Специфические требования DirectAccess
Хотя DirectAccess позиционируется как альтернатива VPN, технология DirectAccess имеет в себе все элементы VPN. Она устанавливает защищенный частный туннель через публичные сети, используя для этого IPSec и сертификаты, и полученная в результате функциональность не слишком отличается от L2TP. Существующие отличия имеют скорее административный характер, нежели технический.
Протокол DirectAccess использует IPv6, IPSec и сертификаты для установки безопасных соединений клиентов DirectAccess с ресурсами интрасети через сервер DirectAccess. Чтобы проходить через публичные сети IPv4, в DirectAccess используются переходные технологии IPv6, такие как ISATAP, Teredo и 6to4.
DirectAccess предъявляет некоторые специфические требования:
- Сервер, функционирующий под управлением Windows Server 2008 R2, должен иметь две сетевые карты: одну, подключенную к интрасети, и другую — к Интернету.
- Сетевая карта, подключенная к Интернету, должна иметь два последовательных публичных адреса IPv4.
- Ресурсы и приложения интрасети должны поддерживать IPv6.
- Клиенты DirectAccess должны работать под управлением Windows 7; более старые клиенты не поддерживаются.
- Контроллер домена и сервер DNS, к которым подключены системы, должны функционировать под управлением Windows Server 2008 с пакетом обновлений SP2 или Windows Server 2008 R2.
- Должна существовать инфраструктура PKI для выпуска сертификатов с публично доступным в Интернете списком отмененных сертификатов (certificate revocation list-CRL).
Эти довольно строгие требования могут помешать многим организациям в развертывании DirectAccess. Однако для организаций с современной инфраструктурой, серверами и клиентами DirectAccess может оказаться блестящим решением.