DirectAccess , также известный как Unified Remote Access, представляет собой технологию, подобную VPN, которая обеспечивает подключение к интрасети для клиентских компьютеров, когда они подключены к Интернету. В отличие от многих традиционных VPN- подключений, которые должны инициироваться и завершаться явным действием пользователя, подключения DirectAccess предназначены для автоматического подключения, как только компьютер подключается к Интернету. DirectAccess был представлен в Windows Server 2008 R2 , предоставляя эту услугу клиентам Windows 7 и Windows 8 Enterprise Edition. В 2010 году был выпущен Microsoft Forefront Unified Access Gateway (UAG), который упрощает [1]развертывание DirectAccess для Windows 2008 R2 и включает дополнительные компоненты, которые упрощают интеграцию без необходимости развертывания IPv6 в сети, а также с выделенным пользовательским интерфейсом для настройки и мониторинга. Некоторые требования и ограничения, которые были частью конструкции DirectAccess с Windows Server 2008 R2 и UAG, были изменены (см. Требования ниже). Хотя DirectAccess основан на технологии Microsoft, существуют сторонние решения для доступа к внутренним серверам UNIX и Linux через DirectAccess. В Windows Server 2012 DirectAccess полностью интегрирован в операционную систему, обеспечивая пользовательский интерфейс для настройки и встроенную поддержку IPv6 и IPv4. [2]
Технология [ править ]
DirectAccess устанавливает туннели IPsec от клиента к серверу DirectAccess и использует IPv6 для доступа к ресурсам интрасети или другим клиентам DirectAccess. Эта технология инкапсулирует трафик IPv6 через IPv4, чтобы иметь возможность достигать интрасети через Интернет, которая по-прежнему (в основном ) полагается на трафик IPv4. Весь трафик в интрасеть шифруется с помощью IPsec и инкапсулируется в пакеты IPv4 (если не удается установить собственное соединение IPv6), что означает, что в большинстве случаев не требуется настройка межсетевых экранов или прокси. [3]Клиент DirectAccess может использовать одну из нескольких технологий туннелирования в зависимости от конфигурации сети, к которой подключен клиент. Клиент может использовать 6to4 , туннелирование Teredo или IP-HTTPS при условии, что сервер правильно настроен для их использования. Например, клиент, подключенный к Интернету напрямую, будет использовать 6to4, но если он находится внутри сети с NAT , он будет использовать вместо этого Teredo. Кроме того, Windows Server 2012 предоставляет две службы обратной совместимости DNS64 и NAT64., что позволяет клиентам DirectAccess обмениваться данными с серверами внутри корпоративной сети, даже если эти серверы поддерживают только сеть IPv4. Из-за глобальной маршрутизации IPv6 компьютеры в корпоративной сети также могут инициировать подключение к клиентам DirectAccess, что позволяет им удаленно управлять этими клиентами (Manage Out) в любое время. [4]
Преимущества [ править ]
DirectAccess можно развернуть для нескольких сайтов. Это обеспечивает безопасный зашифрованный VPN. Это контролируется с помощью групповых политик, которые позволяют администратору поддерживать безопасность сети.
Требования [ править ]
DirectAccess с Windows Server 2008 R2 или UAG требует:
- Один или несколько серверов DirectAccess под управлением Windows Server 2008 R2 с двумя сетевыми адаптерами: один подключен непосредственно к Интернету, а второй - к интрасети.
- На сервере DirectAccess не менее двух последовательных общедоступных адресов IPv4, назначенных сетевому адаптеру, подключенному к Интернету.
- Клиенты DirectAccess, работающие под управлением выпусков Windows 7 "Ultimate" или "Enterprise" или клиенты Windows 8 "Enterprise"
- По крайней мере, один контроллер домена и сервер системы доменных имен (DNS) под управлением Windows Server 2008 SP2 или Windows Server 2008 R2.
- Инфраструктура открытых ключей (PKI) для выдачи компьютерных сертификатов.
DirectAccess с Windows Server 2012 требует:
- Один или несколько серверов DirectAccess под управлением Windows Server 2012 с одним или несколькими сетевыми адаптерами.
- По крайней мере, один контроллер домена и сервер системы доменных имен (DNS) под управлением Windows Server 2008 SP2 или Windows Server 2008 R2.
- Клиенты DirectAccess, работающие под управлением выпусков Windows 7 "Ultimate" или "Enterprise" или клиенты Windows 8 "Enterprise"
- Инфраструктура открытого ключа не требуется для клиентов Windows 8. [5]
Сертификаты смарт-карт и сертификаты работоспособности для защиты доступа к сети могут использоваться вместе с PKI.
Ссылки [ править ]
- ^ "Есть DirectAccess? Получите UAG!" . Архивировано из оригинала на 2009-07-21 . Проверено 23 марта 2017 .
- ^ «Что нового в DirectAccess в Windows Server» . technet.microsoft.com . Проверено 23 марта 2017 .
- ^ «DirectAccess: новейшее решение Microsoft VPN - Часть 1: Обзор текущих решений удаленного доступа - TechGenix» . www.windowsecurity.com . Проверено 23 марта 2017 .
- ^ «Настройка Manage Out для клиентов DirectAccess | PACKT Books» . www.packtpub.com . Проверено 23 марта 2017 .
- ^ «Что нового в DirectAccess в Windows Server» . technet.microsoft.com . Проверено 23 марта 2017 .
Внешние ссылки [ править ]
- Microsoft DirectAccess в Windows Server 2012
- Microsoft DirectAccess в Windows Server 2008 R2
- MS-IPHTTPS в MSDN : включает PDF-файл со спецификацией.
- Публикация Blogger в DirectAccess
- Блог Ричарда Хикса о DirectAccess
- Различия между UAG и встроенным DirectAccess 2008 R2