие при согласовании IPsec, без включения функции усовершенствованного ведения журнала Oakley.

В Windows Server "Longhorn" и Windows Vista также включены счетчики производительности IPsec, позволяющие определить производительность и проблемы в сети с трафиком, защищенным посредством IPsec.

Поддержка Network Diagnostics Framework

Network Diagnostics Framework является расширяемой архитектурой, которая помогает пользователям восстанавливать состояние и устранять проблемы с сетевыми подключениями. При неудачном согласовании IPsec архитектура Network Diagnostics Framework предоставит пользователю варианты выбора для выявления и устранения проблемы. После этого поддержка IPsec архитектуры Network Diagnostics Framework попробует найти причину неисправности соединения и, либо автоматически устранит проблему, либо, в зависимости от соображений безопасности, предоставит пользователю диалоговое окно с запросом на соответствующее изменение конфигурации.

Беспроводные и проводные подключения на основе 802.1X

В Windows Server "Longhorn" и Windows Vista включены многие усовершенствования для поддержки беспроводных сетей IEEE 802.11 и сетей, в которых используются коммутаторы проверки подлинности.

Изменения и усовершенствования беспроводных сетей IEEE 802.11

В Windows Server "Longhorn" и Windows Vista внесены следующие изменения и усовершенствования для поддержки беспроводных сетей IEEE 802.11:

• Собственная архитектура Wi-Fi

• Улучшения интерфейса пользователя беспроводных подключений

• Усовершенствования групповой политики для беспроводных подключений

• Изменения в автоматической конфигурации беспроводных сетей

• Поддержка WPA2

• Интеграция с защитой доступа в сеть при использовании проверки подлинности 802.1X

• Инфраструктура EAPHost

• Диагностика беспроводных подключений 802.11

• Поддержка командной строки для настройки параметров беспроводных подключений

• Служба сетевого расположения и профили сети

• Усовершенствования стека TCP/IP следующего поколения для беспроводных сред

• Однократная идентификация пользователя

Собственная архитектура Wi-Fi

В Windows Server 2003 и Windows XP была встроена инфраструктура программного обеспечения поддержки беспроводных подключений для эмуляции подключения Ethernet, и ее можно расширить только путем поддержки дополнительных типов EAP для проверки подлинности IEEE 802.1X. В системах Windows Server "Longhorn" и Windows Vista инфраструктура программного обеспечения для беспроводных подключений 802.11 под названием "Собственная архитектура Wi-Fi" была переработана с учетом следующего:

• Теперь IEEE 802.11 присутствует в Windows в качестве типа среды, отдельной от IEEE 802.3. Это предоставляет независимым поставщикам аппаратных средств большую гибкость при поддержке усовершенствованных функций сетей IEEE 802.11, таких как больший размер кадра по сравнению с Ethernet.

• Новые компоненты в собственной архитектуре Wi-Fi обеспечивают проверку подлинности, авторизацию и управление подключениями 802.11, что упрощает внедрение независимыми поставщиками аппаратных средств данных функций в свои драйверы адаптеров беспроводных сетей. Это значительно упрощает разработку драйверов адаптеров беспроводных сетей. При использовании Windows Server "Longhorn" и Windows Vista независимые поставщики аппаратных средств должны разработать меньший по размерам драйвер минипорта NDIS 6.0, который обеспечивает доступ к собственному интерфейсу 802.11.

• Собственная архитектура Wi-Fi поддерживает интерфейсы прикладного программирования (API), обеспечивающие гибкость независимых поставщиков программных и аппаратных средств при расширении встроенного беспроводного клиента дополнительными беспроводными службами и настраиваемыми возможностями. Расширяемые компоненты, разработанные независимыми поставщиками программных и аппаратных средств, также могут предоставлять возможности по конфигурации диалоговых окон и мастеров в соответствии с требованиями пользователя.

Улучшения интерфейса пользователя беспроводных подключений

Интерфейс пользователя для настройки беспроводной связи был улучшен следующим образом:

• Настройка беспроводной связи интегрирована в новый Центр сетевых подключений и доступа (Network and SharingCenter) Теперь подключение к беспроводным сетям осуществляется с использованием нового центра сетевых подключений и доступа в Windows Vista, а не через адаптер беспроводной сети. С помощью центра сетевых подключений и доступа можно подключаться к беспроводным сетям, создавать беспроводную сеть с использованием беспроводной точки доступа или без нее, а также управлять беспроводными сетями.

• Беспроводные сети можно настраивать для всех пользователей или отдельно для каждого пользователя В папке управления беспроводными сетями (Manage Wireless Networks - находится в центре сетевых подключений и доступа) теперь можно указывать тип профиля беспроводной сети. Это позволяет указать, относятся ли новые беспроводные сети (называемые "профилями") ко всем пользователям компьютера, или их можно настроить для каждого отдельного пользователя. Профили беспроводных сетей для отдельного пользователя подключаются только в том случае, если пользователь, к которому относится данный пользователь, осуществляет вход в систему. Профили для отдельного пользователя отключаются, когда пользователь выходит из системы, или когда осуществляется смена пользователя.

• Расширенный интерфейс пользователя беспроводных сетей В соответствии с описанием в разделе “Собственная архитектура Wi-Fi” данной статьи, можно создавать и добавлять к встроенному клиенту беспроводных сетей Windows пользовательские диалоговые окна или мастера настройки беспроводных сетей, что обеспечивает независимым поставщикам программных и аппаратных средств возможность конфигурации пользовательских функций и возможностей.

• Имеется возможность настройки беспроводных сетей со скрытым идентификатором Беспроводная сеть со скрытым идентификатором (также называется "скрытая беспроводная сеть") не посылает свое сетевое имя, которое также известно как Service Set Identifier (SSID). Точка доступа беспроводной сети может быть настроена на передачу кадров предупреждения, в которых идентификатор SSID имеет нулевое значение (NULL). Такой метод также известен под названием "использование скрытого идентификатора SSID". В Windows Server 2003 и Windows XP предпочтительную сеть нельзя было настроить как сеть со скрытым идентификатором, что иногда приводило к путанице при автоматическом подключении к предпочтительным беспроводным сетям, когда некоторые из них передавали свой идентификатор, а некоторые - нет. В Windows Server “Longhorn” и Windows Vista можно настроить предпочтительную беспроводную сеть в качестве сети со скрытым идентификатором.

• Беспроводные сети со скрытым идентификатором отображались как "Сеть без имени" В списке доступных беспроводных сетей в Мастере подключения к сети, сети со скрытым идентификатором отображались как "Сеть без имени". При подключении к беспроводной сети со скрытым идентификатором появится диалоговое окно ввода имени беспроводной сети со скрытым идентификатором.

• Подсказки для пользователя при подключении к незащищенной беспроводной сети По причине рисков, связанных с передачей данных по незащищенной беспроводной сети, Windows Server “Longhorn” и Windows Vista теперь будут выводить пользователю диалоговые окна для подтверждения попытки подключения.

• В Мастере подключения к сети приводится список методов защиты, поддерживаемых адаптером беспроводной сети Мастер подключения сети в Windows Server “Longhorn” и Windows Vista отправляет запрос адаптеру беспроводной сети и предоставляет пользователю возможность выбора наиболее надежного метода защиты. Например, если адаптер беспроводной сети поддерживает и протокол Wired Equivalent Privacy (WEP), и Wi-Fi Protected Access (WPA), Мастер подключения к сети позволит пользователю выбрать в качестве метода защиты WPA или WEP.

Усовершенствования групповой политики для беспроводных подключений

В Windows Server "Longhorn" и Windows Vista настройки групповой политики для беспроводных подключений — расположенные в пункте Computer Configuration/Windows Settings/Security Settings в оснастке Group Policy — включают следующие усовершенствования:

• Параметры проверки подлинности WPA2 Система Windows XP с обновлением Wi-Fi Protected Access 2 (WPA2)/Wireless Provisioning Services Information Element (WPS IE) для Windows XP с пакетом обновлений 2 поддерживает конфигурацию параметров проверки подлинности WPA2; WPA2 (для WPA2 Enterprise) и WPA2-PSK (для WPA2 Personal). Однако политики беспроводной сети (IEEE 802.11) в Windows Server 2003 с пакетом обновлений 1 не поддерживают централизованную конфигурацию параметров проверки подлинности WPA2. Настройки групповой политики для беспроводных подключений в Windows Server “Longhorn” позволяют осуществлять конфигурацию параметров проверки подлинности WPA2. Корпорация Microsoft проводит исследование в области поддержки параметров проверки подлинности WPA2 в настройках групповой политики для беспроводных подключений в последующем обновлении системы Windows XP.

• Список разрешенных и запрещенных имен беспроводной сети Клиент беспроводных сетей в Windows Server 2003 и Windows XP предоставляет пользователю диалоговое окно для подключения к обнаруженным беспроводным сетям при отсутствии предпочтительных сетей, или если все попытки подключения к обнаруженным предпочтительным сетям оказались неудачными. Клиентские компьютеры беспроводных сетей с установленной системой Windows Server 2003 или Windows XP нельзя было настроить так, чтобы пользователю выводилось диалоговое окно для подключения только к конкретным беспроводным сетям или вообще не выводить такое сообщение для подключения к конкретным беспроводным сетям. Настройки групповой политики для беспроводных подключений в Windows Server "Longhorn" и Windows Vista позволяют создать списки разрешенных и запрещенных имен беспроводных сетей. В списке разрешенных имен можно указать группу беспроводных сетей (SSID), к которым беспроводным клиентам Windows Server "Longhorn" или Windows Vista можно подключаться. Эта функция может оказаться полезной для администраторов сетей при настройке портативных компьютеров, чтобы обеспечить их подключение к определенной группе беспроводных сетей, которая может включать беспроводную сеть организации и беспроводные сети поставщиков услуг Интернет. В списке запрещенных имен можно указать группу имен беспроводных сетей, к которым клиенту беспроводной сети подключаться запрещено. Это необходимо для предотвращения подключения портативных компьютеров к другим беспроводным сетям, находящимся в радиусе действия беспроводной сети организации (например, если организация занимает этаж здания, а на соседних этажах имеются беспроводные сети другой организации) или для предотвращения подключения портативных компьютеров к известным незащищенным беспроводным сетям.

• Дополнительные параметры предпочтительной беспроводной сети Настройки групповой политики для беспроводных подключений в Windows Server “Longhorn” позволяют осуществлять настройку следующих предпочтительных беспроводных сетей:

  • Настройки быстрого роуминга Быстрый роуминг представляет собой дополнительную функцию беспроводных сетей WPA2, позволяющую клиентам беспроводных сетей более быстро переключаться с одной беспроводной точки доступа на другую с использованием предварительной проверки подлинности и кэширования парного главного ключа (PMK). В обновлении Wi-Fi Protected Access 2 (WPA2)/Wireless Provisioning Services Information Element (WPS IE) для Windows XP с пакетом обновлений 2 можно контролировать предварительную проверку подлинности и кэширование PMK при помощи изменения реестра. В Windows Server “Longhorn” это возможно осуществить с помощью настроек групповой политики для беспроводных подключений.

  • Беспроводные сети со скрытым идентификатором В соответствии с описанием в разделе “Улучшения интерфейса пользователя беспроводных подключений” данной статьи, имеется возможность настройки предпочтительных беспроводных сетей в качестве беспроводных сетей со скрытым идентификатором. В Windows Server “Longhorn” можно настроить предпочтительные беспроводные сети в настройках групповой политики для беспроводных подключений в качестве сетей со скрытым идентификатором.

  • Автоматическое или ручное подключение При использовании системы Windows XP с пакетом обновлений 2, Windows Server 2003 с пакетом обновлений 1, Windows Server “Longhorn” и Windows Vista можно настроить автоматическое (по умолчанию) или ручное подключение к предпочтительным беспроводным сетям на вкладке Connection (Подключение) в свойствах предпочтительной беспроводной сети. С помощью настроек групповой политики для беспроводных подключений в Windows Server “Longhorn” теперь можно настроить автоматическое или ручное подключение к предпочтительным беспроводным сетям.

Изменения в автоматической конфигурации беспроводных сетей

Автоматическая конфигурация беспроводных сетей представляет собой службу, динамически выбирающую беспроводную сеть, к которой компьютер будет подключаться автоматически, либо с учетом предпочтений пользователя, либо с использованием настроек по умолчанию. Сюда входит автоматический выбор и подключение к наиболее предпочтительной сети, когда она становится доступной. В Windows Server "Longhorn" и Windows Vista внесены следующие изменения по автоматической конфигурации беспроводных сетей:

• Изменение режима работы в случае отсутствия предпочтительных беспроводных сетей

  В системах Windows XP и Windows Server 2003, если невозможно подключиться к предпочтительной беспроводной сети, а клиент беспроводной системы настроен на предотвращение автоматического подключения к беспроводным сетям, которые отсутствуют в списке предпочтительных сетей (по умолчанию), служба автоматической конфигурации беспроводных сетей создает случайное имя сети и включает адаптер беспроводной сети в режиме инфраструктуры. Однако случайная беспроводная сеть не имеет настроек безопасности, и злонамеренный пользователь может подключиться к клиенту беспроводной сети с использованием случайного имени беспроводной сети.

  В Windows Server "Longhorn" и Windows Vista служба автоматической конфигурации беспроводных сетей присваивает адаптеру беспроводной сети случайное имя и обеспечивает настройку защиты, состоящую из случайного 128-битного ключа шифрования и самого надежного метода шифрования, поддерживаемого адаптером беспроводной сети. Такой новый режим работы предотвращает подключение злонамеренного пользователя к клиенту беспроводной сети с использованием случайного имени беспроводной сети.

• Новая поддержка беспроводных сетей со скрытым идентификатором

  В Windows XP и Windows Server 2003 служба автоматической конфигурации беспроводных сетей пытается сравнить настроенные предпочтительные беспроводные сети с беспроводными сетями, которые передают свое имя сети. Если ни одна из доступных сетей не соответствует предпочтительной беспроводной сети, служба автоматической конфигурации беспроводных сетей посылает проверочные запросы для определения того, являются ли предпочтительные сети в заявленном списке сетями со скрытым идентификатором. Результатом такой работы является то, что подключение к сетям, передающим свой идентификатор, осуществляется до подключения к сетям со скрытым идентификатором, даже несмотря на то, что сеть со скрытым идентификатором находится выше в списке предпочтительных сетей, нежели сеть, которая передает свой идентификатор. Еще один результат заключается в том, что при отправке проверочных запросов клиент беспроводной сети Windows XP или Windows Server 2003 также передает свой список предпочтительных беспроводных сетей.

  В Windows Server "Longhorn" и Windows Vista можно настроить беспроводные сети в качестве сетей, передающих свой идентификатор (имя сети входит в кадры предупреждения, посылаемые беспроводной точкой доступа) или сетей со скрытым идентификатором (имя сети в кадре предупреждения пустое (NULL)). Теперь служба автоматической конфигурации беспроводных сетей пытается подключиться к беспроводным сетям в той последовательности, в которой они присутствуют в списке предпочтительных сетей, независимо от того, передают они свой идентификатор или нет. Так как теперь беспроводные сети явно определяются как передающие и скрывающие свой идентификатор, клиенты беспроводной сети с системой Windows Server "Longhorn" и Windows Vista посылают только проверочные запросы в беспроводные сети со скрытым идентификатором.

Поддержка WPA2

В Windows Server "Longhorn" и Windows Vista встроена поддержка настройки параметров проверки подлинности WPA2 и со стандартным профилем (предпочтительные беспроводные сети, настроенные локально), и с профилем домена с настройками групповой политики. WPA2 представляет собой сертификацию изделий, которую осуществляет Альянс Wi-Fi Alliance, сертифицирующий беспроводное оборудование на предмет совместимости со стандартом IEEE 802.11i. WPA2 в Windows Server "Longhorn" и Windows Vista поддерживает и корпоративный (проверка подлинности IEEE 802.1X), и личный (проверка подлинности с использованием предварительного ключа) режимы работы.

В Windows Server "Longhorn" и Windows Vista также встроена поддержка WPA2 для беспроводных сетей "ad hoc" (беспроводная сеть между клиентами беспроводной сети без использования беспроводной точки доступа).

Интеграция с защитой доступа в сеть при использовании проверки подлинности 802.1X

В соединениях WPA2-Enterprise, WPA-Enterprise и Dynamic WEP, в которых используется проверка подлинности 802.1X, можно использовать платформу Network Access Protection для предотвращения предоставления неограниченного доступа в интрасеть беспроводным клиентам, не соответствующим требованиям системной исправности. Для получения дополнительных сведений о платформе защиты доступа в сеть см. "Защита доступа в сеть (NAP)" в данной статье.

Инфраструктура EAPHost

Для упрощения разработки методов проверки подлинности по протоколу Extensible Authentication Protocol (EAP) для беспроводных подключений с проверкой подлинности IEEE 802.1X, в Windows Server "Longhorn" и Windows Vista включена поддержка новой инфраструктуры EAPHost. Для получения дополнительных сведений см. раздел "Архитектура EAPHost" в данной статье.

Новый метод проверки подлинности EAP по умолчанию

В Windows Server 2003 и Windows XP метод проверки подлинности EAP по умолчанию для беспроводных подключений с проверкой подлинности 802.1X представляет собой EAP-Transport Layer Security (TLS). Хотя наиболее безопасной формой проверки подлинности является взаимная проверка подлинности цифровых сертификатов, для распределения, отзыва и возобновления сертификатов пользователей и компьютеров с использованием EAP-TLS необходима инфраструктура открытых ключей (PKI).

Во многих случаях организациям необходимо использовать ту инфраструктуру проверки подлинности на основе имен учетных записей и паролей, которая уже существует в службе Active Directory. Следовательно, в Windows Server "Longhorn" и Windows Vista метод проверки подлинности EAP по умолчанию для беспроводных подключений с проверкой подлинности 802.1X был заменен на протокол Protected EAP-Microsoft Challenge Handshake Authentication Protocol версии 2 (PEAP-MS-CHAP v2). PEAP-MS-CHAP v2 представляет собой метод проверки подлинности 802.1X с использованием пароля для беспроводных подключений, при этом для данного протокола достаточно установить сертификаты компьютеров на внешних серверах проверки подлинности Remote Authentication Dial-In User Service (RADIUS). Для получения дополнительных сведений о PEAP-MS-CHAP v2

Поддержка диагностики беспроводных подключений

Несмотря на улучшения в Windows XP с пакетом обновлений 2 и Windows Server 2003 с пакетом обновлений 1, устранение неисправностей в беспроводных подключениях все еще может представлять трудности. В Windows Server "Longhorn" и Windows Vista процедура устранения неисправностей значительно упрощена благодаря следующим функциям:

• Беспроводные подключения поддерживают новую архитектуру Network Diagnostics Framework Network Diagnostics Framework представляет собой гибкую архитектуру, помогающую пользователям восстанавливать данные и устранять проблемы, связанные с сетевыми подключениями. При наличии неисправного беспроводного подключения Network Diagnostics Framework предоставит пользователю варианты выбора для выявления и устранения проблемы. После этого компонент беспроводных подключений архитектуры Network Diagnostics Framework попробует найти причину неисправности соединения и, либо автоматически устранит проблему, либо, в зависимости от соображений безопасности, предоставит пользователю диалоговое окно с запросом на соответствующее изменение конфигурации.

  Новая информация в журнале событий Windows При неудачной попытке подключения к беспроводной сети компоненты беспроводной сети Windows Server "Longhorn" и Windows Vista записывают детальную информацию о попытке подключения в журнал событий Windows. Профессионалы службы поддержки организации могут использовать эти записи для дальнейшего устранения неисправностей, когда средства диагностики беспроводных сетей либо не позволили устранить проблему, либо когда проблема была устранена, но ее невозможно зафиксировать путем изменения настроек клиента беспроводной сети. Информация в журнале событий Windows может сократить время на устранение проблем, возникающих при поддержке беспроводного подключения. Кроме того, с помощью Microsoft Operations Manager или средств централизованного управления других типов администратор сети может осуществить сбор данных записей в журнале событий и провести анализ тенденций и изменений в структуре беспроводной сети.

• Эта информация может быть отправлена в корпорацию Microsoft для анализа и улучшений Пользователям, у которых возникают проблемы с беспроводными подключениями, также будет выведено диалоговое окно для отправки информации о подключении в корпорацию Microsoft для анализа с использованием инфраструктуры Windows Error Reporting (WER). Кроме того, в корпорацию Microsoft также можно отправить результаты успешной диагностики с использованием инфраструктуры Software Quality Metrics (SQM), также известной как Customer Experience Improvement Program в Windows XP. В обоих случаях отсылается только информация, относящаяся к диагностике беспроводной сети (личная информация о компьютере или пользователе не отсылается). В корпорации Microsoft эта информация будет использоваться для определения основных причин неисправностей беспроводного подключения, выявления новых проблем с беспроводным подключением и их причин, и принятия соответствующих мер либо для улучшения программного обеспечения клиента беспроводной сети в Windows, либо для работы с поставщиками беспроводного оборудования для содействия улучшению их продукции.

Интерфейс командной строки для настройки параметров беспроводных подключений

В Windows Server 2003 или Windows XP нет интерфейса командной строки, позволяющей настраивать параметры беспроводных подключений, которые доступны в диалоговых окнах беспроводных сетей в папке Сетевые подключения или в Настройках групповой политики для беспроводных сетей (IEEE 802.11). Настройка параметров беспроводных сетей с использованием командной строки может помочь при создании беспроводных сетей в следующих ситуациях:

• Поддержка автоматизированного сценария для настроек беспроводных сетей без групповой политики Настройки групповой политики для беспроводных сетей (IEEE 802.11) применяются только в режиме домена Active Directory. В среде без Active Directory или инфраструктуры групповой политики, сценарий, автоматизирующий настройку беспроводных подключений, можно запустить либо вручную, либо автоматически, например, если он является частью сценария входа в систему.

• Начальная инициализация клиента беспроводной сети в защищенной беспроводной сети организации Компьютер клиента беспроводной сети, не являющийся членом домена, не может подключиться к защищенной беспроводной сети организации. Кроме того, компьютер не может присоединиться к домену без успешного подключения к защищенной беспроводной сети организации. Сценарий командной строки предоставляет способ подключения к защищенной беспроводной сети организации для присоединения к домену.

   

В Windows Server "Longhorn" и Windows Vista можно использовать команды Netsh в контексте netsh wlan, чтобы выполнять следующее:

• Осуществлять конфигурацию всех настроек клиента беспроводной сети в профиле с именем, включая общие настройки (типы беспроводных сетей для доступа), настройки 802.11 (идентификатор SSID, тип проверки подлинности, тип шифрования данных) и параметры проверки подлинности 802.1X (типы EAP и их конфигурация).

• Указывать список имен разрешенных и запрещенных беспроводных сетей.

• Указывать порядок предпочтительных беспроводных сетей.

• Отображать конфигурацию клиента беспроводной сети.

• Удалять конфигурацию беспроводной сети из клиента беспроводной сети.

• Переносить настройки конфигурации беспроводной сети между различными клиентами беспроводной сети.

Система распознавания наличия сетевых средств и профили сети

Многие приложения не распознают сети, что приводит к замешательству пользователей и накладным расходам разработчиков. Например, приложение не может автоматически корректировать свою работу в зависимости от подключенной в настоящей момент сети и условий. Пользователям приходится осуществлять повторную конфигурацию настроек приложения в зависимости от сети, к которой они подключены (частная сеть компании-работодателя, домашняя сеть, Интернет). Чтобы упростить конфигурацию, разработчики прикладных программ теперь могут использовать API Windows низкого уровня, конструкции данных, и, возможно, даже самостоятельную проверку сетей для определения текущей сети и соответствующей настройки режимов работы своих приложений.

В целях предоставления операционной системе инфраструктуры, позволяющей разработчикам приложений осуществлять более простую повторную настройку работы приложения в зависимости от подключенной в данный момент сети, интерфейсы API системы распознавания наличия сетевых средств в Windows Server "Longhorn" и Windows Vista предоставляют приложениям информацию о сети, что позволяет приложениям проще и эффективнее адаптироваться под такие изменяющиеся условия. Интерфейсы API службы распознавания наличия сетевых средств позволяют приложениям получать актуальную информацию о сети и уведомления о смене местоположения.

Усовершенствования стека TCP/IP следующего поколения для беспроводных сред

В соответствии с описанием в разделе "Усовершенствования для сред с высоким уровнем потерь" данной статьи, стек TCP/IP следующего поколения включает поддержку новых алгоритмов TCP, оптимизирующих пропускную способность путем восстановления после потерь одного или нескольких пакетов и определения ложных повторных передач, что повышает производительность в средах с беспроводными сетями.

Однократная идентификация пользователя

Развитие технологий защищенной беспроводной связи стимулировало использование проверки подлинности Уровня 2, такой как IEEE 802.1X, чтобы к сети мог подключиться только аутентифицированный пользователь, и чтобы передаваемые им данными были защищены на уровне радиопередачи. Функция однократной идентификации пользователя (Single Sign On) в Windows Server "Longhorn" и Windows Vista выполняет проверку подлинности 802.1X в данный момент времени для данной конфигурации защиты сети, обеспечивая простую и плавную интеграцию с входом пользователя в систему Windows.

Администраторы сети могут использовать настройки групповой политики или новые команды netsh wlan для настройки профилей однократной идентификации пользователя на компьютерах клиентов беспроводных сетей. После настройки профиля однократной идентификации пользователя, и перед тем, как компьютер войдет в домен, осуществляется проверка подлинности 802.1X, а диалоговое окно для ввода учетных данных выводится пользователю только в случае необходимости. Такая функция обеспечивает беспроводное подключение перед входом компьютера в домен, что позволяет запускать сценарии, требующие подключение к сети до входа пользователя в систему. Такими сценариями могут быть обновления групповой политики, выполнение сценариев при входе в систему и присоединение клиента беспроводной сети к домену.

Усовершенствования в проводных сетях на основе IEEE 802.1X

В Windows Server 2003 и Windows XP имеется ограниченная поддержка внедрения настроек проверки подлинности 802.1X для проводных подключений к коммутатору проверки подлинности. В целях упрощения развертывания проводных сетей с проверкой подлинности 802.1X в Windows Server "Longhorn" и Windows Vista включены следующие улучшения:

• Поддержка групповой политики для настроек проводных сетей 802.1X

• Интерфейс командной строки для настроек проводных сетей 802.1X

• Интеграция с защитой доступа в сеть при использовании проверки подлинности 802.1X

• Инфраструктура EAPHost

• Изменение в состоянии службы 802.1X

Поддержка групповой политики для настроек проводных сетей 802.1X

В средах, где используются Active Directory и групповая политика, в Windows Server "Longhorn" и Windows Vista включена поддержка групповой политики для настроек проверки подлинности 802.1X для проводных сетей в пункте Computer Configuration/Windows Settings/Security Settings/Wired Network (IEEE 802.3) Policies.

Интерфейс командной строки для настроек проводных сетей 802.1X

В средах, где Active Directory или групповая политика не используются, или для сценариев присоединения к домену, Windows Server "Longhorn" и Windows Vista также поддерживают интерфейс командной строки для настроек проверки подлинности 802.1X для проводных подключений. При помощи команд в контексте netsh lan можно выполнять следующее:

• Осуществлять конфигурацию всех настроек клиента проводной сети в профиле с именем, включая настройки проверки подлинности 802.1X (типы EAP и их настройка)

• Отображать конфигурацию клиента проводной сети

• Удалять конфигурацию проводной сети из клиента проводной сети.

• Экспортировать и импортировать профиль проводной сети для переноса настроек конфигурации между различными клиентами проводной сети

Интеграция с защитой доступа в сеть при использовании проверки подлинности 802.1X

В проводных подключениях с проверкой подлинности IEEE 802.1X может использоваться платформа защиты доступа в сеть для предотвращения предоставления неограниченного доступа к частной сети проводным клиентам, не соответствующим требованиям системной исправности. Для получения дополнительных сведений о платформе защиты доступа в сеть см. "Защита доступа в сеть (NAP)" в данной статье.

Инфраструктура EAPHost

Для упрощения разработки методов проверки подлинности по протоколу EAP для проводных подключений с проверкой подлинности IEEE 802.1X, в Windows Server "Longhorn" и Windows Vista включена поддержка новой инфраструктуры EAPHost. Для получения дополнительных сведений см. раздел "Архитектура EAPHost" в данной статье.

Изменение в состоянии службы 802.1X

В Windows XP и Windows Server 2003 служба 802.1X была включена по умолчанию, но работала в режиме пассивного ожидания. В Windows Vista служба 802.1X для проводных подключений, также называемая службой Wired AutoConfig, по умолчанию отключена, но при включении переходит в режим активного ожидания. Чтобы вызвать вкладку Authentication (Аутентификация) свойств сетевого подключения для конфигурации настроек 802.1X, сначала необходимо запустить Wired AutoConfig.

Инфраструктура сети

В Windows Server "Longhorn" и Windows Vista внесены изменения в следующие компоненты и службы инфраструктуры сети:

• Защита доступа в сеть (Network Access Protection)

• Сервер сетевой политики (Network Policy Server)

• Новая архитектура EAPHost

• Усовершенствования подключений удаленного доступа и VPN

• Усовершенствования DHCP

Защита доступа в сеть (Network Access Protection)

Защита доступа в сеть (NAP) в Windows Server "Longhorn" и Windows Vista предоставляет компоненты внедрения политики, обеспечивающие соответствие компьютеров, подключающихся к сети или связывающихся друг с другом по сети, требованиям системной исправности, определенным администратором. Например, требованием системной исправности может быть наличие последних обновлений операционной системы или подписанных файлов антивирусных программ.

Администраторы могут использовать сочетание компонентов по утверждению политики и ограничению доступа в сеть для контроля доступа в сеть или связи. Администраторы также могут выбрать временное ограничение доступа для компьютеров, не отвечающих требованиям сети с ограничениями. В зависимости от выбранной конфигурации, сеть с ограничениями может содержать ресурсы, необходимые для обновления компьютеров, не соответствующих требованиям, чтобы обеспечить их соответствие требованиям исправности для обеспечения неограниченного доступа в сеть и обычной связи. NAP включает набор API для разработчиков и поставщиков для создания завершенных решений по утверждению политики исправности, ограничений доступа в сеть, автоматического исправления и непрерывного соответствия политике исправности.

Технологии внедрения NAP (NAP Enforcement)

В Windows Server "Longhorn" и Windows Vista имеются следующие технологии внедрения NAP:

• IPsec С помощью IPsec Enforcement можно ограничить связь по сети только между компьютерами, которые отвечают определенным требованиям. Клиентские и серверные компьютеры могут блокировать все виды связи, инициаторами которых являются компьютеры, не отвечающие определенным требованиям. IPsec Enforcement обеспечивает ограничение связи только между компьютерами, отвечающими определенным требованиям, после их успешного подключения и получения ими конфигурации действительного IP-адреса. IPsec Enforcement является самой надежной формой ограниченного доступа в сеть при использовании Network Access Protection.

• IEEE 802.1X При использовании 802.1X Enforcement сервер сетевой политики (NPS) посылает команду точке доступа на основе 802.1X (коммутатор Ethernet или беспроводная точка доступа) на передачу профиля ограниченного доступа клиенту 802.1X, до тех пор, пока клиент не выполнит ряд функций по восстановлению исправности системы. Профиль ограниченного доступа может состоять из ряда фильтров IP-пакетов или идентификатора виртуальной ЛВС, чтобы ограничить передачу трафика только клиенту 802.1X. 802.1X Enforcement обеспечивает надежный ограниченный доступ в сеть для всех компьютеров, входящих в сеть через подключение 802.1X. Для получения дополнительных сведений по NPS см. раздел "Сервер сетевой политики (Network Policy Server)" в данной статье.

• VPN При использовании VPN Enforcement серверы VPN могут проверять соответствие политике исправности в любой момент времени, когда компьютер пытается подключиться к сети через VPN. VPN Enforcement обеспечивает надежный ограниченный доступ в сеть для всех компьютеров, подключающихся к сети через VPN-соединение. VPN Enforcement с использованием NAP отличается от функции Network Access Quarantine Control, которая присутствует в Windows Server 2003. И VPN Enforcement в NAP, и Network Access Quarantine Control выполняют похожие функции, но NAP проще в развертывании.

• DHCP При использовании DHCP Enforcement, DHCP-серверы могут проверить соответствие компьютера требованиям политики исправности в любой момент времени, когда компьютер пытается получить или обновить конфигурацию IP-адреса в сети. В DHCP Enforcement используются записи таблицы IP-маршрутизации, и это самая ненадежная форма внедрения NAP.

При помощи API интерфейсов NAP, сторонние поставщики программного обеспечения могут создавать собственные технологии внедрения NAP.

Сервер сетевой политики (Network Policy Server)

Network Policy Server (NPS) представляет собой реализацию корпорацией Microsoft сервера Remote Authentication Dial-In User Service (RADIUS) и прокси-сервера в Windows Server “Longhorn.” NPS заменяет Internet Authentication Service (IAS) в Windows Server 2003. NPS выполняет все функции IAS в Windows Server 2003 для VPN и проводных и беспроводных подключений на основе 802.1X, а также выполняет проверку исправности и предоставляет ограниченный или неограниченный доступ клиентам Network Access Protection. Для получения дополнительных сведений см. раздел "Защита доступа в сеть (Network Access Protection)" в данной статье.

NPS также поддерживает трафик RADIUS через IPv6, как это определено в RFC 3162.

Новая архитектура EAPHost

В Windows Server "Longhorn" и Windows Vista входит EAPHost, новая архитектура для методов проверки подлинности по протоколу Extensible Authentication Protocol (EAP) и компьютеров, использующих EAP. EAPHost выполняет следующие функции, которые не поддерживаются в реализации EAP в Windows Server 2003 и Windows XP:

• Поддержка дополнительных методов EAP EAPHost будет поддерживать другие популярные методы EAP.

• Обнаружение сети EAPHost будет поддерживать обнаружение сети, как это определено в проекте документа группы IETF "Identity Hints for EAP" (draft-adrangi-eap-network-discovery-13.txt).

• Соответствие RFC 3748 EAPHost будет соответствовать EAP State Machine, и в нем будут устранены некоторые недостатки, связанные с безопасностью и определенные в RFC 3748. Кроме того, EAPHost будет поддерживать дополнительные функции, такие как Расширенные типы EAP (Expanded EAP Types) (включая методы EAP, разрабатываемые другими поставщиками).

• Одновременное использование нескольких методов EAP EAPHost обеспечивает одновременное использование различных реализаций одного и того же метода EAP. Например, можно установить и выбрать версию PEAP корпорации Microsoft и версию PEAP Cisco Systems, Inc..

• Модульная архитектура для устройств, отправляющих запрос на получение сертификата В дополнение к поддержке модульных методов EAP, EAPHost также поддерживает модульную архитектуру для устройств, отправляющих запрос на получение сертификата, что позволяет легко добавлять их без замены всей реализации EAP.

Для поставщиков методов EAP, EAPHost предоставляет поддержку методов EAP, уже разработанную для Windows Server 2003 и Windows XP, и упрощенный способ разработки новых методов EAP для Windows Server "Longhorn" и Windows Vista. Сертифицированные методы EAP можно распространять с помощью системы Windows Update. EAPHost также обеспечивает улучшенную классификацию типов EAP, чтобы устройства с установленным 802.1X и устройства с системой Windows, отправляющие запрос на получение сертификата на основе PPP, могли их использовать.

Для поставщиков методов получения сертификата, EAPHost обеспечивает поддержку модульных и подключаемых устройств, отправляющих запрос на получение сертификата, для новых уровней связи. Так как EAPHost интегрирован с NAP, в новых устройствах, отправляющих запрос на получение сертификата, NAP может не использоваться. Чтобы участвовать в NAP, новым устройствам, отправляющим запрос на получение сертификата, необходимо зарегистрировать идентификатор подключения и функцию обратного вызова, информирующую данное устройство о необходимости повторной проверки подлинности.

Для администраторов сети EAPHost предоставляет новые методы EAP и более надежную и гибкую инфраструктуру для подключений с проверкой подлинности на основе 802.1X.

Усовершенствования удаленного доступа и VPN-соединений

В удаленный доступ и VPN-соединения в Windows Server "Longhorn" внесены следующие усовершенствования:

• Поддержка компонентов маршрутизации Используя поддержку компонентов маршрутизации в стеке TCP/IP следующего поколения, VPN-клиент в Windows Server "Longhorn" и Windows Vista может создавать VPN-соединения, трафик которых можно отделять от Интернет-трафика, обеспечивая невозможность перенаправления Интернет-трафика в частную сеть через VPN-соединение. Для получения дополнительных сведений см. раздел "Компоненты маршрутизации" в данной статье.

• VPN Enforcement для VPN-соединений удаленного доступа Встроенный VPN-клиент и служба маршрутизации и удаленного доступа являются дополнением поддержки VPN Enforcement в платформе NAP. Для получения дополнительных сведений см. раздел "Защита доступа в сеть (Network Access Protection)" в данной статье.

• Поддержка IPv6 Теперь встроенный клиент удаленного доступа и служба маршрутизации и удаленного доступа (Routing and Remote Access) поддерживают IPv6 через протокол "точка-точка" (PPP) (PPPv6), как это определено в RFC 2472. Собственный трафик IPv6 теперь можно пересылать через подключения на основе PPP. Например, поддержка PPPv6 позволяет подключаться к поставщику Интернет-услуг на основе IPv6 (ISP) посредством соединения по телефонной линии или подключений на основе PPP через Ethernet (PPPoE) (используются для широкополосного доступа в сеть Интернет). Встроенный клиент удаленного доступа и служба маршрутизации и удаленного доступа также поддерживают VPN-соединения по двухтуннельному протоколу на основе уровня IPv6 (IPv6-based Layer Two Tunneling Protocol with IPsec) (L2TP/IPsec). Дополнительная поддержка IPv6 включает DHCPv6 Relay Agent, статические фильтры пакетов на основе IPv6 и отправку и получение трафика RADIUS через IPv6.

• Переработанный мастер создания подключения Этот новый мастер представляет собой простой способ конфигурации нового телефонного, широкополосного подключения к сети Интернет, VPN и входящих подключений.

• Обновленная поддержка Winlogin Позволяет стороннему поставщику доступа встраивать свои соединения для автоматического создания соединения удаленного доступа при входе пользователя в систему.

• Поддержка нескольких языков для Пакета администрирования диспетчера подключений (Connection Manager Administration Kit) Позволяет создавать профили Диспетчера подключений на сервере для любого языка с последующей установкой на компьютер клиента или любую другую региональную настройку Windows Vista или Windows XP, что упрощает управление клиентами с использованием Пакета администрирования диспетчера подключения (CMAK).

• Клиенты Диспетчера подключений поддерживают динамическое обновление DNS Теперь клиенты Диспетчера подключений поддерживают регистрацию DNS-имен и IP-адресов с использованием динамического обновления DNS.

• Поддержка нового шифрования VPN-соединения на основе L2TP/IPsec теперь поддерживают стандарт Advanced Encryption Standard (AES) с 128- или 256-битными ключами. Более слабые алгоритмы шифрования — 40- и 56-битные RC4 для PPTP и DES с MD5 для L2TP/IPSec — теперь не поддерживаются.

• Поддержка Network Diagnostics Framework Клиентские подключения поддерживают основные возможности диагностики с применением Network Diagnostics Framework.

   

Усовершенствования DHCP

В службы "DHCP-сервер" и "DHCP-клиент" были добавлены следующие усовершенствования:

• Поддержка Dynamic Host Configuration Protocol для IPv6 (DHCPv6) Протокол Dynamic Host Configuration Protocol для IPv6 (DHCPv6), определенный в RFC 3315, обеспечивает конфигурацию адресов с хранением адресов для узлов IPv6 в собственной сети IPv6.

• Поддержка внедрения Network Access Protection Функция DHCP Enforcement в платформе Network Access Protection (NAP) заставляет DHCP-клиента подтвердить свою системную исправность перед предоставлением данному клиенту конфигурации адреса для получения неограниченного доступа. Для получения дополнительных сведений см. раздел "Защита доступа в сеть (Network Access Protection)" в данной статье.

Удаленные технологии

В Windows Server "Longhorn" и Windows Vista теперь не поддерживаются следующие технологии:

• Bandwidth Allocation Protocol (BAP)

• X.25

• Serial Line Interface Protocol (SLIP)

  Подключения на основе SLIP будут автоматически обновлены до подключений на основе PPP.

• Службы для Macintosh (SFM)

• Компонент протокола маршрутизации Open Shortest Path First (OSPF) в службе маршрутизации и удаленного доступа

• Основной брандмауэр в службе маршрутизации и удаленного доступа (заменен на брандмауэр Windows)

• Интерфейсы API для статического IP-фильтра для службы маршрутизации и удаленного доступа (заменены на API Windows Filtering Platform)

В Windows Server "Longhorn" и Windows Vista внедрены многие усовершенствования для улучшения возможностей соединения, производительности и упрощения конфигурации протоколов и основных сетевых компонентов; повышения безопасности, простоты использования и развертывания беспроводных и проводных подключений с проверкой подлинности на основе 802.1X; и улучшения защиты частных сетей путем проверки того, соответствуют ли подключающиеся компьютеры предъявляемым к ним требованиям политик системной исправности.