Via cavo GuyDirectAccess e la rete di Edge sottile
Joseph Davies
Parti di questo articolo si basano sul codice preliminare.Tutte le informazioni nel presente documento sono soggette a modifiche.
Contenuto
Traffico protetto tramite Internet
Indirizzo end-to-end e connettività
Connettività bidirezionale e gestione del client remoto
Firewall e Web proxy traversal
Determinazione di vs su rete Intranet.su Internet
Separazione Intranet dal traffico Internet
Riepilogo
Per fornire disponibilità delle risorse di rete intranet per gli utenti remoti, reti tipica organizzazione utilizzano attualmente qualche tipo di bordo rete contenente server per diversi tipi di accesso remoto.Questi server possono essere server di rete privata virtuale (VPN) o concentrators, server gateway di servizi server TERMINAL terminal o un'ampia gamma di applicazioni server di edge, ad esempio Microsoft Outlook Web Access (OWA).
La rete di bordo esiste per separare la rete intranet da Internet poiché Internet è un ambiente di rete eccezionalmente ostile.Un architetto IT che la propria rete intranet è direttamente connesso a Internet senza questa separazione e sistemi di protezione sufficienti, presto verrà da cercare un'altra riga di lavoro.Tuttavia, la separazione introduce complessità per l'utente remoto.
Se direttamente connessione della rete intranet a Internet per accedere senza problemi a sia intranet e alle risorse Internet per gli utenti remoti non è un'opzione utile, la soluzione consiste nella connessione senza problemi l'utente remoto della rete intranet e Internet.
Soluzioni VPN di accesso remoto corrente, inclusi Windows Server 2008, routing e accesso remoto tentano questa soluzione tramite una connessione di livello 2 originati dall'utente alla rete intranet.Tuttavia, le connessioni VPN di accesso remoto sono raramente trasparente che richiedono azione utente per la connessione e ristabilire la connessione.Per la maggior parte delle implementazioni di VPN, inoltre, il computer client VPN è sia connesso a Internet (quando la connessione VPN non attiva) o connesso alla rete intranet (quando è attiva la connessione VPN), ma non entrambi contemporaneamente.
È possibile risolvere il problema di Internet simultanee e accesso intranet per le connessioni VPN inviando il traffico di Internet attraverso la rete intranet o mediante la configurazione del tunnel divisione routing in modo che il traffico Internet e intranet sono separati.Tuttavia, inviare il traffico di Internet attraverso la rende intranet accesso a Internet per VPN connesso rallentare i client e impostazione e gestione di cicli di lavorazione tunnel di divisione può essere difficile dall'amministratore.
Un altro problema per le soluzioni VPN corrente è che il computer remoto sia connesso alla rete intranet solo in modo intermittente.Il modello di connessioni avviate dall'utente rende più difficile per gli amministratori IT gestire computer remoto con gli aggiornamenti più recenti o i criteri di protezione.Gestione del computer remoto può essere attenuato verificando per e richiedere gli aggiornamenti dello stato del sistema prima di completare la connessione VPN.Tuttavia, tali requisiti possono aggiungere tempi di attesa sostanziale il processo di connessione VPN.
Ora una nuova funzionalità di 7 di Windows e Windows Server 2008 R2 denominato DirectAccess ci offre un passaggio in più vicino alla soluzione, i client remoti Integrazione continua e simultanea accesso sia intranet alla risorse Internet a senza aggiungere overhead amministrativo in corso e senza sacrificare le prestazioni o protezione.
Con DirectAccess, è possibile ridurre la dipendenza di accesso remoto e applicazioni server edge, causando la nozione di rete bordo sottile.Ad esempio, l'infrastruttura VPN può essere ridotto poiché DirectAccess client ora possibile accedere in direttamente i server delle risorse sulla rete intranet.Come illustrato in figura 1 , DirectAccess possibile trasformare la rete di bordo.A tale scopo, tuttavia, un numero di problemi di progettazione deve essere risolto.
Figura 1 trasformare il lato di rete con DirectAccess
Traffico protetto tramite Internet
DirectAccess utilizza (IPSec) Internet Protocol security in modalità tunnel e trasporto per autenticare il computer è connesso e per proteggere il traffico che scambiato con il server DirectAccess su Internet.Soluzioni esistenti VPN utilizzare anche la crittografia IPsec.È possibile specificare protezione IPsec per i computer che eseguono Windows 7 con le regole di protezione connessione, che possono essere centralizzata configurate attraverso Windows Firewall con le impostazioni avanzate di protezione Group Policy.
Indirizzo end-to-end e connettività
A causa mancanza di spazio di indirizzi IPv4 pubblico e il riutilizzo dello spazio indirizzo IPv4 privato da provider di servizi Internet e Intranet, fornire la connettività end-to-end per client remoti con indirizzi univoci globale non è possibile con IPv4.La soluzione è IPv6, fornisce l'indirizzamento globalmente univoco che semplifica la separazione del traffico Internet e intranet.La connettività IPv6 è un requisito per DirectAccess.Le risorse sola DirectAccess i client possono accedere sono quelli che sono accessibili con IPv6.Di conseguenza, intranet deve essere IPv6 in grado, in modo nativo o distribuendo l'all'interno dello stesso sito automatico Tunnel Addressing Protocol (ISATAP).In alternativa, client DirectAccess accedere risorse solo IPv4 sulla rete intranet tramite un dispositivo di rete indirizzo protocollo conversione conversione (NAT PT).
Indirizzare il traffico
Si supponga che, per fittizia Corporation di Contoso, lo spazio dei nomi DNS per tutti i nomi delle risorse intranet è corp.contoso.com con intranet DNS server FDA5:2 C 09: 1F3C:E215::1 e FDA5:2 C 09: 1F3C:E215::2.
In questo caso, NRPT per DirectAccess client contoso contiene il movimento: spazio dei nomi è. corp.contoso.com e server DNS sono FDA5:2 C 09: 1F3C:E215::1, C FDA5:2 09: 1F3C:E215::2.Spazio dei nomi
Quando un utente esegue Microsoft Outlook e tenta di connettersi al server di posta elettronica EXCHNG071, lo stack TCP / IP sarà seguito il suffisso di dominio per il computer (corp.contoso.com) dal nome del server di posta elettronica per ottenere exchng071.corp.contoso.com.Questo nome confronto con il NRPT.Poiché il nome di trovare la voce relativa. corp.contoso.com, il client DirectAccess invia la richiesta di query di nome DNS ai server intranet DNS in FDA5:2 C 09: 1F3C:E215::1 e FDA5:2 C 09: 1F3C:E215::2.Microsoft Outlook utilizza gli indirizzi IPv6 che vengono restituiti nella risposta DNS nome query e direttamente si connette al server di Exchange di intranet.
Si supponga che durante la transizione di utenti di Windows 7 e DirectAccess, il reparto IT di Contoso ha mantenuto i server OWA in rete bordo.Quando un utente su un client DirectAccess utilizza Internet Explorer per accedere al server OWA in https://exmail.contoso.com/exchange/ l'indirizzo, lo stack TCP / IP tenterà di risolvere il exmail.contoso.com nome DNS.Questo nome confronto con il NRPT.Perché il nome non corrisponde la voce nel NRPT, la richiesta di query di nome DNS viene inviata ai server Internet DNS e Internet Explorer stabilisce una connessione direttamente al server di OWA nella rete bordo.
Connettività bidirezionale e gestione del client remoto
Un client DirectAccess tenta di connettersi a un server DirectAccess all'avvio del computer.Quando l'utente accede, viene utilizzato un insieme di credenziali diverso per la connessione alle risorse intranet.La differenza fondamentale con DirectAccess su connessioni VPN tipiche è che il computer client DirectAccess è sempre connesso a, registrati con e connesso al dominio di rete intranet.I reparti IT possono ora gestire il computer remoto come computer connessi intranet e installare gli aggiornamenti, propagare le impostazioni dei criteri di gruppo e apportare altre modifiche su base continuativa, garantire la configurazione di sistema e l'integrità dei computer remoti.
Firewall e Web proxy traversal
IPv6 è il trasporto di livello 3 iniziale e i computer remoti più comunicano attraverso la rete Internet IPv4, un computer client DirectAccess tenterà di utilizzare il 6to4 e Teredo IPv6 le tecnologie di transizione per comunicare con il server DirectAccess.Tuttavia, server proxy Web e alcuni firewall non inoltrerà 6to4 e il traffico incapsulati Teredo.In questo caso, il client DirectAccess utilizza HTTPS IP, un nuovo protocollo in Windows 7 e Windows Server 2008 R2 tunnel pacchetti IPv6 all'interno di una sessione di base IPv4 HTTPS.
Determinazione su rete Intranet o su Internet
Un client DirectAccess utilizza un server di percorso di rete che è raggiungibile solo con una connessione diretta a intranet, per determinare se si è connessi alla rete intranet.All'avvio di un client DirectAccess, tenta di connettersi a un URL specificato sul server di percorso di rete.Se la pagina Web per l'URL può essere ottenuta correttamente, il client DirectAccess è sulla rete intranet e DirectAccess non viene utilizzato.
Separazione Intranet dal traffico Internet
Come descritto in precedenza, alcune soluzioni VPN utilizzare voci della tabella routing livello di rete per separare intranet dal traffico Internet.DirectAccess risolve questo problema nel livello di applicazione tramite la risoluzione dei nomi più intelligente e quello nel livello di rete per riepilogare lo spazio indirizzo IPv6 un'intera organizzazione di un unico prefisso dell'indirizzo IPv6.Invece di indirizzare il traffico basata esclusivamente su un indirizzo di destinazione, client DirectAccess indirizzare anche il traffico in base al nome del necessari per l'applicazione.I client DirectAccess utilizzano un nome risoluzione dei criteri di tabella (NRPT) che contiene voci dello spazio dei nomi DNS e un insieme corrispondente di server di DNS intranet di risolvere i nomi per tale spazio dei nomi DNS.
Quando un'applicazione su un client DirectAccess tenta di risolvere un nome, innanzitutto il nome viene confrontato con i movimenti il NRPT.Se è presente una corrispondenza, il client DirectAccess utilizza il server di DNS intranet specificato per risolvere il nome.Se sono presenti corrispondenze, il client DirectAccess utilizza i server DNS configurati sulla connessione Internet, che sono in genere Internet DNS Server.Vedere nella barra laterale "indirizzare il traffico" per un esempio di il funzionamento.
Riepilogo
DirectAccess consente intranet trasparente, concorrenti e accesso remoto a Internet e facilita la gestione dei computer remoti combinando un numero di tecnologie e componenti: connettività end-to-end (IPv6) security (IPsec) Web proxy e firewall attraversamento (HTTPS IP), determinazione del percorso (posizione server di rete) e le tecnologie di separazione (NRPT) del traffico di componenti e.Con DirectAccess, è possibile sostituire alcuni accesso remoto e applicazioni server di edge con server DirectAccess, riducendo il numero di server sulla rete bordo dedicata per la connettività di accesso remoto.
Davies Joseph è un writer tecnica principale nella rete di Windows la scrittura di team di Microsoft.È autore e coautore di un numero di libri pubblicati da Microsoft Press, tra cui Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition e Windows Server 2008 TCP/IP Protocols and Services.