10 thứ bạn cần biết về DirectAccess [Copy địa chỉ]

Thời gian đăng: 26/11/2018 14:42:46

DirectAccess là một trong kỹ thuật truy vấn từ xa có sẵn nhờ việc phối kết hợp của Windows Server 2008 R2 & Windows 7 phiên bản Enterprise hay Ultimate. DirectAccess hứa hẹn cách mạng hóa tất cả Dùng thử truy vấn từ xa để mọi nhân viên có thể thao tác từ bất kỳ chỗ nào, bất cứ lúc nào mà dường như không cần ràng buộc với các kỹ thuật truy cập từ xa cổ điển chẳng hạn như network-level VPN, SSL VPN gateway, và proxy ngược. Nó cho người dùng Dùng thử xuyên thấu, cho CNTT khả năng cai trị tiên tiến và phát triển. DirectAccess được cho phép truy vấn bất cứ ở đâu, thậm chí là khi khối hệ thống máy khách DirectAccess nằm phía đằng sau tường lửa.

1. Hoàn toàn có thể lan rộng ra mạng Công Ty với 1 máy vi tính được kết nối Internet ở bất kỳ đâu trên trái đất

mục tiêu của DirectAccess là lan rộng ra khoanh vùng mạng Công Ty đến bất cứ máy khách DirectAccess nào được kết nối Internet. Máy tính xách tay DirectAccess ở đó là 1 Thành Viên miền, được quản lý bởi các chính sách tinh chỉnh và điều khiển và cai trị như các máy vi tính nằm khoanh vùng phía bên trong đường giáp ranh biên giới mạng Công Ty. Ngoài sự lan rộng ra tầm kiểm soát điều hành của CNTT qua toàn bộ các máy tính xách tay này, không Để ý đến vị trí, DirectAccess còn cung cấp một Trải Nghiệm truy cập mạng xuyên thấu cho người tiêu dùng. Họ không nhất thiết phải nhớ sử dụng tên (name) gì đấy khi nằm ở trong mạng Công Ty & một tên (name) khác khi không Nằm trong mạng đó; đó là vì họ luôn trên mạng Công Ty.

>>> Xem thêm: HP DL380 gen10

Khi máy tính DirectAccess khởi chạy, nó sẽ thiết đặt một đường hầm “cơ sở hạ tầng”. Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess rất có thể kết nối tới những khoáng sản miền, ví dụ như domain controller, máy chủ DNS và sever quản lý. Đường hầm đó cũng là đường hầm hai chiều, vì vậy CNTT rất có thể khởi tạo các liên kết tới những máy khách DirectAccess trên Internet (được gọi là các liên kết “manage out”), cũng trong đường hầm đó, họ hoàn toàn có thể liên kết tới những host trên mạng nội bộ.

sau thời điểm người dùng đăng nhập, một đường hầm thứ 2, đường hầm mạng nội bộ (intranet tunnel), được cho phép người tiêu dùng rất có thể kết nối tới những khoáng sản Doanh Nghiệp giống như cách một host trong mạng nội bộ liên kết đến những khoáng sản đó. Chúng hoàn toàn có thể sử dụng FQDN hoặc tên nhãn để liên kết đến sever file, máy chủ web, máy chủ cơ sở dữ liệu, mail hoặc bất cứ sever nào và không cần cấu hình lại các ứng dụng khi rời khỏi mạng Công Ty. Người dùng DirectAccess luôn Nằm trong mạng Công Ty, không quan tâm tới địa điểm họ đang nơi nào.

2. Cần có đủ các nhu cầu DirectAccess

Bạn phải có đầy đủ các yêu cầu trước khi ban đầu tiến hành DirectAccess. Để ban đầu, bạn cần:

tối thiểu một domain controller chạy Windows Server 2003 hoặc phiên bản cao hơn.
Một PKI bên trong để gán các chứng chỉ cho các máy khách & sever DirectAccess.
Một PKI private hoặc public để gán các chứng chỉ trang web cho bộ lắng nghe IP-HTTPS listener và Network Location Server (sẽ được bàn thảo ở bên dưới).
>>> Xem thêm: HP DL360 gen10

thêm vào đó bạn phải có các nhu cầu khác:

sever DirectAccess phải là Windows Server 2008 R2 Standard, Enterprise hoặc phiên bản cao hơn.
IPv6 phải được Action, các công nghệ tiên tiến chuyển tiếp khoảng không địa chỉ IPv6 cũng cần phải bị vô hiệu hóa.
Các máy khách DirectAccess phải chạy Windows 7 Enterprise hoặc Ultimate.
Các máy khách DirectAccess phải là member của 1 miền Active Directory.
Network Location Server (Web server) năng lực có sẵn cao phải Nằm trong mạng Công Ty.
Nếu có không ít tường lửa phía đằng trước hoặc phía đằng sau máy chủ DirectAccess, các bộ lọc dữ liệu phải được kích hoạt để được cho phép lưu lượng rất cần thiết.
sever DirectAccess phải có hai adapter giao diện mạng.

3. IPv6 là căn nguyên trong media DirectAccess

Máy khách DirectAccess luôn sử dụng không gian địa chỉ IPv6 để truyền thông với máy chủ DirectAccess. Máy chủ DirectAccess sẽ chuyển tiếp các kết nối này tới các dòng thiết bị IPv6 trên mạng Doanh Nghiệp. Mạng Doanh Nghiệp rất có thể sử dụng hạ tầng IPv6 (nói như thế là tất cả router, switch, hệ điều hành và quản lý và các ứng dụng đều có khả năng bổ trợ IPv6) hoặc nó rất có thể sử dụng các kỹ thuật chuyển tiếp IPv6 để liên kết đến những tài nguyên IPv6 trên mạng Doanh Nghiệp.

sever DirectAccess hoàn toàn có thể sử dụng ISATAP (Intra-site Automatic Tunnel Addressing Protocol) cho những gói tài liệu đường hầm IPv6 bên phía trong các header IPv4, đấy là giao thức có thể tận dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển các gói tài liệu IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internet có thể sử dụng một số trong những các công nghệ tiên tiến chuyển tiếp IPv6 để kết nối đến máy chủ DirectAccess, bao gồm 6to4, Teredo & IP-HTTPS.

4. IPSec bảo vệ sự media từ trên đầu đến cuối

Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạng Internet bên ngoài, cho nên sự đáng tin cậy trong truyền thông media là một trong luận điểm rất là quan trọng. DirectAccess sử dụng giao thức Ipsec để bảo vệ sự an toàn và tin cậy truyền thông media giữa sever & khách DirectAccess. Cơ chế đường hầm Ipsec được sử dụng để thiết lập các đường hầm mạng nội bộ và cơ sở hạ tầng. Thêm vào đó, chúng ta có thể thông số kỹ thuật DirectAccess để nhu cầu mã hóa từ đầu đến cuối (end-to-end) giữa máy khách DirectAccess & sever đích đến trên mạng Doanh Nghiệp nhằm mục đích sử dụng chế độ truyền tải Ipsec, Từ đó liên kết được mã hóa từ máy khách đến đích của chính nó. DirectAccess cũng lợi dụng tính năng AuthIP mới được trình làng đầu tiên trong Vista và Windows Server 2008, làm cho các liên kết được đánh giá trải qua chứng chỉ người dùng hoặc laptop thay vì chỉ các chứng từ máy vi tính.

5. Các phần mềm máy khách phải hiểu không gian địa chỉ IPv6

Tuy kim chỉ nam là cung ứng một Trải Nghiệm tin học cũng như các máy khách được liên kết trong mạng Doanh Nghiệp, nhưng có một số điểm khác biệt ở vị trí chính giữa máy khách trong mạng Doanh Nghiệp và máy khách DirectAccess: máy khách DirectAccess phải & luôn luôn sử dụng IPv6 để liên kết đến máy chủ DirectAccess. Điều này có nghĩa rằng phần mềm máy khách trên máy khách DirectAccess phải hiểu không gian địa chỉ IPv6. Nếu ứng dụng máy khách thiếu hiểu biết nhiều khoảng không địa chỉ IPv6, liên kết sẽ thất bại. Điều ấy còn đúng thậm chí khi sử dụng một bộ biến đổi IPv6 sang IPv4, đó là bộ biến đổi cho phép các máy khách DirectAccess rất có thể liên kết đến những sever IPv4 trên mạng Công Ty.

6. Thao tác với sự hỗ trợ của Active Directory & Group Policy

một số trong những biến hóa thông số kỹ thuật máy chủ và máy khách DirectAccess để giúp phương án thao tác làm việc. Để có thể tạo các biến hóa này theo 1 cách hiệu quả nhất, giải pháp mà DirectAccess đề ra là sử dụng các đối tượng người tiêu dùng Active Directory & Active Directory Group Policy. GPO được gán cho sever & máy khách DirectAccess. Cộng thêm, Active Directory được yêu cầu cho việc đánh giá và thẩm định chứng thực. Đường hầm cơ sở hạ tầng sử dụng thẩm định và đánh giá NTLMv2 để đánh giá và thẩm định tài khoản máy tính xách tay kết nối với sever DirectAccess, thông tin tài khoản máy tính đó phải Nằm trong miền Active Directory. Đường hầm mạng nội bộ sử dụng thẩm định và đánh giá Kerberos cho người dùng đã đăng nhập để có thể tạo đường hầm thứ hai.

dù rằng Active Directory & GPO được nhu cầu nhưng máy chủ DirectAccess không cần thiết phải là MTV của miền. Miễn là có sự an toàn hai chiều giữa miền máy chủ DirectAccess & domains/forest khoáng sản, chiến thuật sẽ làm việc.

7. Các máy chủ mạng nội bộ được cho phép các máy khách DirectAccess biết bao giờ chúng nằm ở trong mạng Doanh Nghiệp

DirectAccess có thiết kế để thao tác làm việc tự động hóa và hoạt động trong cơ chế background. Người dùng Chưa hẳn triển khai bất cứ thứ gì để có thể tạo (turn on) liên kết DirectAccess. Tất cả các gì mà người ta cần thực hiện là bật (turn on) máy vi tính của bản thân mình. Thực tế, người dùng thậm chí là không cần đăng nhập! Trước lúc đăng nhập, đường hầm cơ sở hạ tầng được thiết đặt 1 cách tự động, và các thành phần (agent) của máy khách DirectAccess rất có thể kết nối đến máy chủ của chúng để cập nhật các nâng cấp, các thông báo thông số kỹ thuật cần thiết, các setup bảo mật thông tin và bất cứ thứ gì cần thiết để bảo đảm an toàn cho máy khách DirectAccess tuân hành đúng các chế độ bảo mật & cấu hình mạng.

để hỗ trợ cho tiến trình có thể trở nên trong quãng, phải có một cơ chế mà ở đó các phần tử của máy khách DirectAccess biết khi nào chúng cần bật, lúc nào cần tắt. Chính là Network Location Server. Network Location Server (NLS) là một Web server cho phép các liên kết SSL gửi đến. Bạn có thể cho phép thẩm định và đánh giá tích hợp hoặc nặc danh đến máy chủ NLS. Khi máy khách DirectAccess kết nối đến NLS, nó sẽ biết rằng nó đang nằm trên mạng Doanh Nghiệp, & sẽ tắt các thành phần máy khách DirectAccess. Nếu máy khách DirectAccess không thể liên lạc được máy chủ NLS, khi ấy nó biết rằng nó đang nằm ngoài mạng Công Ty và sẽ tự động bật các phần tử máy khách DirectAccess để cài đặt các đường hầm Ipsec đến sever DirectAccess qua Internet. Máy khách DirectAccess sẽ triển khai một hành động kiểm tra chứng chỉ NLS Web server trên danh sách chứng chỉ bị thu hồi - Certificate Revocation list, chính vì như vậy CRL phải có sẵn. Bằng không liên kết đến trang web NLS SSL sẽ thất bại và các bước bắt gặp mạng nội bộ cũng biến thành thất bại.

8. Chứng từ, chứng chỉ, chứng chỉ!

Các chứng từ được dùng ở một số vị trí trong phương án DirectAccess client/server. Một số trong những nơi mà bạn sẽ phát hiện các chứng từ đó là:

Máy khách DirectAccess. Mỗi máy khách DirectAccess cần phải có một chứng từ để cài đặt các liên kết Ipsec đến sever DirectAccess. Các chứng chỉ này được dùng để tạo các kết nối Ipsec và cũng được sử dụng bởi IP-HTTPS, nơi máy chủ DirectAccess sẽ thực hiện hành động hợp lệ hóa chứng chỉ laptop trước khi được chấp nhận kết nối IP-HTTPS ra mắt trên Internet. Các chứng từ máy vi tính được gán rất tốt bằng phương pháp sử dụng Microsoft Certificate Server & phương án tự động kết nạp chứng chỉ dựa trên Group Policy.
IP-HTTPS listener trên sever DirectAccess. IP-HTTPS là 1 công nghệ tiên tiến chuyển tiếp IPv6 được dùng cho những gói tài liệu đường hầm IPv6 trên Internet IPv4. Giao thức này được thiết kế theo phong cách bởi Microsoft nhằm được cho phép máy khách DirectAccess có thể liên kết đến máy chủ DirectAccess, thậm chí nếu máy khách DirectAccess nằm phía đằng sau tường lửa chỉ được chấp nhận các liên kết HTTP/HTTPS gửi đi hoặc phía đằng sau Web proxy server. IP-HTTPS listener nhu cầu một chứng từ website, và máy khách DirectAccess phải có khả năng gọi điện liên lạc với máy chủ đang chứa CRL cho việc thẩm định chứng chỉ. Nếu quá trình kiểm tra CRL thất bại, liên kết IP-HTTPS cũng biến thành thất bại. Các chứng từ dịch vụ thương mại là phương án cực tốt cho IP-HTTPS listener, vì CRL của họ có sẵn trên toàn cầu.Máy chủ DirectAccess.
sever DirectAccess tàng trữ chứng chỉ website the IP-HTTPS, mặc dù thế nó cũng yêu cầu một chứng từ máy tính xách tay để setup các liên kết Ipsec với các máy khách DirectAccess.

9. Bảng cơ chế phân định tên cung ứng các truy cập DNS theo cơ chế

Máy khách DirectAccess sử dụng bảng cơ chế phân định tên - Name Resolution Policy Table (NRPT) để xác định máy chủ DNS nào hoàn toàn có thể sử dụng để phân định tên. Khi máy khách DirectAccess Nằm ở phía trong mạng Công Ty, NRPT sẽ tự động hóa được tắt. Khi máy khách DirectAccess bắt gặp rằng nó nằm trên Internet, máy khách DirectAccess sẽ Action NRPT & kiểm tra các entry của chính nó để nhìn máy chủ DNS nào nên sử dụng để liên kết đến tài nguyên. Bạn đặt tên miền phía bên trong của chính bản thân mình & các máy chủ có thể trên NRPT & cấu hình nó để sử dụng sever DNS phía bên trong cho sự phân định tên.

Khi máy khách DirectAccess nằm trên Internet cần kết nối đến tài nguyên bằng FQDN, nó sẽ kiểm tra NRPT. Nếu tên này Nằm trong đó, truy cập sẽ được gửi đến máy chủ DNS trong mạng nội bộ. Còn nếu không có trong NRPT, máy khách DirectAccess sẽ gửi một truy cập đến máy chủ DNS đã được thông số kỹ thuật trên NIC của nó, đó là Internet DNS server. Tên của NLS server cũng khá được bỏ trên NRPT, dẫu thế nó được nhóm vào list bãi miễn – có nghĩa rằng máy khách DirectAccess không khi nào sử dụng sever mạng nội bộ để phân định tên của máy chủ NLS. Do đó máy khách DirectAccess trên Internet sẽ không thể phân định tên của sever NLS và vì thế sẽ biết rằng nó đang nằm trên Internet để Từ đó bật các thành phần máy khách DirectAccess. Quan trọng hơn, khi kết nối đến mạng Doanh Nghiệp qua kết nối DirectAccess, các máy khách DirectAccess không nghĩ rằng nó được kết nối đến mạng Doanh Nghiệp bởi việc phân định tên của NLS server.

10. DirectAccess được chấp nhận năng lực chuyên môn “manage out”

Như đã đề cập ở trên, CNTT rất có thể tận dụng khả năng “manage out” bởi đường hầm hạ tầng để liên kết tới những máy khách DirectAccess trên Internet. Mặc dù thế, bạn vẫn cần thông số kỹ thuật các rule tường lửa trong Windows Firewall with Advanced Security (WFAS) để cho phép các kết nối này cho những máy khách Teredo. Khi tạo các rule này, đảm bảo an toàn rằng chúng đã bật tính năng Edge Traversal cho Firewall Rule. Máy khách DirectAccess là Teredo khi chúng nằm phía sau NAT để liên kết đến Internet và sever DirectAccess, hiện nay thiết bị NAT được cho phép gửi đi trên cổng UDP 3544.

>>> Xem thêm: Dell R640