Data publikacji: 07.11.2012
Począwszy od Windows Server 2008 R2 i Windows 7 (Enterprise lub Ultimate), Microsoft zaproponował nowe rozwiązanie dla pracy zdalnej i dostępu do zasobów firmowych spoza sieci lokalnej.
DirectAccess to rozwiązanie, którego główną zaletą jest bezpieczna komunikacja
z intranetem bez zestawiania dodatkowych połączeń VPN przy pomocy oprogramowania klienckiego, czy nawet autoryzacji z poziomu www. Wystarczy połącznie internetowe, aby w tle, całkowicie transparentnie zestawiło się połączenie z serwerem DirectAccess.
Należy pamiętać, aby ruch na porcie 443 oraz portach IPSec UDP 500 i 4500 nie był blokowany przez zapory ogniowe po stronie przedsiębiorstwa. Oczywiście sam serwer DirectAccess również nie może blokować tych portów. Autentykacja odbywa się oparciu infrastrukturę kluczy, a więc po stronie serwera konieczne jest uruchomienie PKI. Za bezpieczeństwo połączenia odpowiada IPSec.
Do konfiguracji konieczny jest też serwer z uruchomionym IP w wersji 6. Po stronie klienta cała konfiguracja sprowadza się do odświeżenia polityk GPO (odpowiednio spreparowanych wcześniej przez administratora). Niestety po stronie serwera konfiguracja i uruchomienie usługi nie jest już tak proste i wymaga od administratora wieloetapowej konfiguracji niezbędnych usług – tak było w wersji 2008 R2. Od wersji Windows Server 2012 konfiguracja została uproszczona.
Ponadto Windows Server 2012 wnosi wiele poprawek w stosunku do technologii Direct Access:
- rola Unified Access umożliwia współistnienie DirectAccess i RRAS, co było dotychczas niemożliwe,
- przeprojektowana architektura zarządzania (opcjonalne PKI).
- autentykacja użytkowników poprzez proxy Kerberos,
- wsparcie dla NAT64 i DNS64
- wparcie dla load-balancingu, wielu domen i lokalizacji, autentykacji w oparciu o tokeny, PowerShella, itp.
W Windows Server 2012 instalacja DirectAccess sprowadza się do instalacji roli Remote Access. Automatycznie zostaną również zainstalowane wymagane składniki, typu IIS, WID, CMAK, czy konsola zarządzania zasadami grup. Po instalacji administrator może skorzystać z Kreatora konfiguracji – jest to funkcja której brakowało w poprzedniej wersji systemu i która znacznie ułatwia cały proces konfiguracji.
Można wybrać dwa rodzaje konfiguracji – ekspresową oraz dla bardziej zaawansowanych. Domyślnie Kreator proponuje pełną konfiguracje DirectAccess i VPN, ale mamy również możliwość konfiguracji tych składników oddzielnie. W zależności, czy dysponujemy jednym czy dwoma publicznymi adresami IP możliwe jest uruchomienie mechanizmów translacji IPv6 6to4 i Toredo lub samego 6to4. Wystarczy przejść przez kilka kroków konfiguracji i przy założeniu, że zostały spełnione wymagania wstępne, konfiguracja jest gotowa.
Dla bardziej zaawansowanych konfiguracji dostępna jest opcja konfiguracji zaawansowanej, która pozwala na bardziej specyficzne i szczegółowe dokonfigurowanie funkcji, w tym chociażby infrastruktury klucza publicznego.
Wśród scenariuszy wdrożeniowych oprócz pełnego dostępu DirectAccess administrator ma również możliwość wdrożenia funkcjonalności w trybie zarządzania komputerem klienckim. Jest to ciekawa i przydatna funkcjonalność, dająca administratorowi możliwość kontroli nad zdalnym urządzeniem użytkownika, bez przydzielania mu dostępu do zasobów wewnątrz przedsiębiorstwa.
Kreator zaawansowanej konfiguracji pozwala również konfigurować funkcjonalność load-balancingu, szczególnie przydatnego w dużych firmach. Również funkcjonalność multidomenowa, czy multisite jest dostępna z tego poziomu Kreatora.
W najnowszej wersji pojawił się również przejrzysty mechanizm monitoringu stanu usługi DirectAccess.
Reasumując technologia DirectAccess jest ciekawym rozwiązaniem posiadającym sporo zalet, ale także i wad. Poza opisanymi już zaletami warto zwrócić uwagę, że od strony użytkownika wspierane systemy to Windows 7 w wersjach Enterprise lub Ultimate oraz Windows 8 Enterprise. Choćby te wymagania sprawiają, iż w realiach MSP w Polsce technologia ta nie odegra znaczącej roli, pomimo tego iż w wielu przypadkach ułatwiła by życie użytkownikom i administratorom, szczególnie iż w Windows Server 2012 konfiguracja nie wymaga już tak męcząca i pracochłonna.
Chcesz wiedzieć więcej ?
Przeczytaj powiązane artykuły i skontaktuj się z nami albo zostaw wiadomość a to my się odezwiemy.