Технологии DirectAccess
Одним из самых значительных улучшений, касающихся удаленного доступа в Windows Server 2008 R2, является добавление технологии DirectAccess. Эта технология предоставляет удаленному пользователю возможность получать доступ к сетевым ресурсам, таким как общие файловые ресурсы, общие ресурсы SharePoint и т.п., без подключения к виртуальной частной сети (VPN).
Это замечательная технология, которая для обеспечения удаленного доступа к сети объединяет в себе сложную технологию защиты и технологию получения доступа на основе политик. Однако быстро разобраться со всеми компонентами, необходимыми для приведения DirectAccess в действие, пока нелегко. Хотя многие организации и будут стремиться развернуть DirectAccess, добавление всех технологий, требуемых для внедрения DirectAccess в среде без особых усилий, может занять от нескольких месяцев до пары лет.
Ниже перечислены технологии, которые обязательно требуются для приведения DirectAccess в действие.
- Сертификаты PKI. В DirectAccess сертификаты PKI применяются в качестве метода идентификации удаленного устройства, а также как основа для установки шифрованных соединений между удаленным устройством и сетью. Следовательно, организации должны развертывать в своих средах соответствующую инфраструктуру сертификатов.
- Клиенты Windows 7. Технология DirectAccess работает только с клиентами, функционирующими под управлением Windows 7. Именно Windows 7 заставляет клиентские компоненты для шифрования, инкапсуляции и управления политиками работать вместе.
- IPSec. Компонент, который применяется в DirectAccess для управления политиками, предусматривает использование протокола IPSec для определения целевых ресурсов, к которым у удаленного пользователя должен быть доступ. Протокол IPSec может поддерживаться как от одной конечной точки до другой (т.е., начиная от клиентской системы и до самого сервера приложений), так и (упрощенный вариант) лишь от клиентской системы до прокси-сервера DirectAccess; во втором случае поддержка IPSec на самих конечных серверах приложений становится необязательной.
- IPv6. И, наконец, в DirectAccess предусмотрено использование протокола IPv6 в качестве идентификатора IP-сеансов. Несмотря на то что большинство организаций пока не перешло на применение IPv6, и в большинстве методов доступа к Интернету по-прежнему используется IPv4, в Windows 7 и Windows Server 2008 R2 полностью поддерживается туннелирование IPv6, потому оно может применяться в качестве промежуточного варианта до тех пор, пока IPv6 не станет принятым стандартом повсеместно.