Câble de documentDirectAccess et le réseau Edge fin
Joseph Davies
Parties de cet article sont basés sur code préliminaire.Toutes les informations dans le présent document sont susceptibles d'être modifiées.
Contenu
Le trafic protégé sur Internet
Adressage de bout à bout et connectivité
Connectivité bidirectionnel et Gestion des clients à distance
Pare-feu et des parcours de proxy Web
Détermination de vs sur intranet.sur Internet
Séparer intranet de trafic Internet
Résumé
Pour fournir la disponibilité des ressources intranet aux utilisateurs distants, réseaux d'entreprise classique utiliser dès aujourd'hui un type de réseau de bord contenant des serveurs pour différents types d'accès à distance.Ces serveurs peuvent être serveurs réseau privé virtuel (VPN) concentrateurs, les serveurs de passerelle Terminal Server (TS) ou une variété de serveurs de périphérie application, tels que Microsoft Outlook Web Access (OWA).
Le réseau bord existe pour séparer l'intranet de l'Internet car Internet est un environnement réseau extraordinairement hostile.Un architecte informatique qui directement se connecte son intranet à Internet sans cette séparation et systèmes de sécurité suffisantes, va bientôt être recherchez une autre ligne de travail.Cependant, la séparation introduit la complexité de l'utilisateur distant.
Si la connexion directement l'intranet à Internet pour pouvoir accéder transparente intranet à la fois et ressources Internet pour les utilisateurs distants n'est pas une option pratique, la solution réside dans connexion en toute transparence l'utilisateur distant à l'intranet et Internet.
Solutions VPN accès distant actuelles, y compris les Routage et accès à distance dans Windows Server 2008, essayez cette solution via une connexion de couche 2 initié par l'utilisateur à l'intranet.Toutefois, les connexions VPN d'accès à distance sont difficilement transparents car ils nécessitent action d'utilisateur pour se connecter et se reconnecter.En outre, pour la plupart des déploiements de VPN, l'ordinateur client VPN est soit connecté à Internet (lorsque la connexion VPN n'est pas active) ou connecté à l'intranet (lorsque la connexion VPN est active), mais pas les deux simultanément.
Il est possible résoudre le problème de simultanées Internet et accès intranet pour les connexions VPN en envoyant le trafic Internet via l'intranet ou en configurant tunnel de fractionnement gamme afin que le trafic Internet et intranet sont séparés.Toutefois, l'envoi du trafic Internet via le fait d'intranet accès à Internet pour VPN connecté clients lent, et paramétrage et la maintenance gammes du tunnel de fractionnement peuvent être administrativement difficiles.
Un autre problème pour les solutions VPN en cours est que l'ordinateur distant est connecté à l'intranet uniquement par intermittence.Le modèle de connexions initié par l'utilisateur rend difficile pour les administrateurs INFORMATIQUES gérer à distance des ordinateurs avec le mises à jour les plus récentes ou les stratégies de sécurité.Gestion de l'ordinateur distant peut être réduite en recherchant et nécessitant des mises à jour état du système avant d'effectuer la connexion VPN.Toutefois, ces exigences peuvent ajouter des délais d'attente important au processus de connexion VPN.
Maintenant une nouvelle fonctionnalité de Windows 7 et Windows Server 2008 R2 appelé DirectAccess nous amène une étape plus près à la solution ; les clients à distance ont accès transparente et simultanées à intranet et ressources Internet sans ajouter des tâches administratives en cours et sans sacrifier performances ou la sécurité.
Avec DirectAccess, vous pouvez réduire votre dépendance envers l'accès distant et serveurs de périphérie application, menant à la notion du réseau fine bordure.Par exemple, votre infrastructure VPN peut être réduite car DirectAccess clients peuvent désormais accéder directement les serveurs de ressource sur l'intranet.Comme le montre la figure 1 , DirectAccess peut transformer votre réseau de bord.Pour ce faire, cependant, un nombre de problèmes d'ingénierie deviez être résolus.
Figure 1 transformer votre Edge réseau avec DirectAccess
Le trafic protégé sur Internet
DirectAccess utilise sécurité IP (IPsec) en mode tunnel et transport pour authentifier l'ordinateur qui se connecte et pour protéger le trafic est échangé avec le serveur DirectAccess sur Internet.Solutions VPN existantes également utilisent le cryptage IPsec.Vous pouvez spécifier la protection IPsec pour les ordinateurs exécutant Windows 7 aux règles de sécurité de connexion, pouvant être centralisée configurés via le pare-feu Windows avec paramètres de stratégie du groupe de sécurité avancée.
Adressage de bout à bout et connectivité
En raison d'un manque d'espace d'adressage IPv4 publique et la réutilisation de l'espace d'adressage IPv4 privé par fournisseurs de services Internet et des intranets, la fournir connectivité de bout pour les clients distants adresses identificateur global uniques n'est pas possible avec IPv4.La solution est IPv6, qui fournit l'adressage identificateur global unique et simplifie la séparation du trafic Internet et intranet.Connectivité IPv6 est nécessaire pour DirectAccess.Les ressources uniquement DirectAccess clients peuvent accéder sont celles qui sont accessibles avec IPv6.Par conséquent, votre intranet doit être IPv6 compatible, soit en mode natif ou en déployant la intra-site automatique protocole ISATAP (tunnel Addressing).Vous pouvez également DirectAccess clients peuvent atteindre ressources IPv4 uniquement sur votre intranet via un périphérique de traduction de conversion-protocole réseau adresses (NAT-PT).
Diriger le trafic
Supposons que pour fictive Contoso Corporation, l'espace de noms DNS pour tous les noms des ressources intranet est corp.contoso.com, avec intranet DNS serveurs FDA5:2 C 09 : 1F3C:E215::1 et FDA5:2 C 09 : 1F3C:E215::2.
Dans ce cas, le NRPT pour les clients DirectAccess de Contoso est contenir l'entrée : espace de noms est. corp.contoso.com et DNS serveurs sont FDA5:2 C 09 : 1F3C:E215::1, C FDA5:2 09 : 1F3C:E215::2.Espace de noms
Lorsqu'un utilisateur exécute Microsoft Outlook et tente de se connecter au serveur messagerie EXCHNG071, la pile TCP/IP ajoutera le suffixe de domaine de l'ordinateur (corp.contoso.com.) au nom du serveur pour obtenir exchng071.corp.contoso.com de messagerie.Ce nom est comparé le NRPT.Parce que le nom correspond à l'entrée pour. corp.contoso.com, le DirectAccess client envoie la requête de nom DNS les serveurs DNS intranet à FDA5:2 C 09 : 1F3C:E215::1 et FDA5:2 C 09 : 1F3C:E215::2.Microsoft Outlook utilise les adresses IPv6 qui sont renvoyés dans la réponse de requête de nom DNS et se connecte directement à son serveur Exchange intranet.
Supposons que pendant la transition des utilisateurs à Windows 7 et DirectAccess, le département informatique de Contoso a conservé leurs serveurs OWA dans leur réseau bord.Lorsqu'un utilisateur sur un client DirectAccess utilise Internet Explorer pour accéder au serveur OWA au https://exmail.contoso.com/exchange/ adresse, la pile TCP/IP tente de résoudre le exmail.contoso.com nom DNS.Ce nom est comparé le NRPT.Car le nom ne correspond pas l'entrée dans le NRPT, la requête de nom DNS est envoyée aux serveurs Internet DNS et Internet Explorer établit une connexion directement au serveur OWA dans le réseau bord.
Connectivité bidirectionnel et Gestion des clients à distance
Un client DirectAccess essaie de se connecter à un serveur DirectAccess lors du démarrage de l'ordinateur.Lorsque l'utilisateur ouvre une session, un autre jeu d'informations d'identification est utilisé pour se connecter à ressources intranet.La différence essentielle avec DirectAccess sur les connexions VPN standard est que l'ordinateur client DirectAccess est toujours connecté à, enregistrées avec et connecté au domaine intranet.Départements INFORMATIQUES peuvent désormais gérer les ordinateurs distants comme ordinateurs connectés l'intranet et installer les mises à jour, Propager paramètres de stratégie de groupe et apporter d'autres modifications de façon continue, garantir la configuration système et intégrité des ordinateurs distants.
Pare-feu et des parcours de proxy Web
Étant donné que IPv6 est le transport de couche 3 initial et ordinateurs plus distants sont communiquer sur Internet IPv4, un ordinateur client DirectAccess tentera d'utiliser les 6to4 et les technologies de transition Teredo IPv6 pour communiquer avec le serveur DirectAccess.Toutefois, serveurs de proxy Web et certains pare-feux pas transférera 6to4 et le trafic Teredo-encapsulés.Dans ce cas, le client DirectAccess utilise IP-HTTPS, un nouveau protocole de Windows 7 et Windows Server 2008 R2 qui acheminent les paquets IPv6 dans une session HTTPS fondées sur IPv4.
Détermination sur intranet ou sur Internet
Un client DirectAccess utilise un serveur d'emplacement réseau qui est accessible uniquement avec une connexion directe à l'intranet, pour déterminer si elle est connectée à l'intranet.Un client DirectAccess au démarrage, il tente de se connecter à une URL spécifiée sur le serveur d'emplacement réseau.Si la page Web pour l'URL peut être obtenue avec succès, le client DirectAccess est sur l'intranet et DirectAccess n'est pas utilisé.
Séparer intranet de trafic Internet
Comme précédemment décrit certaines solutions VPN Utilisez entrées en table routage réseau couche pour séparer les intranet du trafic Internet.DirectAccess résout ce problème dans la couche application via la résolution de noms plus intelligente et dans la couche réseau en résumant l'espace d'adressage IPv6 d'une organisation entière avec un préfixe d'adresse IPv6 seul.Plutôt que de diriger le trafic uniquement basée sur une adresse de destination, clients DirectAccess également dirigent le trafic basée sur le nom requis par l'application.Les clients DirectAccess utilisent un nom de la résolution stratégie table (NRPT) contenant DNS espace de noms entrées et un ensemble correspondant de serveurs de DNS intranet qui résolvent les noms de cet espace de noms DNS.
Lorsqu'une application sur un client DirectAccess tente de résoudre un nom, il compare tout d'abord le nom avec les entrées de la NRPT.S'il existe une correspondance, le client DirectAccess utilise les serveurs DNS intranet spécifié pour résoudre le nom.S'il n'y a aucune correspondance, le client DirectAccess utilise les serveurs DNS configurés sur sa connexion Internet, qui sont généralement Internet DNS serveurs.Consultez l'encadré « diriger le trafic » pour obtenir un exemple illustrant comment cela fonctionne.
Résumé
DirectAccess active intranet transparent, simultanée et accès distant à Internet et facilite la gestion des ordinateurs distants en associant un certain nombre de technologies et composants : connectivité de bout en (IPv6), security (IPsec), Web pare-feu et de proxy traversal (IP-HTTPS), détermination de l'emplacement (emplacement de serveur réseau) et le trafic séparation (NRPT) technologies et composants.Avec DirectAccess, vous pouvez remplacer certains votre accès à distance et les serveurs de périphérie application avec des serveurs DirectAccess, réduisant le nombre de serveurs sur votre réseau bord dédié à la connexion d'accès à distance.
Joseph Davies est un rédacteur technique principal sur le réseau Windows écriture équipe chez Microsoft.Il est auteur et co-auteur de plusieurs livres publié par Microsoft Press, y compris Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition et Windows Server 2008 TCP/IP Protocols and Services.