DirectAccess
DirectAccess — это технология подключения к интранету типа VPN, являющаяся подпроектом «Unified Remote Access» («Унифицированный удалённый доступ») на базе Microsoft Windows Server 2012. В отличие от привычных подключений VPN, DirectAccess не требует ручного установления соединения через менеджер подключений и обеспечивает полноценный доступ к интранету для клиентской системы, подключённой к Интернету. Особенностью решения стало то, что Microsoft реализовала полностью прозрачную для пользователя работу: сетевое подключение устанавливается операционной системой без необходимости вмешательства пользователя. Первая версия DirectAccess появилась в Windows Server 2008 R2 и предоставляла сервис для клиентов с Windows 7 (редакции Ultimate и Enterprise) и новее. В 2010 году Microsoft Forefront Unified Access Gateway (UAG) упростил[1][2] внедрение DirectAccess, позволив отказаться от необходимости полностью переходить на IPv6 в основной корпоративной сети, а также добавив инструменты мониторинга. С выпуском Microsoft Windows Server 2012 DirectAccess был интегрирован[3] непосредственно в операционную систему и получил собственный графический интерфейс настройки, избавив от необходимости использовать UAG. Удалённый доступ теперь является частью комплекса Unified Remote Access (URA), который, помимо DirectAccess, включает решения для дистанционного подключения и службу маршрутизации и удалённого доступа.
История
Впервые представлена технология DirectAccess для обеспечения дистанционного доступа клиентским компьютерам под управлением Windows 7 (Ultimate или Enterprise) и новее. В данной редакции поддерживались только ядра корпоративных сетей с нативным IPv6 (включая сценарии через ISATAP), однако оставалась возможность совместного использования IPv4 и IPv6 при помощи таких технологий, как 6to4, Teredo, IP-HTTPS. Сервер NLS мог быть размещён совместно на шлюзе DirectAccess.
Forefront UAG[4] с выходом новых обновлений принёс следующие расширения DirectAccess: поддержку переходных технологий с NAT64 и DNS64 (начиная с RTM), возможность кластеризации с высокой доступностью и отказоустойчивостью, а также упрощённую настройку совместной работы IPv4 и IPv6 с помощью NAT64/DNS64.
Добавлен новый сценарий управления мобильными клиентами без предоставления им доступа к интранету, а также упростилась настройка маршрутизации интернет-трафика, что ранее осуществлялось исключительно через командную строку.
Упрощена интеграция проверки состояния клиента (через NAP) и многофакторная аутентификация, реализованная в партнёрстве с RSA для токенов RSA SecurID.
С выходом Service Pack 1 был добавлен графический клиентский интерфейс, позволяющий отслеживать состояние подключения и собирать диагностическую информацию для поддержки в случае, когда клиент не может подключиться через DirectAccess; остаётся возможность совместного использования только шлюза Windows 2008 R2.
Следует учитывать: с Forefront UAG невозможно консолидация сервера NLS непосредственно на этом компоненте.
DirectAccess объединил ранее реализованные возможности Forefront UAG, стал компонентом серверной роли URA и теперь лицензионно доступен только с серверной лицензией. Ключевые новые функции URA:
- Упрощённое внедрение за три шага (только для клиентов Windows 8).
- Новые сценарии: шлюз можно размещать в локальной сети (LAN) или за устройством, осуществляющим NAT в публичной сети сервера.
- Возможность совместного размещения сервера NLS на шлюзе DirectAccess.
- Улучшенный мониторинг состояния платформы через консоль DirectAccess.
- Создание «геокластера», когда для каждого физического офиса можно развернуть отдельный сервис.
- Поддержка самоподписанных сертификатов, выдаваемых шлюзом DirectAccess.
- Внедрение аутентификации с помощью виртуальных смарт-карт[5] (только для Windows 8).
- Возможность подключения через аутентифицирующий прокси (только для Windows 8).
Принцип работы
Клиент DirectAccess инициализирует туннели IPsec IPv6 к шлюзу DirectAccess. В среде, где преобладает IPv4, IPv6-трафик инкапсулируется с помощью переходных технологий (6to4, Teredo, IP-HTTPS) для доставки по IPv6. Этот механизм позволяет создавать защищённый сетевой канал между клиентом и корпоративной информационной системой. После установления канала клиент DirectAccess получает доступ к внутренним ресурсам так же, как если бы находился в корпоративной сети. Единственным различием становится механизм разрешения DNS-имён: для доменных имён, относящихся к корпоративной сети, разрешение производится через NRPT (таблица политик разрешения имён), формируя IPv6-ответ. При попытке подключения по этому адресу NAT64 обеспечивает трансляцию с IPv6 на IPv4.
Переходные технологии
Эти программные модули обеспечивают совместную работу среды IPv4 и IPv6, чтобы осуществлять связь между ними. Для DirectAccess используются следующие компоненты Переход от IPv4 к IPv6:
DirectAccess и безопасность
В связи с критичностью работающих на границе корпоративной сети компонентов, к уровню интегрированной безопасности DirectAccess предъявляются высокие требования. DirectAccess включает ряд механизмов защиты:
Все сетевые туннели, устанавливаемые к шлюзу DirectAccess, защищаются с помощью:
С Forefront UAG шлюз DirectAccess включал встроенный брандмауэр Forefront TMG, однако с выходом Windows Server 2012 защиту осуществляет Брандмауэр Windows. Поэтому рекомендуется размещать шлюз в DMZ.
Для подключения к корпоративной сети через DirectAccess поддерживаются различные методы аутентификации:
- Аутентификация пользователя:
- Аутентификация компьютера:
- сертификат,
- сертификат состояния (опционально, требует инфраструктуру NAP),
- учётная запись Active Directory (NTLMv2).
Требования
- Windows Server 2008 R2 с двумя сетевыми картами: одна подключена к Интернету (с публичным IP-адресом), вторая к локальной сети (с приватным IP-адресом).
- На шлюзе DirectAccess — два последовательных публичных IPv4-адреса, назначенных сетевой карте, подключённой к Интернету.
- Клиент DirectAccess с Windows 7 (Ultimate или Enterprise) или Windows 8 (Enterprise).
- Сервер DNS на Windows Server 2008 SP2 или Windows Server 2008 R2.
- Лес Active Directory функционального уровня 2003.
- Инфраструктура открытых ключей (PKI) для управления закрытыми сертификатами.
- Windows Server 2012 с одной или несколькими сетевыми картами.
- Клиент DirectAccess с Windows 7 (Ultimate или Enterprise) или Windows 8 (Enterprise).
- Сервер DNS на Windows Server 2008 SP2 или Windows Server 2008 R2.
- Лес Active Directory функционального уровня 2003.
- Инфраструктура открытых ключей (PKI) для управления сертификатами — при необходимости обратной совместимости с клиентами Windows 7.
Примечания
Литература
- Windows Server 2012 Unified Remote Access Planning and Deployment — книга Эреза Бен-Ари и Балы Натараджана по Unified Remote Access.
- DirectAccess mobilité et nomadisme : Mise en œuvre de la solution Microsoft — книга Бенуа Сотьера и Лионеля Лёперлье о DirectAccess.