DirectAccess

DirectAccess , Microsoft Windows Server 2012 ile Birleşik Uzaktan Erişim'in bir alt rolü olan VPN tipi bir intranet bağlantısıdır . Ancak bu , bağlantı yöneticisinde bir bağlantı kurulmasına gerek olmadığı ve intranete tam erişim sağladığından VPN bağlantısından ( sanal özel ağ ) farklıdır .İnternete bağlı istemci iş istasyonunda. Uzak bilgisayarlar arasında doğrudan bir bağlantıya izin veren çözümlerin çoğunun aksine, Microsoft, bağlantıyı kullanıcı için tamamen şeffaf hale getirmeyi seçmiştir ve ikincisinden herhangi bir işlem yapılmasını gerektirmez. Bilgi sistemi ile güvenli bir bağlantı kurmaktan işletim sistemi sorumludur. DirectAccess'in ilk sürümü, Windows 7 veya üzeri müşterilere (Ultimate veya Enterprise sürümlerinde) hizmet sağlamak için Windows Server 2008 R2'den alınmıştır . 2010 yılında, Microsoft Forefront Unified Access Gateway (UAG), tamamen IPv6'da bir ağ olmadan yapmayı mümkün kılan yeni tuğlalar sağlayarak DirectAccess dağıtımını basitleştirdi.de Çekirdek Ağ seviyesi , aynı zamanda, bir izleme arabirimi eklenmesi. İle Microsoft Windows Server 2012 , DirectAccess UAG tuğla ortadan kaldırır bir arayüz sağlayan işletim sistemi düzeyinde entegre edilmiştir. Uzaktan erişim artık , DirectAccess'e ek olarak, uzaktan bağlantı teknolojilerini ve Yönlendirme ve Uzaktan Erişim Hizmetini entegre eden Birleşik Uzaktan Erişim'in (URA) bir parçasıdır .

Tarihi

Windows 2008 R2

Windows 7 istemci iş istasyonları (Ultimate veya Enterprise) veya üzeri için uzaktan erişim için DirectAccess teknolojisinin tanıtımı. Bu sürümde, ISATAP aracılığıyla dağıtılanlar dahil olmak üzere yalnızca yerel IPv6 kurumsal ağ çekirdekleri desteklenir, ancak 6to4, Teredo, IP-HTTPS ile IPv4 ve IPv6 birlikte yaşamayı kullanmak yine de mümkündür. Ek olarak, NLS sunucusu DirectAccess ağ geçidinde paylaşılabilir.

Ön Planda UAG

Bu güncellemeler boyunca ön plana çıkan UAG, DirectAccess'e şu değişiklikleri getirdi: RTM sürümünden NAT64 ve DNS64 ile geçiş teknolojileri desteği, yüksek kullanılabilirlik ve hata toleransı ile kümeleme, uygulama basitleştirilmiş IPv4 ve NAT64 / DNS64 ile IPv6 birlikte yaşama.

İstemci iş istasyonları filosunu, intranete erişim vermeden göçebe bir durumda yönetmek için yeni bir senaryo, daha önce komut satırıyla yapılması gereken İnternet akışlarının yönetiminin basitleştirilmiş bir yapılandırması.

RSA SecurID belirteçleri için RSA ile yapılan bir anlaşmanın ardından, iş istasyonunun sağlığının NAP aracılığıyla basitleştirilmiş entegrasyonu, çeşitli faktörlerle kimlik doğrulaması yapılmıştır .

Ve son olarak, bağlantı durumunu görüntülemeye ve iş istasyonu DirectAccess aracılığıyla bağlanamadığında desteğin sonu için bilgi toplamaya izin veren hizmet paketi 1 ile bir istemci GUI'sinin katkısı, ikincisini bir ağ geçidi yalnızca Windows 2008 R2 altında.

Ancak dikkatli olun, Forefront UAG ile NLS sunucusunu bunun üzerinde konsolide etmek mümkün değildir.

Windows Sunucusu 2012/2012 R2

Forefront UAG'nin çeşitli özelliklerinin devam ettirilmesi ve DirectAccess artık URA sunucu rolünün bir parçasıdır. DirectAccess bu nedenle yalnızca bir sunucu lisansıyla kullanılabilir. URA'nın getirdiği yeni özellikler şunlardır:

• 3 adımda basitleştirilmiş dağıtım (yalnızca Windows 8 istemcileriyle).
• Yeni dağıtım senaryoları: ağ geçidi artık LAN ağına veya sunucunun genel ağında NAT gerçekleştiren ekipmanın arkasına yerleştirilebilir .
• NLS sunucusu DirectAccess ağ geçidinde paylaşılabilir.
• DirectAccess konsolunda izleme entegrasyonu yoluyla platformun sağlığının daha iyi izlenmesi .
• Bir " coğrafi küme " yaratma olasılığı : aslında her bir coğrafi bölgeye ayrı bir hizmet dağıtılabilir.
• DirectAccess ağ geçidi tarafından oluşturulan kendinden imzalı sertifikaları kullanma imkanı.
• Sanal akıllı kart kimlik doğrulamasına giriş (yalnızca Windows 8 ile).
• Kimlik doğrulama proxy'si aracılığıyla bağlanma imkanı (yalnızca Windows 8 ile).

Çalışma prensibi

DirectAccess istemcisi , DirectAccess ağ geçidine IPsec IPv6 tünellerini başlatır . Hala ağırlıklı olarak IPv4'e dayalı bir dünyada , IPv6 trafiği , IPv6'ya çeşitli geçiş teknolojilerinde (6to4, Teredo, IP-HTTPS) kapsüllenmiştir. Bu mekanizma, müşteri ile bilgi sistemi arasında bir ağ iletişim kanalı kurmayı mümkün kılar. Bu kanal başlatıldıktan sonra, DirectAccess istemcisi dahili kaynaklara LAN'a bağlı olduğu zamanki gibi erişir. Tek değişiklik DNS adı çözümleme mekanizmasıyla ilgilidir. DirectAccess istemcisi, kurumsal ağa bağlı bir DNS adının çözümlenmesini istediğinde, ad çözümlemesi, çözüm isteğine IPv6 yanıtı sağlayan Ad Çözümleme İlkesi Tablosu (NRPT) tarafından gerçekleştirilir. İstemci kaynağa bu IPv6 adresiyle katılmaya çalıştığında NAT64, IPv6'dan IPv4'e geçişi sağlar.

Geçiş teknolojileri

Bu farklı tuğlalar, IPv4 ve IPv6 dünyasının bir arada var olmasına izin verir, böylece ikincisi birbiriyle iletişim kurabilir. DirectAccess tarafından kullanılan IPV4'ten IPv6'ya geçiş tuğlaları şunlardır:

• 6'ya 4
• Teredo
• IP-HTTPS
• ISATAP
• DNS64
• NAT64

DirectAccess ve güvenlik

Kurumsal ağa erişimin böylesine kritik bir öğesinde, yerleşik güvenlik ile ilgili sorular ortaya çıkabilir. DirectAccess farklı mekanizmaları yerleştirir:

Ağ

DirectAccess ağ geçidine doğru başlatılan çeşitli ağ tünelleri aşağıdakiler tarafından korunur:

• IP-HTTPS kullanırken SSL .
• Her durumda IPsec (SSL akışı dahil).

Üstelik Forefront UAG ile DirectAccess ağ geçidi , korumasını sağlayan Forefront TMG güvenlik duvarını içeriyordu, ancak Windows Server 2012'nin gelişiyle ikincisi Windows Güvenlik Duvarı tarafından korunuyor , bu nedenle ikincisinin onu bir DMZ'ye yerleştirmesi önerilir .

Doğrulama

DirectAccess aracılığıyla kurumsal ağa bağlanmak için mümkün olan farklı kimlik doğrulama mekanizmaları vardır:

• Kullanıcı doğrulama
  • Active Directory Hesabı (Kerberos)
  • Akıllı kart veya sanal akıllı kart
  • RSA SecurID , GEMALTO , ... türü belirteç
• Bilgisayar kimlik doğrulaması
  • Sertifika
  • Sağlık sertifikası (isteğe bağlı), ikincisi bir NAP altyapısı gerektirir
  • Active Directory hesabı (NTLMv2)

Önkoşullar

Windows Server 2008 R2 ve Forefront UAG ile DirectAccess

• İki ağ kartına sahip Windows Server 2008 R2 : biri doğrudan İnternete bağlı (genel IP adresleme ile) ve ikincisi yerel ağa ( özel IP adresleme ile ) bağlı.
• DirectAccess ağ geçidinde, doğrudan İnternet'e bağlı ağ kartına atanmış iki ardışık genel IPv4 adresi.
• Bir Windows 7 (Ultimate veya Enterprise) veya Windows 8 (Enterprise) DirectAccess istemcisi .
• Windows Server 2008 SP2 veya Windows Server 2008 R2 çalıştıran bir DNS sunucusu.
• 2003 işlevsel düzeyi Active Directory ormanı .
• Özel sertifikaların yönetimi için bir Genel anahtar altyapısı (PKI).

Windows Server 2012 ile DirectAccess

• Bir veya daha fazla ağ kartıyla Windows Server 2012 .
• Bir Windows 7 (Ultimate veya Enterprise) veya Windows 8 (Enterprise) DirectAccess istemcisi .
• Windows Server 2008 SP2 veya Windows Server 2008 R2 çalıştıran bir DNS sunucusu.
• 2003 işlevsel düzeyi Active Directory ormanı .
• Windows 7 istemcileriyle geriye dönük uyumluluk etkinleştirilmişse, özel sertifikaları yönetmek için bir Genel anahtar altyapısı (PKI).

Referanslar

1. Microsoft Forefront Unified Access Gateway 2010
2. Windows Sunucu Bölümü WebLog
3. Uzaktan erişime genel bakış (DirectAccess, Yönlendirme ve uzaktan erişim)
4. Forefront UAG sürüm listesi
5. Windows 8 ile Sanal Akıllı Kartların Kullanılması

Dış bağlantılar

• Windows Server 2012 Birleşik Uzaktan Erişim Planlama ve Dağıtım Kitabı, Birleşik Uzaktan Erişim için Erez Ben-Ari ve Bala Natarajan tarafından hazırlanmıştır.
• DirectAccess mobilitesi ve göçebeliği: DirectAccess üzerinde Benoît Sautiere ve Lionel Leperlier tarafından Microsoft Book çözümünün uygulanması .
• Uzaktan Erişime adanmış Microsoft sayfası
• Richard Hicks Blogu
• Benoît Sautiere'nin blogu
• Lionel Leperlier'in blogu