纜線 Guy DirectAccess 和 Thin 邊緣網路
Joseph Davies
這篇文章的部分根據預先發行的程式碼中。 本文件的所有資訊都有變更。
內容
經過網際網路的受保護的流量。
在用戶端對端的位址和連線
雙向連線] 及 [遠端用戶端管理
防火牆和 Web Proxy Traversal
在內部網路與比較的決定。 網際網路上
從網際網路流量分隔近端內部網路
摘要
您可以提供近端內部網路資源的可用性給遠端使用者,一般組織網路目前會使用某種包含各種類型的遠端存取伺服器的邊緣網路。 這些伺服器可以是虛擬私人網路 (VPN) 伺服器 」 或 「 器 」、 「 終端機伺服器 (TS) 的閘道伺服器或 「 各種不同的應用程式邊緣伺服器例如 Microsoft Outlook Web Access (OWA)。
在邊緣網路存在內部網路分開網際網路,因為網際網路的極不安全的網路環境。 IT 架構設計人員直接連線到此分隔沒有網際網路的他或她的內部網路的使用者 — 和足夠的安全性系統,會很快就會尋找工作的另一行。 不過,區隔引進了遠端使用者的複雜性。
如果直接連線內部網路,以無接縫同時近端內部網路存取網際網路和遠端使用者的網際網路資源,不是一個可行的選項,然後解決方案是完美地連線到同時在內部網路] 及 [網際網路的遠端使用者。
目前的遠端存取 VPN 方案併入 Windows Server 2008,路由及遠端存取會嘗試透過使用者 \ uc1 \ u21843? 動第 2 層連線到近端內部網路本解決方案。 不過,遠端存取 VPN 連線是不太完美,因為它們需要連接並重新連線的使用者動作。 此外,大部分的 VPN 部署,VPN 用戶端電腦是任何連線到網際網路 (當 VPN 連線不使用中),或同時連線至內部網路 (VPN 連線時作用中),但不能同時。
有可能會處理並行的網際網路和近端內部網路存取 VPN 連線的問題,藉由傳送網際網路流量,透過內部網路,或藉由設定分割通道的路由,讓網際網路及近端內部網路流量會分隔。 不過,傳送網際網路流量,在近端內部網路會透過網際網路存取連線的 VPN 用戶端緩慢,而且設定] 和 [維護分割通道的路由可以管理的困難。
目前的 VPN 解決方案的另一個問題會是遠端電腦只會間歇地連線到近端內部網路。 模型的使用者啟始連線,使難以來管理遠端電腦,以最新的更新程式或安全性原則的 IT 系統管理員。 藉由檢查,並需要完成 VPN 連線之前系統健康情況的更新,可以減輕管理的遠端電腦。 不過,這類需求也可以新增大量的等候時間,VPN 連線程序。
現在的 Windows 7 和 Windows Server 2008 R2 呼叫 DirectAccess 一項新功能便讓我們在一層至方案,遠端用戶端順暢而同時存取內部網路和網際網路資源而不加入正在進行系統管理負荷而犧牲效能或安全性。
與 DirectAccess,您可以減少您依賴遠端存取和應用程式的 Edge Server 導致精簡型的邊緣網路的概念。 例如,因為 DirectAccess 用戶端現在可以直接存取資源伺服器在內部網路上,可減少您的 VPN 基礎結構。 如 [圖 1 所示,DirectAccess 可以轉換您的邊緣網路。 若要達到此目的不過,一些工程問題必須加以解決。
[圖 1) 與 DirectAccess 轉換您的邊緣網路
經過網際網路的受保護的流量。
DirectAccess 使用網際網路通訊協定安全性 (IPsec) 在通道和傳輸模式中,為了驗證電腦的連線,並保護,正在交換與 DirectAccess 伺服器透過網際網路的流量。 現有的 VPN 解決方案也會使用 IPsec 加密。 您可以指定與連線安全性規則可透過 [具有進階安全性群組原則 」 設定 Windows 防火牆集中設定執行 Windows 7 的電腦的 IPsec 保護。
在用戶端對端的位址和連線
缺乏公用 IPv4 位址空間和重複使用私人 IPv4 位址空間 ISP 和內部網路的遠端用戶端提供端對端連線與全域唯一的位址是不可能使用 IPv4 的。 解決方案,是流量的提供全域唯一位址設定,並簡化的網際網路及內部網路分隔的 IPv6。 IPv6 連線能力會是 DirectAccess 的需求。 只有 DirectAccess 用戶端可以存取的資源就是使用 IPv6 的連接。 因此,您的內部網路必須是支援 IPv6,原本就或部署站台間自動通道 Addressing Protocol (ISATAP)。 或者,DirectAccess 用戶端可以透過一個網路位址轉譯的通訊協定轉譯 (NAT-PT) 裝置,以達到 IPv4 的內部網路資源。
引導流量
讓我們假設虛構 Contoso Corporation,DNS 命名空間的所有近端內部網路資源名稱 corp.contoso.com,使用近端內部網路 DNS 伺服器 FDA5:2 C 09: 1F3C:E215::1 和 FDA5:2 C 09: 1F3C:E215::2。
在此情況下,Contoso DirectAccess 用戶端的 [NRPT 會包含項目: 命名空間 (Namespace) 是 corp.contoso.com] 和 [DNS 伺服器是 FDA5:2 C 09: 1F3C:E215::1,FDA5:2 C 09: 1F3C:E215::2。 命名空間
當使用者執行 Microsoft Outlook 和連接到 EXCHNG071 電子郵件伺服器嘗試) 時,TCP / IP 堆疊就會將電腦 (corp.contoso.com) 的網域尾碼附加至電子郵件伺服器名稱,以取得 exchng071.corp.contoso.com。 這個名稱會與 [NRPT 比較。 由於名稱符合的項目 corp.contoso.com,: DirectAccess 用戶端傳送 DNS 名稱查詢要求至內部網路 DNS 伺服器在 FDA5:2 C 09: 1F3C:E215::1 和 FDA5:2 C 09: 1F3C:E215::2。 Microsoft Outlook 會使用 IPv6 位址,會在 DNS 名稱查詢回應中傳回,並直接連接 Exchange Server 內部網路。
讓我們假設,在轉換的使用者 Windows 7 和 DirectAccess,Contoso 公司的 IT 部門已經放在其邊緣網路的 OWA 伺服器。 當 DirectAccess 用戶端使用者使用 Internet Explorer 存取 OWA 伺服器在位址 https://exmail.contoso.com/Exchange/ 時,TCP / IP 堆疊會嘗試解析 DNS 的名稱 exmail.contoso.com。 這個名稱會與 [NRPT 比較。 因為名稱不符,NRPT 中的項目,請 DNS 名稱查詢要求傳送至網際網路 DNS 伺服器,且 Internet Explorer 在邊緣網路中進行一個的連線,直接到 OWA 伺服器。
雙向連線] 及 [遠端用戶端管理
DirectAccess 用戶端會嘗試在電腦啟動時,連線至 DirectAccess 伺服器。 在使用者登入時, 不同的認證組是需要依照連線到近端內部網路資源而用於。 DirectAccess 與,主要差異,透過一般的 VPN 連線會是 DirectAccess 用戶端電腦會永遠連線到,使用,註冊和登入近端內部網路網域。 IT 部門現在可以管理遠端電腦,就像連接內部網路的電腦和安裝更新、 傳播群組原則 」 設定以及不斷地,確保系統組態和遠端電腦的健康狀況進行其他變更。
防火牆和 Web Proxy Traversal
由於 IPv6 初始第 3 層傳輸且經過 IPv4 網際網路通訊最遠端電腦,DirectAccess 用戶端電腦會需要依照使用 6to4 和 Teredo IPv6 轉換技術來與 DirectAccess 伺服器通訊而嘗試。 不過,Web Proxy 的伺服器和某些的防火牆將不會轉送 6to4 」 和 「 Teredo-封裝的流量。 在這種情況下 DirectAccess 用戶端會使用新 Windows 7 和 Windows Server 2008 R2 隧道的 IPv4 的 HTTPS 工作階段中的 IPv6 封包的通訊協定 IP-HTTPS。
在內部網路與網際網路上的判斷
DirectAccess 用戶端會使用網路位置伺服器,只會使用直接連線到內部網路,判斷是否已連接到近端內部網路的連線。 設定 DirectAccess 用戶端時它會嘗試連線至網路位置伺服器上指定的 URL。 如果可以成功地取得 Web 網頁的 URL,請 DirectAccess 用戶端是在內部網路上,且 DirectAccess 不使用。
從網際網路流量分隔近端內部網路
如前所述一些 VPN 解決方案會使用網路層路由表項目隔開近端內部網路,從網際網路的流量。 DirectAccess 可以摘要 IPv6 位址空間單一的 IPv6 位址首碼的整個組織的這個問題,在應用程式層透過更具智慧的名稱解析和網路層。 而不是引導流量僅要根據目的地的位址,DirectAccess 用戶端也會直接傳輸,根據應用程式所需的名稱。 DirectAccess 用戶端會使用名稱解析原則表格 (NRPT),包含 DNS 命名空間項目和對應組近端內部網路的 DNS 伺服器解析名稱的 DNS 命名空間。
DirectAccess 用戶端上的應用程式會嘗試解析名稱時, 它首先會比較在 NRPT 中的項目名稱。 如果有符合的項目 DirectAccess 用戶端會使用指定內部網路 DNS 伺服器來解析名稱。 如果沒有符合 DirectAccess 用戶端會使用其的網際網路連線上設定通常是網際網路 DNS 伺服器的 DNS 伺服器。 請參閱 「 directing 流量 」 資訊看板,如需範例,如何運作。
摘要
DirectAccess 啟用透明化,同時的內部網路] 及 [網際網路的遠端存取,並且藉由組合許多技術和元件簡化遠端電腦的管理: 在用戶端對端連線 (IPv6)、 安全性 (IPsec)、 Web Proxy 和防火牆周遊 (IP-HTTPS)、 位置決定 (網路位置伺服器) 和流量分離 (NRPT) 技術和元件。 使用 DirectAccess,您可以取代部份您的遠端存取和 DirectAccess 的伺服器應用程式邊緣伺服器邊緣網路遠端存取連線的專門減少伺服器數目。
Joseph Davies 是主要技術上,撰寫在 Microsoft 小組的 Windows 網路。 他是作者或也是由 Microsoft Press 出版包括 Windows Server 2008 Networking and Network Access Protection (NAP),發行的活頁簿數個 Understanding IPv6, Second Edition,和 Windows Server 2008 TCP/IP Protocols and Services。