Компоненты развернутой среды DirectAccess
DirectAccess полагается на технологию IPv6 с инфраструктурой PKI для предоставления невидимого безопасного соединения с сетью предприятия. Пользователю не понадобится конфигурировать клиент VPN или входить в систему. С точки зрения администратора эта технология позволяет управлять и выполнять мониторинг удаленных систем с помощью таких инструментов, как SCCM (Microsoft System Center Configuration Manager — Диспетчер конфигурации системного центра Microsoft) и Group Policy (Групповые политики). DirectAccess наконец-то уравнял удаленных сотрудников с традиционным офисным персоналом.
Ниже перечислены компоненты развернутой среды DirectAccess.
- Сервер DirectAccess. Это сервер, который подключается к внутренней сети и Интернету. Он должен работать под управлением Windows Server 2008 R2 с двумя физическими сетевыми интерфейсами: один — для публичной сети Интернет, другой — для внутренней корпоративной сети. Публичный интерфейс должен иметь два последовательных IP-адреса.
- Клиент DirectAccess. Это компьютер, на котором работает Windows 7. Должен быть членом домена с сертификатом.
- Корпоративная сеть IPv6. Сеть IPv6, к которой будут удаленно подключаться клиенты DirectAccess.
- Сервер сертификатов. Этот сервер выпускает сертификаты, поддерживающие создание туннелей, аутентификацию и безопасность. Сервер сертификатов должен иметь публичный список устаревших сертификатов (CRL), который доступен внутренне и внешне.
- Сервер NLS (Network Location Server — сервер сетевого расположения). Это сайт HTTPS, который служит индикатором для клиента DirectAccess — подключен он к Интернету или интрасети.
- Сервер DNS и Active Directory. Этот сервер должен работать под управлением Windows Server 2008 SP2 или Windows Server 2008 R2. Роли AD и DNS могут располагаться на разных физических серверах, но большинство организаций обычно устанавливают их на одном.
Для усиления безопасности также могут быть реализованы смарт-карты или защита NAP. В наиболее простой конфигурации DirectAccess требует, чтобы каждый клиент имел действительный сертификат компьютера для аутентификации во внутренней сети. Это заменяет применение традиционного имени пользователя и пароля.
DirectAccess требует поддержки протокола IPv6 во внутренней сети предприятия. Для подключения к IPv6 удаленных клиентов, работающих с IPv4, применяются переходные технологии вроде Teredo, 6to4, а также новой технологии IP-HTTPS.