Прямой доступ

DirectAccess , также известный как Unified Remote Access, представляет собой технологию, подобную VPN, которая обеспечивает подключение к интрасети для клиентских компьютеров, когда они подключены к Интернету. В отличие от многих традиционных VPN- подключений, которые должны инициироваться и завершаться явным действием пользователя, подключения DirectAccess предназначены для автоматического подключения, как только компьютер подключается к Интернету. DirectAccess был представлен в Windows Server 2008 R2 , предоставляя эту услугу клиентам Windows 7 и Windows 8 Enterprise Edition. В 2010 году был выпущен Microsoft Forefront Unified Access Gateway (UAG), который упрощает ^[1]развертывание DirectAccess для Windows 2008 R2 и включает дополнительные компоненты, которые упрощают интеграцию без необходимости развертывания IPv6 в сети, а также с выделенным пользовательским интерфейсом для настройки и мониторинга. Некоторые требования и ограничения, которые были частью конструкции DirectAccess с Windows Server 2008 R2 и UAG, были изменены (см. Требования ниже). Хотя DirectAccess основан на технологии Microsoft, существуют сторонние решения для доступа к внутренним серверам UNIX и Linux через DirectAccess. В Windows Server 2012 DirectAccess полностью интегрирован в операционную систему, обеспечивая пользовательский интерфейс для настройки и встроенную поддержку IPv6 и IPv4. ^[2]

Технология [ править ]

DirectAccess устанавливает туннели IPsec от клиента к серверу DirectAccess и использует IPv6 для доступа к ресурсам интрасети или другим клиентам DirectAccess. Эта технология инкапсулирует трафик IPv6 через IPv4, чтобы иметь возможность достигать интрасети через Интернет, которая по-прежнему (в основном ) полагается на трафик IPv4. Весь трафик в интрасеть шифруется с помощью IPsec и инкапсулируется в пакеты IPv4 (если не удается установить собственное соединение IPv6), что означает, что в большинстве случаев не требуется настройка межсетевых экранов или прокси. ^[3]Клиент DirectAccess может использовать одну из нескольких технологий туннелирования в зависимости от конфигурации сети, к которой подключен клиент. Клиент может использовать 6to4 , туннелирование Teredo или IP-HTTPS при условии, что сервер правильно настроен для их использования. Например, клиент, подключенный к Интернету напрямую, будет использовать 6to4, но если он находится внутри сети с NAT , он будет использовать вместо этого Teredo. Кроме того, Windows Server 2012 предоставляет две службы обратной совместимости DNS64 и NAT64., что позволяет клиентам DirectAccess обмениваться данными с серверами внутри корпоративной сети, даже если эти серверы поддерживают только сеть IPv4. Из-за глобальной маршрутизации IPv6 компьютеры в корпоративной сети также могут инициировать подключение к клиентам DirectAccess, что позволяет им удаленно управлять этими клиентами (Manage Out) в любое время. ^[4]

Преимущества [ править ]

DirectAccess можно развернуть для нескольких сайтов. Это обеспечивает безопасный зашифрованный VPN. Это контролируется с помощью групповых политик, которые позволяют администратору поддерживать безопасность сети.

Требования [ править ]

DirectAccess с Windows Server 2008 R2 или UAG требует:

Один или несколько серверов DirectAccess под управлением Windows Server 2008 R2 с двумя сетевыми адаптерами: один подключен непосредственно к Интернету, а второй - к интрасети.
На сервере DirectAccess не менее двух последовательных общедоступных адресов IPv4, назначенных сетевому адаптеру, подключенному к Интернету.
Клиенты DirectAccess, работающие под управлением выпусков Windows 7 "Ultimate" или "Enterprise" или клиенты Windows 8 "Enterprise"
По крайней мере, один контроллер домена и сервер системы доменных имен (DNS) под управлением Windows Server 2008 SP2 или Windows Server 2008 R2.
Инфраструктура открытых ключей (PKI) для выдачи компьютерных сертификатов.

DirectAccess с Windows Server 2012 требует:

Один или несколько серверов DirectAccess под управлением Windows Server 2012 с одним или несколькими сетевыми адаптерами.
По крайней мере, один контроллер домена и сервер системы доменных имен (DNS) под управлением Windows Server 2008 SP2 или Windows Server 2008 R2.
Клиенты DirectAccess, работающие под управлением выпусков Windows 7 "Ultimate" или "Enterprise" или клиенты Windows 8 "Enterprise"
Инфраструктура открытого ключа не требуется для клиентов Windows 8. ^[5]

Сертификаты смарт-карт и сертификаты работоспособности для защиты доступа к сети могут использоваться вместе с PKI.

Ссылки [ править ]

^ "Есть DirectAccess? Получите UAG!" . Архивировано из оригинала на 2009-07-21 . Проверено 23 марта 2017 .
^ «Что нового в DirectAccess в Windows Server» . technet.microsoft.com . Проверено 23 марта 2017 .
^ «DirectAccess: новейшее решение Microsoft VPN - Часть 1: Обзор текущих решений удаленного доступа - TechGenix» . www.windowsecurity.com . Проверено 23 марта 2017 .
^ «Настройка Manage Out для клиентов DirectAccess | PACKT Books» . www.packtpub.com . Проверено 23 марта 2017 .
^ «Что нового в DirectAccess в Windows Server» . technet.microsoft.com . Проверено 23 марта 2017 .

Внешние ссылки [ править ]

Microsoft DirectAccess в Windows Server 2012
Microsoft DirectAccess в Windows Server 2008 R2
MS-IPHTTPS в MSDN : включает PDF-файл со спецификацией.
Публикация Blogger в DirectAccess
Блог Ричарда Хикса о DirectAccess
Различия между UAG и встроенным DirectAccess 2008 R2

[UAGNOTREQUIRED-1] "Есть DirectAccess? Получите UAG!" . Архивировано из оригинала на 2009-07-21 . Проверено 23 марта 2017 .

[2] «Что нового в DirectAccess в Windows Server» . technet.microsoft.com . Проверено 23 марта 2017 .

[SSLport-3] «DirectAccess: новейшее решение Microsoft VPN - Часть 1: Обзор текущих решений удаленного доступа - TechGenix» . www.windowsecurity.com . Проверено 23 марта 2017 .

[4] «Настройка Manage Out для клиентов DirectAccess | PACKT Books» . www.packtpub.com . Проверено 23 марта 2017 .

[5] «Что нового в DirectAccess в Windows Server» . technet.microsoft.com . Проверено 23 марта 2017 .

[1]

vтеВиртуальная частная сеть
Протоколы связи	SSTP IPsec L2TP L2TPv3 PPTP Раздельное туннелирование DTLS SSL / TLS ( Оппортунистический : tcpcrypt )
Свободное программное обеспечение	FreeLAN FreeS / WAN Libreswan n2n OpenConnect OpenIKED Openswan OpenVPN Социальный VPN SoftEther VPN сильный tcpcrypt олово VTun WireGuard Shadowsocks
Протоколы, управляемые производителем	Протокол пересылки уровня 2 Прямой доступ
Проприетарное программное обеспечение	Avast SecureLine VPN Check Point VPN-1 Клиент Cisco Systems VPN ExpressVPN HideMyAss! Hola LogMeIn Hamachi Шлюз унифицированного доступа Microsoft Forefront NordVPN Частный доступ в Интернет ProtonVPN PureVPN SaferVPN Туннельный медведь
Векторы риска	Программное обеспечение для управления контентом Глубокая проверка содержимого Глубокая проверка пакетов Блокировка IP-адреса Перечисление сети Брандмауэр с отслеживанием состояния Атака сброса TCP Блокировка VPN