Přímý přístup

DirectAccess je intranetové připojení typu VPN , dílčí role Unified Remote Access s Microsoft Windows Server 2012 . To se však liší od připojení VPN ( virtuální privátní síť ), protože není nutné navazovat připojení ve správci připojení, a umožňuje to úplný přístup k intranetu ke klientské pracovní stanici připojené k Internetu. Na rozdíl od většiny řešení umožňujících přímé spojení mezi vzdálenými počítači se společnost Microsoft rozhodla učinit připojení zcela transparentním pro uživatele a nevyžaduje od něj žádnou akci. Za navázání zabezpečeného spojení s informačním systémem odpovídá operační systém. První verze DirectAccess pochází ze systému Windows Server 2008 R2 , který poskytuje služby zákazníkům Windows 7 nebo vyšším (v edicích Ultimate nebo Enterprise). V roce 2010 Microsoft Forefront Unified Access Gateway (UAG) zjednodušil nasazení DirectAccess tím, že přinesl nové cihly, které umožňují obejít se bez sítě zcela v IPv6 na úrovni hlavní sítě , a také přidání monitorování rozhraní. S Microsoft Windows Server 2012 je DirectAccess integrován na úrovni operačního systému a poskytuje rozhraní, které vylučuje cihlu UAG. Vzdálený přístup je nyní součástí Unified Remote Access (URA), který kromě DirectAccess integruje technologie vzdáleného připojení a službu Směrování a vzdálený přístup .

Historický

Windows 2008 R2

Zavedení technologie DirectAccess pro vzdálený přístup pro klientské pracovní stanice Windows 7 (Ultimate nebo Enterprise) nebo vyšší. V této verzi jsou podporována pouze nativní firemní síťová jádra IPv6, včetně těch nasazených prostřednictvím ISATAP, je však stále možné použít společné bydlení IPv4 a IPv6 s 6to4, Teredo, IP-HTTPS. Server NLS lze navíc sdílet na bráně DirectAccess.

Forefront UAG

Forefront UAG v průběhu těchto aktualizací přinesl do DirectAccess následující změny: podpora přechodových technologií s NAT64 a DNS64 přítomných z verze RTM, shlukování s vysokou dostupností a odolností proti chybám, implementace zjednodušeného soužití IPv4 a IPv6 s NAT64 / DNS64.

Nový scénář pro správu flotily klientských pracovních stanic v nomádské situaci bez umožnění přístupu na intranet, zjednodušená konfigurace správy internetových toků, kterou bylo dříve nutné provádět pomocí příkazového řádku.

Po dohodě s RSA pro tokeny RSA SecurID byla zavedena zjednodušená integrace stavu pracovní stanice prostřednictvím NAP, autentizace s několika faktory .

A konečně příspěvek klientského grafického uživatelského rozhraní s aktualizací Service Pack 1, která umožňuje zobrazit stav připojení a shromažďovat informace na konci podpory, když se pracovní stanice nemůže připojit přes DirectAccess, je třeba si uvědomit, že je stále možné použít druhý s bránou pouze v systému Windows 2008 R2.

Buďte opatrní, ale s Forefront UAG na něm není možné konsolidovat server NLS.

Windows Server 2012/2012 R2

Obnovení různých funkcí Forefront UAG, navíc DirectAccess je nyní součástí role serveru URA. DirectAccess lze proto použít pouze s licencí serveru. Nové funkce, které přináší URA, jsou:

• Zjednodušené nasazení ve 3 krocích (pouze u klientů Windows 8).
• Nové scénáře nasazení: bránu lze nyní umístit do sítě LAN nebo za zařízení, které provádí NAT ve veřejné síti serveru.
• Server NLS lze sdílet na bráně DirectAccess.
• Vylepšené monitorování stavu platformy díky integraci monitorování v konzole DirectAccess.
• Možnost vytvoření „ geoklastru “: na každou geografickou lokalitu lze skutečně nasadit samostatnou službu.
• Možnost použít certifikáty podepsané svým držitelem vygenerované bránou DirectAccess.
• Zavedení ověřování pomocí virtuální čipové karty (pouze u Windows 8).
• Možnost připojení přes autentizující proxy (pouze u Windows 8).

Princip činnosti

Klient DirectAccess inicializuje tunely IPsec IPv6 na bránu DirectAccess. Ve světě, který je stále převážně založen na protokolu IPv4, je provoz protokolu IPv6 zapouzdřen v různých technologiích přechodu (6to4, Teredo, IP-HTTPS) na IPv6. Tento mechanismus umožňuje vytvořit síťový komunikační kanál mezi klientem a informačním systémem. Jakmile je tento kanál inicializován, přistupuje klient DirectAccess k interním prostředkům stejným způsobem, jako když je připojen k síti LAN. Jediná změna se týká mechanismu rozlišení názvů DNS. Když klient DirectAccess požaduje rozlišení názvu DNS závislého na podnikové síti, je překlad názvů zpracován pomocí tabulky zásad rozlišení názvů (NRPT), která poskytuje odpověď IPv6 na požadavek na rozlišení. Když se klient pokusí připojit k prostředku s touto adresou IPv6, NAT64 zajistí přechod z IPv6 na IPv4.

Přechodné technologie

Tyto různé cihly umožňují koexistovat svět IPv4 a IPv6, takže mohou navzájem komunikovat. Přechodové cihly IPV4 na IPv6 používané DirectAccess jsou:

• 6 až 4
• Teredo
• IP-HTTPS
• ISATAP
• DNS64
• NAT64

DirectAccess a zabezpečení

U tak kritického prvku přístupu k podnikové síti mohou vyvstat otázky týkající se palubní bezpečnosti. DirectAccess vkládá různé mechanismy:

Síť

Různé síťové tunely iniciované směrem k bráně DirectAccess jsou chráněny:

• SSL při použití IP-HTTPS.
• IPsec ve všech případech (včetně toku SSL).

Navíc s Forefront UAG brána DirectAccess obsahovala bránu firewall Forefront TMG, která zajišťuje její ochranu, avšak s příchodem Windows Server 2012 je tento server chráněn bránou Windows Firewall , a proto se pro něj doporučuje umístit jej do DMZ .

Ověření

K připojení k podnikové síti prostřednictvím DirectAccess je možné použít různé ověřovací mechanismy:

• Ověření uživatele
  • Účet služby Active Directory (Kerberos)
  • Čipová karta nebo virtuální čipová karta
  • RSA SecurID , GEMALTO , ...
• Ověření počítače
  • Osvědčení
  • Zdravotní certifikát (volitelný), druhý vyžaduje infrastrukturu NAP
  • Účet služby Active Directory (NTLMv2)

Předpoklady

DirectAccess s Windows Server 2008 R2 a Forefront UAG

• Windows Server 2008 R2 se dvěma síťovými kartami: jednou připojenou přímo k Internetu (s veřejným adresováním IP) a druhou připojenou k místní síti (se soukromým adresováním IP ).
• Na bráně DirectAccess dvě po sobě jdoucí veřejné adresy IPv4 přiřazené na síťové kartě připojené přímo k Internetu.
• Klient Windows 7 (Ultimate nebo Enterprise) nebo Windows 8 (Enterprise) DirectAccess .
• Server DNS se systémem Windows Server 2008 SP2 nebo Windows Server 2008 R2.
• Lesní služba Active Directory z roku 2003 na funkční úrovni.
• Public Key Infrastructure (PKI) pro správu soukromých certifikátů.

DirectAccess se systémem Windows Server 2012

• Windows Server 2012 s jednou nebo více síťovými kartami.
• Klient Windows 7 (Ultimate nebo Enterprise) nebo Windows 8 (Enterprise) DirectAccess .
• Server DNS se systémem Windows Server 2008 SP2 nebo Windows Server 2008 R2.
• Lesní služba Active Directory z roku 2003 na funkční úrovni.
• Public Key Infrastructure (PKI) pro správu soukromých osvědčení, pokud je povolena zpětná kompatibilita s klienty Windows 7.

Reference

1. Microsoft Forefront Unified Access Gateway 2010
2. Windows Server Division WebLog
3. Přehled vzdáleného přístupu (DirectAccess, Routing a vzdálený přístup)
4. Seznam verzí Forefront UAG
5. Používání virtuálních čipových karet ve Windows 8

externí odkazy

• Kniha Plánování a nasazení sjednoceného vzdáleného přístupu Windows Server 2012 od Ereze Ben-Ariho a Baly Natarajana o sjednoceném vzdáleném přístupu.
• Mobilita a nomádství DirectAccess: Implementace řešení Microsoft Book od Benoîta Sautiereho a Lionela Leperliera na DirectAccess.
• Stránka Microsoft věnovaná vzdálenému přístupu
• Blog Richarda Hickse
• Blog Benoît Sautiere
• Blog Lionela Leperliera