Ooit was de computer een stand-alone machine, bedoeld voor losse applicaties, maar die tijd is definitief voorbij. Netwerken zijn overal. Zonder de mogelijkheden om op internet te kunnen, email op te halen, te chatten via instant messaging (IM) en bestanden te delen is de computer van nu helemaal niets meer.

De huidige trend drijft ict-afdelingen naar mobiel gebruik en remote computing. Hierbij is het zaak dat het besturingssysteem de tools biedt die de computer online houden, zodat altijd en overal gewerkt kan worden. Microsoft heeft een aantal nieuwe netwerkfeatures ingebouwd in Windows 7 die connectiviteit vereenvoudigen en gebruikers in staat stellen om netwerken te benaderen waar ze ook zijn. In dit artikel werpen we een blik op de innovatieve netwerkfeatures die in Windows 7 (de Engelstalige RTM) te vinden zijn.

HomeGroup

Deze verbetering is met name van toepassing op thuisgebruikers en bedrijven die vanuit huis gerund worden. Met Windows 7 wordt het concept HomeGroup geïntroduceerd. Hiermee beoogt Microsoft twee doelstellingen te realiseren. Ten eerste moet het delen van bestanden en bronnen tussen computers op het thuisnetwerk makkelijker worden. Als tweede wil Microsoft gebruikers in staat stellen om gedeelde bestanden beter te beveiligen tegen gastcomputers of indringers die via het draadloze netwerk toegang proberen te krijgen.

Veel huishoudens hebben meerdere computers staan, waarbij de gebruikers ervan gemakkelijk muziek en foto’s willen delen. Ook moet het mogelijk zijn om vanaf alle computers een uitdraai te maken vanaf een enkele printer. Dit type lokaal netwerk is al jaren beschikbaar in Windows, maar het was vaak makkelijker gezegd dan gedaan om daadwerkelijk een altijd werkend netwerk te realiseren. Veel Windows-gebruikers klaagden de afgelopen jaren steen en been, maar dat moet volgens het bedrijf uit Redmond nu eindelijk veranderen.

HomeGroup kan geopend worden via het icoontje in het configuratiescherm (Control Panel). Klik op HomeGroup om te beginnen met instellen. De gebruiker kan nu zelf kiezen welke bestanden en media hij wil delen via HomeGroup door de gewenste velden aan te vinken. Nadat op Next geklikt wordt, zal Windows 7 automatisch een password aanmaken die andere gebruikers nodig hebben om toegang te krijgen tot de HomeGroup. Windows 7 Starter en Windows 7 Home Basic kunnen zelf geen HomeGroup aanmaken, maar kunnen (net als alle andere Windows 7-varianten) wel bij een HomeGroup inloggen. Een groot nadeel van het concept van HomeGroup is dat het enkel met Windows 7 werkt. Windows XP- en Vista-gebruikers zijn helaas uitgesloten.

Een HomeGroup vereenvoudigt het werken met gedeelde bestanden, mappen en andere bronnen tussen vertrouwde computers op een thuisnetwerk. Tegelijkertijd stelt het de beheerder in staat om bezoekende gastcomputers bijvoorbeeld toegang tot het internet te geven, maar niet tot de gedeelde content op het netwerk. Ook onbekende computers die binnenkomen via het draadloze netwerk krijgen niet zomaar toegang tot de gedeelde bronnen.

Automatisch herstartende VPN

Zakelijke gebruikers die veel reizen vertrouwen op Virtuele Particuliere Netwerken (VPN’s) om een beveiligde verbinding tussen de eigen computer en het intranet van het bedrijf te leggen. Wanneer een gebruiker in een hotelkamer of een vergaderruimte zit en verbinding legt met een VPN, dan zal de computer van deze gebruiker verbonden blijven totdat zich een probleem met het netwerk voordoet. Het gebeurt vaak dat reizende gebruikers te maken krijgen met een wegvallende verbinding zodra ze proberen een VPN-verbinding op te zetten vanuit de auto of trein. Het is daarnaast vervelend om telkens dezelfde procedure te moeten volgen om opnieuw met de VPN te verbinden en in te loggen.

De VPN Reconnect-feature van Windows 7 maakt het mogelijk om automatisch een actieve VPN-verbinding te herstellen zodra de internetverbinding te maken krijgt met een storing. Zodra Windows 7 opnieuw verbinding krijgt met het wereldwijde web, dan zal ook de VPN de draad oppakken. Hoewel het bij het opnieuw vinden van een verbinding enkele seconden duurt voordat de VPN zich heeft hersteld (lees: de authenticatie opnieuw heeft volbracht), stelt het gebruikers wel in staat om netwerkbronnen te benaderen wanneer zij dat willen.

Technisch gesproken is VPN Reconnect een IPSec-tunnel gebruikmakend van het IKEv2 (Internet Key Exchange)-protocol voor het controleren van de sleutel en van ESP (Encapsulating Security Payload)-pakketten voor het versturen van data. ESP is onderdeel van de IPSec-beveiligingsarchitectuur die staat voor discretie, authenticatie van de herkomst van data en verbindingloze integriteit.

In situaties waarbij streaming video over een VPN-verbinding gaat tijdens het reizen, zal de gebruiker soms alle gebufferde data verliezen en opnieuw de video moeten starten wanneer de verbinding wegvalt of verandert. Dankzij de IKEv2 IPSec-tunnel en ESP is het mogelijk om een constante verbinding te houden ook al verandert het ip-adres door het herverbinden. Daarnaast zal streaming video verder gaan met afspelen vanaf het punt dat de VPN-verbinding wegviel.

DirectAccess

Wat is er beter dan een VPN die automatisch opnieuw verbinding zoekt en buffers behoudt? Hoe zou het zijn om überhaupt geen VPN meer nodig te hebben? DirectAccess is een van de meest enerverende en revolutionaire features van Windows 7, zowel voor gebruikers als beheerders die te maken hebben met reizend personeel, of personeel dat op een andere locatie zit.

Naast de bovengenoemde VPN-problemen voor de gebruikers zelf, zijn wegvallende verbindingen van reizende gebruikers ook een doorn in het oog van systeembeheerders. Mobiele computers die niet constant verbonden zijn met het netwerk missen beveiligingspatches, softwarepatches en updates binnen Group Policy. Ze zullen de updates vaak wel binnenkrijgen, maar er kunnen voor kritische updates dagen of zelfs weken overheen gaan.

DirectAccess zorgt voor een constante naadloze verbinding in twee richtingen tussen het interne netwerk en de Windows 7-machine, zolang de laatste verbinding kan maken met het internet. Met DirectAccess wordt het mogelijk om onderweg dezelfde gebruikservaring te krijgen als op de werkvloer. Het systeem werkt twee kanten op. Niet alleen kan de computer naar het interne netwerk verbindingen via elk denkbare internetverbinding, ook kan de ICT-beheerder via DirectAccess toegang krijgen tot de cliëntcomputers, zelfs al zijn deze niet aangemeld. Via DirectAccess kunnen systeembeheerders cliëntcomputers monitoren, beheren en van afstand updates laten installeren, zo lang zij verbonden zijn met internet.

Het systeem van DirectAccess maakt gebruik van IPsec voor het inloggen en versleutelen van data. Ook integreert DirectAccess met Network Access Protection (NAP) zodat cliëntcomputers compliant zijn met de veiligheidsvereisten van het interne netwerk. Systeembeheerders kunnen toegang beperken en aangeven welke toepassingen gebruikers via DirectAccess kunnen gebruiken.

Gebouwd op IPv6

IPv6 is vereist voor het gebruik met DirectAccess. De verbindingsmethode van het systeem is gebouwd op de globaal routeerbare ip-adressen die IPv6 verspreidt. IPv6 is al een tijdje beschikbaar, maar wordt maar marginaal gebruikt als vervanging voor IPv4. Dit ondanks de ondersteuning van het protocol door de meeste netwerkhardware.

Microsoft was voor introductie van Windows 7 op de hoogte van de moeizame opmars van IPv6, waardoor via NAT-PT (Network Address Translation-Protocol Translation) het mogelijk is om verbinding te leggen tussen DirectAccess en IPv4-bronnen. Het systeem maakt gebruik van split-tunnel routing om intelligent netwerkverkeer te routen naar de beoogde bestemming. Alleen verkeer dat bestemd is voor het bedrijfsnetwerk wordt geroute via de DirectAccess-server. Split-tunneling zorgt ervoor dat bronnen van de DirectAccess-server niet bezet worden gehouden door onnodig netwerkverkeer.

Windows Server 2008 R2 verplicht

DirectAccess kan niet functioneren in een Windows 7-omgeving. Het vereist een DirectAccess-server om mee te verbinden en die kan alleen draaien via Windows Server 2008 R2. De server moet twee netwerkkaarten hebben. De een wordt verbonden met het internet terwijl de andere verbonden is met de interne netwerkbronnen. DirectAccess vereist ook minstens twee IPv4-adressen voor de netwerkkaart die verbonden is met het internet.

Vertaaltechnologieën voor IPv6 als 6to4, Teredo en ISATAP zijn vereist voordat een DirectAccess-server kan werken. Alleen een PKI (Public Key Infrastructure)-omgeving kan het benodigde certificaat verstrekken voor authenticatie en beveiliging. Ook is een DNS-server die draait op Windows Server 2008 of Windows Server 2008 R2 nodig.

Gebruikers die problemen hebben met het verbinden naar DirectAccess kunnen een troubleshooting-wizard volgen om vast te stellen wat het probleem is en hoe deze verholpen kan worden. Open vanuit het configuratiescherm Network and Sharing Center en klik op Troubleshoot Problems. Klik op Connection to a Workplace Using DirectAccess om het troubleshooten te beginnen.

QoS gebaseerd op URL’s

Geen enkele organisatie heeft de beschikking over ongelimiteerde bandbreedte. Hoe meer gebruikers ingelogd zijn op het werk of hoe meer audio en video over het netwerk gestreamd wordt, des te sneller de bandbreedte van de verbinding volloopt. Hierdoor moet de router data in de wacht gaan zetten, waardoor communicatieprocessen via het netwerk vertraging oplopen.

Dit proces vindt ook plaats als de maximale netwerkcapaciteit niet wordt benut, namelijk wanneer het interne netwerk overgaat in het externe netwerk. Een bedrijfsnetwerk kan draaien op snelheden van 1 Gbps, terwijl de verbinding naar het internet op bijvoorbeeld 10 Mbps ligt. Hierdoor worden netwerkpakketjes vanaf het bedrijfsnetwerk in de wacht gezet door de router totdat de benodigde bandbreedte beschikbaar komt.

Niet alle netwerkbestemmingen kennen een gelijke behandeling. Zo kan het ingesteld zijn dat een applicatieserver of databasevoorziening voorrang krijgt boven bijvoorbeeld Google of Facebook. Beheerders kunnen via Quality of Service (QoS) instellen welk verkeer prioriteit krijgt. Windows markeert de uitgaande pakketjes met een DSCP (Differentiated Services Code Point)-nummer waardoor een router de prioriteit van pakketjes kan bepalen. Als het netwerk geconfronteerd wordt met een wachtrij, geldt niet langer het fifo-systeem (first-in-first-out), maar worden pakketjes met een hogere prioriteit eerst verstuurd.

QoS is niet nieuw en zat al ingebakken in voorgaande versies van Windows. Verschil met Windows 7 is dat waar voorheen ip-adressen en poortnummers opgegeven moeten worden, nu hetzelfde mogelijk is met URL-adressen. Aangezien websites weleens van ip-adres wisselen, is het hierdoor gemakkelijker om een site van QoS te voorzien. Ook kunnen beheerders in Windows 7 een lagere prioriteit aan URL-adressen toekennen, bijvoorbeeld als het gaat om of de site van [url=http://www.vi.nl]Voetbal International[/img]. Bron: [url=http://webwereld.nl/categorie/techworld.html]Techworld