Sugerir traducción
 
Otros han sugerido:

progress indicator
No hay más sugerencias.
TechNet Magazine > Inicio > Todos los números > 2009 > TechNet Magazine Mayo 2009 >  The Cable Guy: DirectAccess y la red de borde d...
Ver contenido: en paraleloVer contenido: en paralelo
La información aquí ofrecida es contenido traducido automáticamente que los miembros de la comunidad pueden editar. Quienes deseen contribuir a mejorar la traducción, pueden hacer clic en el vínculo “editar” asociado a cualquiera de los siguientes enunciados.
Cable Guy DirectAccess and the Thin Edge Network
Joseph Davies

Parts of this article are based on prerelease code. All information herein is subject to change.

To provide intranet resource availability to remote users, typical organization networks today employ some sort of edge network containing servers for various types of remote access. These servers can be virtual private network ( VPN ) servers or concentrators, Terminal Server ( TS ) Gateway servers, or a variety of application edge servers, such as Microsoft's Outlook Web Access (OWA).
The edge network exists to separate the intranet from the Internet because the Internet is an extraordinarily hostile networking environment. An IT architect who directly connects his or her intranet to the Internet without this separation—and sufficient security systems—will soon be looking for another line of work. However, the separation introduces complexity for the remote user.
If directly connecting the intranet to the Internet for seamless access to both intranet and Internet resources for remote users is not a practical option, then the solution lies in seamlessly connecting the remote user to both the intranet and the Internet.
Current remote access VPN solutions, including Routing and Remote Access in Windows Server 2008, attempt this solution through a user-initiated Layer 2 connection to the intranet. However, remote access VPN connections are hardly seamless because they require user action to connect and reconnect. Moreover, for most VPN deployments, the VPN client computer is either connected to the Internet (when the VPN connection is not active) or connected to the intranet (when the VPN connection is active), but not both simultaneously.
It is possible to address the issue of concurrent Internet and intranet access for VPN connections by sending Internet traffic through the intranet or by configuring split-tunnel routing so that Internet and intranet traffic are separated. However, sending Internet traffic through the intranet makes Internet access for connected VPN clients slow, and setting up and maintaining split-tunnel routes can be administratively difficult.
Another issue for current VPN solutions is that the remote computer is connected to the intranet only intermittently. The model of user- initiated connections makes it difficult for IT administrators to manage remote computers with the latest updates or security policies. Remote computer management can be mitigated by checking for and requiring system health updates before completing the VPN connection. However, such requirements can add substantial wait times to the VPN connection process.
Now a new feature of Windows 7 and Windows Server 2008 R2 called DirectAccess brings us a step closer to the solution; remote clients have seamless and concurrent access to both intranet and Internet resources without adding ongoing administrative overhead and without sacrificing performance or security.
With DirectAccess, you can reduce your dependence on remote access and application edge servers, leading to the notion of the thin edge network. For example, your VPN infrastructure can be reduced because DirectAccess clients can now directly access the resource servers on the intranet. As Figure 1 shows, DirectAccess can transform your edge network. To achieve this, however, a number of engineering problems had to be solved.
Figure 1 Transforming Your Edge Network with DirectAccess

Protected Traffic across the Internet
DirectAccess uses Internet Protocol security ( IPsec) in tunnel and transport mode to authenticate the computer that is connecting and to protect the traffic that is being exchanged with the DirectAccess server over the Internet. Existing VPN solutions also use IPsec encryption. You can specify IPsec protection for computers running Windows 7 with connection security rules, which can be centrally configured through Windows Firewall with Advanced Security Group Policy settings.

End-to-End Addressing and Connectivity
Due to a lack of public IPv4 address space and the reuse of the private IPv4 address space by ISPs and intranets, providing end-to-end connectivity for remote clients with globally unique addresses is not possible with IPv4. The solution is IPv6, which provides globally unique addressing and simplifies the separation of Internet and intranet traffic. IPv6 connectivity is a requirement for DirectAccess. The only resources that DirectAccess clients can access are those that are reachable with IPv6. Therefore, your intranet must be IPv6-capable, either natively or by deploying the Intra-Site Automatic Tunnel Addressing Protocol ( ISATAP ). Alternatively, DirectAccess clients can reach IPv4-only resources on your intranet through a Network Address Translation-Protocol Translation (NAT-PT) device.

Directing Traffic
Let's suppose that for the fictional Contoso Corporation, the DNS namespace for all intranet resource names is corp.contoso.com, with intranet DNS servers FDA5:2C09:1F3C:E215::1 and FDA5:2C09:1F3C:E215::2.
In this case, the NRPT for Contoso's DirectAccess clients would contain the entry: namespace is .corp.contoso.com and DNS servers are FDA5:2C09:1F3C:E215::1, FDA5:2C09:1F3C:E215::2. Namespace
When a user runs Microsoft Outlook and attempts to connect to the EXCHNG071 email server, the TCP/IP stack will append the domain suffix for the computer (corp.contoso.com.) to the e-mail server name to get exchng071.corp.contoso.com. This name is compared against the NRPT. Because the name matches the entry for .corp.contoso.com, the DirectAccess client sends the DNS name query request to the intranet DNS servers at FDA5:2C09:1F3C:E215::1 and FDA5:2C09:1F3C:E215::2. Microsoft Outlook uses the IPv6 addresses that are returned in the DNS name query response and directly connects to its intranet Exchange server.
Let's assume that during the transition of users to Windows 7 and DirectAccess, the Contoso IT department has kept their OWA servers in their edge network. When a user on a DirectAccess client uses Internet Explorer to access the OWA server at the address https://exmail.contoso.com/exchange/, the TCP/IP stack will attempt to resolve the DNS name exmail.contoso.com. This name is compared against the NRPT. Because the name does not match the entry in the NRPT, the DNS name query request is sent to Internet DNS servers and Internet Explorer makes a connection directly to the OWA server in the edge network.
Bidirectional Connectivity and Remote Client Management
A DirectAccess client tries to connect to a DirectAccess server when the computer starts. When the user logs on, a different set of credentials is used for connecting to intranet resources. The key difference with DirectAccess over typical VPN connections is that the DirectAccess client computer is always connected to, registered with, and logged on to the intranet domain. IT departments can now manage remote computers just like intranet-connected computers and install updates, propagate Group Policy settings, and make other changes on an ongoing basis, ensuring the system configuration and health of remote computers.

Firewall and Web Proxy Traversal
Because IPv6 is the initial Layer 3 transport and most remote computers are communicating across the IPv4 Internet, a DirectAccess client computer will attempt to use the 6to4 and Teredo IPv6 transition technologies to communicate with the DirectAccess server. However, Web proxy servers and some firewalls will not forward 6to4 and Teredo-encapsulated traffic. In this case, the DirectAccess client uses IP-HTTPS, a new protocol in Windows 7 and Windows Server 2008 R2 that tunnels IPv6 packets inside an IPv4-based HTTPS session.

Determination of on-Intranet vs. on-Internet
A DirectAccess client uses a network location server that is reachable only with a direct connection to the intranet, to determine whether it is connected to the intranet. When a DirectAccess client starts up, it attempts to connect to a specified URL on the network location server. If the Web page for the URL can be successfully obtained, the DirectAccess client is on the intranet and DirectAccess is not used.

Separating Intranet from Internet Traffic
As previously described, some VPN solutions use Network layer routing table entries to separate intranet from Internet traffic. DirectAccess solves this problem in the Application layer through more intelligent name resolution and in the Network layer by summarizing the IPv6 address space of an entire organization with a single IPv6 address prefix. Rather than directing traffic solely based on a destination address, DirectAccess clients also direct traffic based on the name needed by the application. DirectAccess clients use a Name Resolution Policy Table ( NRPT ) that contains DNS namespace entries and a corresponding set of intranet DNS servers that resolve names for that DNS namespace.
When an application on a DirectAccess client attempts to resolve a name, it first compares the name with the entries in the NRPT. If there is a match, the DirectAccess client uses the specified intranet DNS servers to resolve the name. If there are no matches, the DirectAccess client uses the DNS servers configured on its Internet connection, which are typically Internet DNS servers. See the "Directing Traffic" sidebar for an example of how this works.

Summary
DirectAccess enables transparent, concurrent intranet and Internet remote access and eases the management of remote computers by combining a number of technologies and components: end-to-end connectivity ( IPv6 ), security ( IPsec), Web proxy and firewall traversal ( IP-HTTPS), location determination (network location server), and traffic separation ( NRPT ) technologies and components. With DirectAccess, you can replace some of your remote access and application edge servers with DirectAccess servers, reducing the number of servers on your edge network devoted to remote access connectivity.

Joseph Davies is a Principal Technical Writer on the Windows networking writing team at Microsoft. He is author or coauthor of a number of books published by Microsoft Press, including Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition, and Windows Server 2008 TCP/IP Protocols and Services.

Cable Guy DirectAccess y la red perimetral fina
Joseph Davies

Partes de este artículo se basan en código preliminar. Toda la información de este documento está sujeta a cambios.

Para proporcionar la disponibilidad de recursos de intranet a los usuarios remotos, redes de organización típica hoy en día emplean algún tipo de red de extremo que contiene servidores para distintos tipos de acceso remoto. Estos servidores pueden ser servidores de red privada virtual (VPN) o concentrators, los servidores de puerta de enlace de Terminal Server (TS) o una gran variedad de servidores perimetrales de aplicación, como Microsoft Outlook Web Access (OWA).
La red de extremo existe para separar la intranet desde Internet porque Internet es un entorno de red hostil extraordinariamente. Un arquitecto de TI que conecta su intranet directamente a Internet sin esta separación y sistemas de seguridad suficiente, se pronto se busca otra línea de trabajo. Sin embargo, la separación presenta complejidad para el usuario remoto.
Si no es una opción práctica conectando directamente con la intranet de Internet para tener acceso uniforme a intranet tanto y recursos de Internet para usuarios remotos, la solución radica en conectarse sin problemas el usuario remoto a la intranet e Internet.
Actuales soluciones VPN de acceso remoto, como el enrutamiento y acceso remoto en Windows Server 2008, intente esta solución mediante una conexión de nivel 2 de iniciada por el usuario a la intranet. Sin embargo, las conexiones VPN de acceso remoto son apenas perfecta ya que requieren la acción de usuario para conectarse y volver a conectar. Además, para la mayoría de las implementaciones VPN, el equipo de cliente de VPN es una conexión a Internet (cuando la conexión VPN no es activa) o conectados a la intranet (si la conexión VPN está activa), pero no ambos simultáneamente.
Es posible solucionar el problema de Internet simultánea y la intranet acceso para las conexiones VPN mediante el envío de tráfico de Internet a través de la intranet o configuración de túnel dividido enrutamiento de modo que se separan el tráfico de Internet y de intranet. Sin embargo, enviar tráfico de Internet a través de la hace de la intranet acceso a Internet para VPN conectado lento de los clientes y configurar y mantener las rutas de túnel dividido pueden resultar difíciles administrativamente.
Otro problema para las soluciones VPN actuales es que el equipo remoto está conectado a la intranet sólo de forma intermitente. El modelo de conexiones de usuario de iniciado dificulta a los administradores de TI administrar equipos remotos con la actualizaciones más recientes o las directivas de seguridad. Administración de equipos remotos puede mitigarse mediante buscando y que requieren actualizaciones de estado del sistema antes de completar la conexión VPN. Sin embargo, estos requisitos pueden agregar tiempos de espera considerable para el proceso de conexión VPN.
Ahora una nueva característica de Windows 7 y Windows Server 2008 R2 denominado DirectAccess nos lleva un paso más cerca a la solución; los clientes remotos tienen sin problemas y simultánea de acceso a intranet y los recursos de Internet sin agregar continuo sobrecarga administrativa y sin poner en peligro el rendimiento o seguridad.
Con DirectAccess, puede reducir la dependencia en acceso remoto y servidores de borde de la aplicación, lleva la noción de la red borde fino. Por ejemplo, la infraestructura de VPN puede reducirse ya acceso clientes DirectAccess pueden ahora directamente a los servidores de recursos de la intranet. Como se muestra en la figura 1 , DirectAccess puede transformar la red de extremo. Para lograr esto, sin embargo, un número de problemas de ingeniería ha tenido que es necesario resolver.
Figura 1 transformar el borde de red con DirectAccess

Tráfico protegido a través de Internet
DirectAccess utiliza seguridad de Protocolo de Internet (IPsec) en modo de transporte y túnel para autenticar el equipo que está conectando y para proteger el tráfico que se intercambian con el servidor DirectAccess a través de Internet. Las soluciones VPN existentes también utilizar cifrado de IPsec. Puede especificar la protección de IPsec para equipos que ejecutan Windows 7 con las reglas de seguridad de conexión, que se pueden configurar centralmente a través de Firewall de Windows con la configuración de avanzada directiva de grupo de seguridad.

Direcciones de extremo a otro y conectividad
Debido a falta de espacio de dirección IPv4 pública y la reutilización del espacio de direcciones IPv4 privado por proveedores de servicios de Internet y las intranets, no es posible con IPv4 proporcionar conectividad de extremo a extremo para los clientes remotos con únicos global de direcciones. La solución es IPv6, que proporciona único global de direcciones y simplifica la separación de tráfico de Internet e intranet. Conectividad de IPv6 es un requisito para DirectAccess. Los recursos sólo pueden tener acceso los clientes de DirectAccess son aquellas que son accesibles con IPv6. Por lo tanto, la intranet debe ser capaz IPv6, nativa o mediante la implementación de la dentro del sitio automática túnel direcciones Protocol (ISATAP). Como alternativa, los clientes de DirectAccess pueden llegar a los recursos de sólo IPv4 en la intranet a través de un dispositivo de conversión de protocolo de traducción de direcciones de red (NAT-PT).

Dirigir el tráfico
Vamos a Supongamos que para ficticia contoso Corporation, el espacio de nombres DNS para todos los nombres de recursos de intranet es corp.contoso.com con intranet DNS servidores FDA5:2 C 09: 1F3C:E215::1 y FDA5:2 C 09: 1F3C:E215::2.
En este caso, el NRPT para clientes de Contoso DirectAccess podría contener la entrada: espacio de nombres es. corp.contoso.com y los servidores de DNS son FDA5:2 C 09: 1F3C:E215::1, C FDA5:2 09: 1F3C:E215::2. Espacio de nombres
Cuando un usuario ejecuta Microsoft Outlook e intenta conectar con el servidor de correo electrónico EXCHNG071, la pila TCP / IP agregará el sufijo del dominio para el equipo (corp.contoso.com.) el nombre de servidor de correo electrónico para obtener exchng071.corp.contoso.com. Este nombre se compara con la NRPT. Porque el nombre coincide con la entrada de. corp.contoso.com, el cliente DirectAccess envía la solicitud de consulta de nombre de DNS a los servidores DNS de intranet en FDA5:2 C 09: 1F3C:E215::1 y FDA5:2 C 09: 1F3C:E215::2. Microsoft Outlook utiliza las direcciones de IPv6 que se devuelven en la respuesta de consulta de nombre DNS y conecta directamente a su servidor de Exchange de intranet.
Supongamos que durante la transición de los usuarios para Windows 7 y DirectAccess, el departamento de TI de Contoso mantienen sus servidores OWA de su red de extremo. Cuando un usuario en un cliente DirectAccess utiliza Internet Explorer para tener acceso al servidor OWA en el https://exmail.contoso.com/exchange/ dirección, la pila TCP / IP intentará resolver la exmail.contoso.com nombre DNS. Este nombre se compara con la NRPT. Debido a que el nombre no coincide con la entrada en el NRPT, la solicitud de consulta de nombre DNS se envía a los servidores de Internet DNS y Internet Explorer realiza una conexión directamente al servidor OWA en la red de extremo.
Conectividad de bidireccional y administración remota de cliente
Un cliente DirectAccess intenta conectarse a un servidor DirectAccess cuando se inicia el equipo. Cuando el usuario inicia sesión, se utiliza un conjunto de credenciales diferente para conectarse a recursos de intranet. La diferencia clave con DirectAccess sobre conexiones VPN típicas es que el equipo de cliente DirectAccess siempre está conectado, registradas con y ha iniciado sesión en el dominio de la intranet. Ahora los departamentos de TI pueden administrar los equipos remotos al igual que los equipos conectados de intranet y instalar actualizaciones, propagar la configuración de directiva de grupo y realizar otros cambios de forma continuada, garantizar la configuración del sistema y el estado de los equipos remotos.

Firewall y transversal de proxy Web
Debido a IPv6 es el transporte de nivel 3 inicial y los equipos más remotos se comunican a través de Internet IPv4, un equipo de cliente DirectAccess intentará usar las 6to4 y las tecnologías de transición de Teredo IPv6 para comunicarse con el servidor DirectAccess. Sin embargo, servidores proxy de Web y algunos servidores de seguridad no reenviará 6to4 y Teredo-encapsulan el tráfico. En este caso, el cliente de DirectAccess utiliza IP HTTPS, un nuevo protocolo en el 7 de Windows y Windows Server 2008 R2 que los túneles paquetes IPv6 en una sesión HTTPS basadas en IPv4.

Determinación de en intranet o en Internet
Un cliente DirectAccess utiliza un servidor de ubicación de red que es accesible sólo con una conexión directa a la intranet, para determinar si está conectado a la intranet. Cuando se inicia un cliente DirectAccess, intenta conectarse a una dirección URL especificada en el servidor de ubicación de red. Si la página Web para la dirección URL se puede obtener correctamente, el cliente DirectAccess está en la intranet y no se utiliza DirectAccess.

Separa la intranet de tráfico de Internet
Como se describió anteriormente, algunas soluciones VPN utilizar red capa enrutamiento entradas de la tabla para separar intranet del tráfico de Internet. DirectAccess resuelve este problema en el nivel de aplicación a través de resolución de nombres más inteligente y en la capa de red al resumir el espacio de direcciones IPv6 de una organización completa con un prefijo de dirección IPv6 único. En lugar de dirigir el tráfico únicamente en función de una dirección de destino, los clientes de DirectAccess también dirigen el tráfico basado en el nombre necesario para la aplicación. Los clientes de DirectAccess utilizan un nombre de resolución de directivas de tabla (NRPT) que contiene las entradas de espacio de nombres DNS y un conjunto correspondiente de servidores de DNS de intranet que resolver nombres para ese espacio de nombres DNS.
Cuando una aplicación en un cliente DirectAccess intenta resolver un nombre, en primer lugar compara el nombre con las entradas en el NRPT. Si hay una coincidencia, el cliente DirectAccess utiliza los servidores de DNS intranet especificado para resolver el nombre. Si no hay ninguna coincidencia, el cliente DirectAccess utiliza los servidores DNS configurados en su conexión a Internet, que normalmente son servidores Internet DNS. Consulte la barra lateral de redirigir tráfico para obtener un ejemplo de cómo funciona.

Resumen
DirectAccess permite intranet transparente, simultánea y acceso remoto de Internet y facilita la administración de equipos remotos mediante la combinación un número de tecnologías y los componentes: conectividad de extremo a extremo (IPv6), seguridad (IPsec), Web proxy y servidor de seguridad transversal (IP-HTTPS), determinación de ubicación (servidor de ubicación de red) y las tecnologías de separación (NRPT) de tráfico y componentes. Con DirectAccess, puede reemplazar algunos de sus acceso remoto y los servidores perimetrales de aplicación con los servidores de DirectAccess, reducir el número de servidores de la red borde dedicada a la conexión de acceso remoto.

Joseph Davies es un escritor de técnico principal en las redes de Windows escribiendo el equipo de Microsoft. Es autor o coautor de varios libros publicado por Microsoft Press, incluyendo Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition y Windows Server 2008 TCP/IP Protocols and Services.

TechNet Features

Resources

TechNet Subscriptions

¿No es suscriptor de TechNet?

Conviértase en suscriptor hoy y obtenga acceso oportuno a miles de productos de Microsoft como:

      
Page view tracker