DirectAccess

DirectAccess — это технология подключения к интранету типа VPN, являющаяся подпроектом «Unified Remote Access» («Унифицированный удалённый доступ») на базе Microsoft Windows Server 2012. В отличие от привычных подключений VPN, DirectAccess не требует ручного установления соединения через менеджер подключений и обеспечивает полноценный доступ к интранету для клиентской системы, подключённой к Интернету. Особенностью решения стало то, что Microsoft реализовала полностью прозрачную для пользователя работу: сетевое подключение устанавливается операционной системой без необходимости вмешательства пользователя. Первая версия DirectAccess появилась в Windows Server 2008 R2 и предоставляла сервис для клиентов с Windows 7 (редакции Ultimate и Enterprise) и новее. В 2010 году Microsoft Forefront Unified Access Gateway (UAG) упростил[1][2] внедрение DirectAccess, позволив отказаться от необходимости полностью переходить на IPv6 в основной корпоративной сети, а также добавив инструменты мониторинга. С выпуском Microsoft Windows Server 2012 DirectAccess был интегрирован[3] непосредственно в операционную систему и получил собственный графический интерфейс настройки, избавив от необходимости использовать UAG. Удалённый доступ теперь является частью комплекса Unified Remote Access (URA), который, помимо DirectAccess, включает решения для дистанционного подключения и службу маршрутизации и удалённого доступа.

История

Windows Server 2008 R2

Впервые представлена технология DirectAccess для обеспечения дистанционного доступа клиентским компьютерам под управлением Windows 7 (Ultimate или Enterprise) и новее. В данной редакции поддерживались только ядра корпоративных сетей с нативным IPv6 (включая сценарии через ISATAP), однако оставалась возможность совместного использования IPv4 и IPv6 при помощи таких технологий, как 6to4, Teredo, IP-HTTPS. Сервер NLS мог быть размещён совместно на шлюзе DirectAccess.

Forefront UAG

Forefront UAG[4] с выходом новых обновлений принёс следующие расширения DirectAccess: поддержку переходных технологий с NAT64 и DNS64 (начиная с RTM), возможность кластеризации с высокой доступностью и отказоустойчивостью, а также упрощённую настройку совместной работы IPv4 и IPv6 с помощью NAT64/DNS64.

Добавлен новый сценарий управления мобильными клиентами без предоставления им доступа к интранету, а также упростилась настройка маршрутизации интернет-трафика, что ранее осуществлялось исключительно через командную строку.

Упрощена интеграция проверки состояния клиента (через NAP) и многофакторная аутентификация, реализованная в партнёрстве с RSA для токенов RSA SecurID.

С выходом Service Pack 1 был добавлен графический клиентский интерфейс, позволяющий отслеживать состояние подключения и собирать диагностическую информацию для поддержки в случае, когда клиент не может подключиться через DirectAccess; остаётся возможность совместного использования только шлюза Windows 2008 R2.

Следует учитывать: с Forefront UAG невозможно консолидация сервера NLS непосредственно на этом компоненте.

Windows Server 2012 / 2012 R2

DirectAccess объединил ранее реализованные возможности Forefront UAG, стал компонентом серверной роли URA и теперь лицензионно доступен только с серверной лицензией. Ключевые новые функции URA:

  • Упрощённое внедрение за три шага (только для клиентов Windows 8).
  • Новые сценарии: шлюз можно размещать в локальной сети (LAN) или за устройством, осуществляющим NAT в публичной сети сервера.
  • Возможность совместного размещения сервера NLS на шлюзе DirectAccess.
  • Улучшенный мониторинг состояния платформы через консоль DirectAccess.
  • Создание «геокластера», когда для каждого физического офиса можно развернуть отдельный сервис.
  • Поддержка самоподписанных сертификатов, выдаваемых шлюзом DirectAccess.
  • Внедрение аутентификации с помощью виртуальных смарт-карт[5] (только для Windows 8).
  • Возможность подключения через аутентифицирующий прокси (только для Windows 8).

Принцип работы

Клиент DirectAccess инициализирует туннели IPsec IPv6 к шлюзу DirectAccess. В среде, где преобладает IPv4, IPv6-трафик инкапсулируется с помощью переходных технологий (6to4, Teredo, IP-HTTPS) для доставки по IPv6. Этот механизм позволяет создавать защищённый сетевой канал между клиентом и корпоративной информационной системой. После установления канала клиент DirectAccess получает доступ к внутренним ресурсам так же, как если бы находился в корпоративной сети. Единственным различием становится механизм разрешения DNS-имён: для доменных имён, относящихся к корпоративной сети, разрешение производится через NRPT (таблица политик разрешения имён), формируя IPv6-ответ. При попытке подключения по этому адресу NAT64 обеспечивает трансляцию с IPv6 на IPv4.

Переходные технологии

Эти программные модули обеспечивают совместную работу среды IPv4 и IPv6, чтобы осуществлять связь между ними. Для DirectAccess используются следующие компоненты Переход от IPv4 к IPv6:

DirectAccess и безопасность

В связи с критичностью работающих на границе корпоративной сети компонентов, к уровню интегрированной безопасности DirectAccess предъявляются высокие требования. DirectAccess включает ряд механизмов защиты:

Сетевая защита

Все сетевые туннели, устанавливаемые к шлюзу DirectAccess, защищаются с помощью:

  • SSL (для IP-HTTPS);
  • IPsec (во всех случаях, включая работу поверх SSL).

С Forefront UAG шлюз DirectAccess включал встроенный брандмауэр Forefront TMG, однако с выходом Windows Server 2012 защиту осуществляет Брандмауэр Windows. Поэтому рекомендуется размещать шлюз в DMZ.

Аутентификация

Для подключения к корпоративной сети через DirectAccess поддерживаются различные методы аутентификации:

  • Аутентификация пользователя:
    • учётная запись Active Directory (Kerberos),
    • физическая или виртуальная смарт-карта,
    • токены, такие как RSA SecurID, GEMALTO и др.
  • Аутентификация компьютера:
    • сертификат,
    • сертификат состояния (опционально, требует инфраструктуру NAP),
    • учётная запись Active Directory (NTLMv2).

Требования

DirectAccess на Windows Server 2008 R2 и Forefront UAG

  • Windows Server 2008 R2 с двумя сетевыми картами: одна подключена к Интернету (с публичным IP-адресом), вторая к локальной сети (с приватным IP-адресом).
  • На шлюзе DirectAccess — два последовательных публичных IPv4-адреса, назначенных сетевой карте, подключённой к Интернету.
  • Клиент DirectAccess с Windows 7 (Ultimate или Enterprise) или Windows 8 (Enterprise).
  • Сервер DNS на Windows Server 2008 SP2 или Windows Server 2008 R2.
  • Лес Active Directory функционального уровня 2003.
  • Инфраструктура открытых ключей (PKI) для управления закрытыми сертификатами.

DirectAccess на Windows Server 2012

  • Windows Server 2012 с одной или несколькими сетевыми картами.
  • Клиент DirectAccess с Windows 7 (Ultimate или Enterprise) или Windows 8 (Enterprise).
  • Сервер DNS на Windows Server 2008 SP2 или Windows Server 2008 R2.
  • Лес Active Directory функционального уровня 2003.
  • Инфраструктура открытых ключей (PKI) для управления сертификатами — при необходимости обратной совместимости с клиентами Windows 7.

Примечания

  1. Microsoft Forefront Unified Access Gateway 2010 (англ.). Microsoft. Дата обращения: 10 июня 2024. Архивировано 21 сентября 2013 года.
  2. Windows Server Division WebLog (англ.). TechNet. Microsoft. Дата обращения: 10 июня 2024. Архивировано 5 февраля 2012 года.
  3. Обзор удалённого доступа (DirectAccess, маршрутизация и удалённый доступ) (фр.). TechNet. Microsoft. Дата обращения: 10 июня 2024. Архивировано 16 января 2016 года.
  4. Список версий Forefront UAG (фр.). Sakuranohana Security (8 апреля 2011). Дата обращения: 10 июня 2024. Архивировано 5 апреля 2015 года.
  5. Использование виртуальных смарт-карт с Windows 8 (англ.). TechNet. Microsoft. Дата обращения: 10 июня 2024. Архивировано 29 июля 2013 года.

Литература

Категории