Cabo da equipeDirectAccess e a rede de borda fina
Joseph Davies
Partes deste artigo são baseadas no código pré-lançamento.Todas as informações aqui contidas estão sujeitas a alterações.
Conteúdo
Tráfego protegido através da Internet
Endereçamento de extremidade-a-término e conectividade
Conectividade de bidirecional e gerenciamento de cliente remoto
Firewall e Traversal de proxy da Web
Determinação de vs da intranet.na Internet
Separando a intranet de tráfego de Internet
Resumo
Para fornecer disponibilidade de recursos de intranet a usuários remotos, redes de organização típica hoje utilizam algum tipo de rede de borda contendo servidores para vários tipos de acesso remoto.Esses servidores podem ser servidores de rede virtual privada (VPN) ou concentradores, servidores de Gateway TS (Terminal Server) ou uma variedade de servidores de borda de aplicativos, como do Microsoft Outlook Web Access (OWA).
A rede de borda existe para separar a intranet da Internet como a Internet é um ambiente de rede hostil extraordinariamente.Um arquiteto IT que conecta diretamente dele intranet à Internet sem essa separação — e sistemas de segurança suficiente — irá em breve estar procurando outra linha de trabalho.No entanto, a separação apresenta complexidade para o usuário remoto.
Se conexão diretamente com a intranet a Internet para acesso uniforme a intranet tanto e recursos da Internet para usuários remotos não for uma opção prática, a solução está na conexão diretamente com o usuário remoto tanto a intranet e a Internet.
Soluções VPN de acesso remoto atuais, incluindo roteamento e acesso remoto no Windows Server 2008, tente esta solução por uma conexão de camada 2 iniciados pelo usuário para a intranet.No entanto, conexões VPN de acesso remoto são raramente uniforme porque elas exigem ação do usuário para conectar-se e reconectar.Além disso, para a maioria das implantações de VPN, o VPN computador cliente é um conectado à Internet (quando a conexão VPN não está ativa) ou conectado à intranet (quando a conexão VPN estiver ativa), mas não ambos simultaneamente.
É possível resolver o problema de acesso de intranet para conexões VPN e de Internet simultânea enviando o tráfego da Internet através da intranet ou configurar o encapsulamento dividido roteamento para que o tráfego de Internet e intranet são separados.No entanto, enviar tráfego de Internet por meio de torna a intranet acesso à Internet para VPN conectado lento de clientes e como configurar e manter as rotas de encapsulamento dividida podem ser difícil administrativamente.
Outro problema para soluções VPN atuais é que o computador remoto está conectado à intranet apenas temporariamente.O modelo de conexões iniciadas pelo usuário torna difícil para os administradores de TI gerenciar computadores remotos com o atualizações mais recentes ou as diretivas de segurança.Gerenciamento do computador remoto pode ser reduzido, verificando e exigir atualizações de integridade do sistema antes de concluir a conexão VPN.No entanto, esses requisitos podem adicionar tempos de espera substancial para o processo de conexão VPN.
Agora um novo recurso do Windows 7 e Windows Server 2008 R2 chamado DirectAccess nos traz uma etapa em direção a solução; os clientes remotos têm acesso uniforme e simultâneo ao intranet e recursos da Internet sem adicionar a sobrecarga administrativa em andamento e sem sacrificar o desempenho ou segurança.
Com DirectAccess, você pode reduzir a dependência no acesso remoto e servidores de borda do aplicativo, levando a noção da rede de borda fina.Por exemplo, sua infra-estrutura VPN pode ser reduzido porque DirectAccess clientes agora podem acessar diretamente os servidores de recursos na intranet.Como mostra a Figura 1 , DirectAccess pode transformar sua rede de borda.Para fazer isso, no entanto, um número de problemas de engenharia tinha que ser resolvidos.
Figura 1 Transforming sua borda de rede com DirectAccess
Tráfego protegido através da Internet
DirectAccess usa (IPsec) Internet Protocol security nos modos de encapsulamento e transporte para autenticar o computador que está se conectando e para proteger o tráfego que está sendo trocado com o servidor DirectAccess pela Internet.Soluções VPN existentes também usar criptografia IPsec.Você pode especificar proteção de IPsec para computadores que executam Windows 7 com regras de segurança de conexão, que podem ser centralmente configuradas através do Firewall do Windows com configurações diretiva de grupo de segurança avançada.
Endereçamento de extremidade-a-término e conectividade
Devido à falta de espaço de endereço IPv4 público e a reutilização do espaço de endereço IPv4 particular por provedores de serviços de Internet e intranets, fornecer conectividade de ponta a ponta para clientes remotos endereços exclusivos globalmente não é possível com o IPv4.A solução é IPv6, que fornece endereçamento exclusivo e simplifica a separação de tráfego de Internet e intranet.Conectividade IPv6 é um requisito para DirectAccess.Os recursos somente que DirectAccess clientes podem acessar são aquelas que podem ser acessados com o IPv6.Portanto, sua intranet deve ser IPv6 com capacidade, originalmente ou Implantando o intra-site automático encapsulamento Addressing Protocol (ISATAP).Como alternativa, clientes DirectAccess podem acessar recursos de IPv4 somente em sua intranet por meio de um dispositivo de conversão de protocolo de conversão de endereço de rede (NAT-PORTUGAL).
Direcionar o tráfego
Vamos supor que, para a Contoso Corporation fictício, o espaço para nome DNS para todos os nomes de recursos da intranet é corp.contoso.com, com FDA5:2 de servidores DNS da intranet C 09: 1F3C:E215::1 e FDA5:2 C 09: 1F3C:E215::2.
Nesse caso, o NRPT para clientes de DirectAccess da Contoso deve conter a entrada: espaço para nome é. corp.contoso.com e servidores de DNS são FDA5:2 C 09: 1F3C:E215::1, FDA5:2 C 09: 1F3C:E215::2.Espaço para nome
Quando um usuário executa o Microsoft Outlook e tenta se conectar ao servidor de email EXCHNG071, a pilha TCP / IP acrescentarão o sufixo de domínio para o computador (corp.contoso.com.) ao nome de email do servidor para obter exchng071.corp.contoso.com.Esse nome é comparado com o NRPT.Porque a entrada coincide com o nome. corp.contoso.com, o cliente de DirectAccess envia a solicitação de consulta de nome DNS para os servidores DNS da intranet no FDA5:2 C 09: 1F3C:E215::1 e FDA5:2 C 09: 1F3C:E215::2.O Microsoft Outlook usa os endereços IPv6 retornados na resposta de consulta de nome DNS e se conecta diretamente ao seu servidor do Exchange de intranet.
Vamos supor que durante a transição de usuários para Windows 7 e DirectAccess, o departamento de TI da Contoso manteve seus servidores OWA em sua rede de borda.Quando um usuário em um cliente DirectAccess utiliza o Internet Explorer para acessar o servidor OWA em https://exmail.contoso.com/exchange/ o endereço, a pilha TCP / IP tentarão resolver a exmail.contoso.com de nome DNS.Esse nome é comparado com o NRPT.Porque o nome não corresponde a entrada no NRPT, a solicitação de consulta de nome DNS é enviada para os servidores DNS da Internet e o Internet Explorer estabelece uma conexão diretamente para o servidor OWA na rede de borda.
Conectividade de bidirecional e gerenciamento de cliente remoto
Um cliente DirectAccess tenta se conectar a um servidor DirectAccess quando o computador for iniciado.Quando o usuário faz logon, um conjunto diferente de credenciais é usado para se conectar a recursos da intranet.A principal diferença com DirectAccess em conexões VPN comuns é que o computador de cliente de DirectAccess sempre está conectado, registrado com e conectado ao domínio de intranet.Os departamentos de TI podem agora gerenciar computadores remotos, assim como os computadores conectados a intranet e instalar atualizações, propagar as configurações de diretiva de grupo e fazer outras alterações em uma base contínua, assegurar a configuração do sistema e a integridade dos computadores remotos.
Firewall e Traversal de proxy da Web
Como o IPv6 é o transporte de camada 3 inicial e computadores mais remotos estão se comunicando pela Internet IPv4, um computador de cliente DirectAccess tentará usar o 6to4 e tecnologias de transição do IPv6 Teredo para se comunicar com o servidor DirectAccess.No entanto, servidores de proxy da Web e alguns firewalls não encaminhará 6to4 e tráfego encapsulado Teredo.Nesse caso, o cliente de DirectAccess usa IP-HTTPS, um novo protocolo em 7 de Windows e Windows Server 2008 R2 encapsulamentos pacotes IPv6 em uma sessão HTTPS baseadas em IPv4.
Determinação da intranet e na Internet
Um cliente DirectAccess usa um servidor de local de rede que seja acessível somente com uma conexão direta com a intranet, para determinar se ele está conectado à intranet.Quando um cliente DirectAccess é inicializado, ele tenta se conectar a um URL especificado no servidor de rede local.Se o site para a URL pode ser obtido com êxito, o cliente DirectAccess é na intranet e DirectAccess não é usado.
Separando a intranet de tráfego de Internet
Conforme descrito anteriormente, algumas soluções VPN usar entradas de tabela Roteamento de camada de rede para separar os intranet do tráfego de Internet.DirectAccess resolve esse problema na camada de aplicativo por meio de resolução de nomes mais inteligente e na camada de rede por Resumindo o espaço de endereço IPv6 de uma organização inteira com um único prefixo de endereço IPv6.Em vez de direcionar o tráfego com base exclusivamente em um endereço de destino, os clientes DirectAccess também direcionar o tráfego com base no nome necessário para o aplicativo.Os clientes de DirectAccess usam um nome de resolução de diretiva de tabela (NRPT) que contém entradas de espaço para nome DNS e um conjunto correspondente de servidores DNS da intranet que resolvem nomes para esse espaço para nome DNS.
Quando um aplicativo em um cliente DirectAccess tenta resolver um nome, primeiro ele compara o nome com as entradas no NRPT.Se houver uma correspondência, o cliente de DirectAccess usa os servidores DNS da intranet especificado para resolver o nome.Se não houver nenhuma correspondência, o cliente de DirectAccess usa os servidores DNS configurados em sua conexão com a Internet, que geralmente são servidores DNS na Internet.Consulte a barra lateral direcionando tráfego para obter um exemplo de como isso funciona.
Resumo
DirectAccess permite a intranet de transparente, simultânea e acesso remoto do Internet e facilita o gerenciamento de computadores remotos, combinando uma série de tecnologias e componentes: conectividade de ponta a ponta (IPv6), IPsec (segurança), Web proxy e firewall transversal (IP-HTTPS), a determinação de local (servidor de local de rede) e as tecnologias de separação (NRPT) do tráfego e componentes.Com DirectAccess, você pode substituir alguns do acesso remoto e servidores de borda de aplicativos com servidores DirectAccess, reduzindo o número de servidores na rede borda dedicado a conectividade de acesso remoto.
Joseph Davies é um gravador de técnico principal em que a rede do Windows escrever equipe da Microsoft.Ele é autor e co-autor de um número de livros publicados pela Microsoft Press, incluindo Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition e Windows Server 2008 TCP/IP Protocols and Services.