Технология DirectAccess — суть и понятия

Для подключения к ресурсам внутренней сети традиционно используются VPN подключения по протоколам PPTP, L2TP, IPsec и так далее. Но одни из решений сложны в настройке, вторые проблемно работают через NAT-устройства, третьи для подключения и переподключения требуют от пользователя выполнения определенных действий и ожидания проверки подлинности. Все это и пытались решить в DirectAccess (
http://www.microsoft.com/directaccess
) выполняет функции VPN и упрощает процесс подключения удаленному пользователю и настройки администратору. Как только будет обнаружено соединение с Интернет, клиент DirectAccess самостоятельно устанавливает подключение к корпоративной сети в фоновом режиме, причем абсолютно прозрачно для пользователя и даже до его входа в систему. В случае обрыва соединения переподключение производится также автоматически. То есть пользователь теперь не будет задумываться о том, какую кнопку нажать, и что дальше делать. Как только ему понадобится информация из удаленного офиса, он тут же ее сможет получить.
Не менее важно, что интернет-трафик идет по прямому пути, не затрагивая DirectAccess подключение. Большинство же реализаций VPN пропускают через себя весь трафик, в том числе и внешний, что увеличивает нагрузку на канал. Такая возможность в DirectAccess реализуется за счет использования механизма NRPT (Name Resolution Policy Table), который позволяет указать, какие DNS-сервера использовать в каком случае. При обращении к корпоративным ресурсам клиент направит запрос к корпоративному DNS-серверу, в остальных — разрешение имен производится обычным образом через DNS провайдера. Используя настройки, администратор вообще может запретить или ограничить внешний трафик.
Технология DirectAccess позволяет гарантировать, что все подключения соответствуют установленным политикам безопасности (наличие последних обновлений, антивирусного ПО и так далее), для этого DirectAccess интегрируется с технологией контроля доступа к сети — Network Access Protection. Соединение устанавливается с использованием протокола IPsec и IPv6. Протокол IPsec для шифрования трафика использует алгоритмы 3DES или AES. При необходимости для аутентификации пользователя могут быть задействованы смарт-карты. Учитывая, что IPv6 пока не получил широкого распространения, а использование IPsec по ряду причин может быть не возможно, DirectAccess кроме «чистой» IPv6/IPsec среды поддерживает другие сетевые сценарии, обеспечивающие работу без IPsec и/или IPv6, автоматически перебираются возможные туннели: IPv6-over-IPv4, 6to4, Teredo и наконец IP-HTTPS. Администраторы могут напрямую подключаться к клиентским системам, использующим DirectAccess, для управления ими, даже если пользователь еще не вошел в систему. Кроме того, DirectAccess предоставляет возможность по максимуму использовать новинки, появившиеся в Windows 7 — Federated Search (поиск данных во внутренней сети), Folder Redirection (автоматическая синхронизация папок на нескольких системах), централизованное хранение настроек и данных пользователя.
Подключение производится следующим образом. Клиент DirectAccess на компьютере пользователя, работающего под управлением Windows 7, пытается соединиться с внутренним веб-сервером, если он получает доступ, клиент понимает, что находится в интранет, процесс инициализации DirectAccess останавливается. Иначе производится подключение по одному из указанных выше протоколов (перебираются последовательно) с сервером DirectAccess — Windows 2008 R2, который одновременно является шлюзом, обеспечивающим доступ к ресурсам корпоративной сети. При этом с использованием IPsec ESP (Encapsulating Security Payload, инкапсуляция зашифрованных данных) устанавливается два туннельных соединения:

Настройки на сервере DirectAccess позволяют контролировать ресурсы и приложения, к которым может получить доступ пользователь.
В зависимости от используемых протоколов и наличия в сети серверов Win2k8, клиенты могут подключиться к корпоративной сети одним из двух способов:

Учитывая, что во многих организациях используются серверные ОС разного поколения, вариант End-to-Edge, вероятно, будет наиболее востребован в ближайшее время. Помимо всего прочего, он не требует изменения структуры и настроек во внутренней сети, более прост в развертывании. Для повышения доступности в сети возможно использование нескольких серверов DirectAccess с балансировкой нагрузки.

Самое главное — применение DirectAccess для внедоменных компьютеров невозможно, поэтому стоит отметить новую функцию Windows 7 «VPN Reconnect«, которая будет полезна, когда используется VPN. В случае отключения от сети, соединение будет произведено автоматически и прозрачно, что очень актуально для пользователей мобильных компьютеров, работающих через WiFi. Для определения подключения используется расширение IKEv2 (Internet Key Exchange) к IPsec.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)