Cable Guy DirectAccess y la red perimetral fina
Joseph Davies
Partes de este artículo se basan en código preliminar. Toda la información de este documento está sujeta a cambios.
Contenido
Tráfico protegido a través de Internet
Direcciones de extremo a otro y conectividad
Conectividad de bidireccional y administración remota de cliente
Firewall y transversal de proxy Web
Determinación de vs en intranet. en Internet
Separa la intranet de tráfico de Internet
Resumen
Para proporcionar la disponibilidad de recursos de intranet a los usuarios remotos, redes de organización típica hoy en día emplean algún tipo de red de extremo que contiene servidores para distintos tipos de acceso remoto. Estos servidores pueden ser servidores de red privada virtual (VPN) o concentrators, los servidores de puerta de enlace de Terminal Server (TS) o una gran variedad de servidores perimetrales de aplicación, como Microsoft Outlook Web Access (OWA).
La red de extremo existe para separar la intranet desde Internet porque Internet es un entorno de red hostil extraordinariamente. Un arquitecto de TI que conecta su intranet directamente a Internet sin esta separación y sistemas de seguridad suficiente, se pronto se busca otra línea de trabajo. Sin embargo, la separación presenta complejidad para el usuario remoto.
Si no es una opción práctica conectando directamente con la intranet de Internet para tener acceso uniforme a intranet tanto y recursos de Internet para usuarios remotos, la solución radica en conectarse sin problemas el usuario remoto a la intranet e Internet.
Actuales soluciones VPN de acceso remoto, como el enrutamiento y acceso remoto en Windows Server 2008, intente esta solución mediante una conexión de nivel 2 de iniciada por el usuario a la intranet. Sin embargo, las conexiones VPN de acceso remoto son apenas perfecta ya que requieren la acción de usuario para conectarse y volver a conectar. Además, para la mayoría de las implementaciones VPN, el equipo de cliente de VPN es una conexión a Internet (cuando la conexión VPN no es activa) o conectados a la intranet (si la conexión VPN está activa), pero no ambos simultáneamente.
Es posible solucionar el problema de Internet simultánea y la intranet acceso para las conexiones VPN mediante el envío de tráfico de Internet a través de la intranet o configuración de túnel dividido enrutamiento de modo que se separan el tráfico de Internet y de intranet. Sin embargo, enviar tráfico de Internet a través de la hace de la intranet acceso a Internet para VPN conectado lento de los clientes y configurar y mantener las rutas de túnel dividido pueden resultar difíciles administrativamente.
Otro problema para las soluciones VPN actuales es que el equipo remoto está conectado a la intranet sólo de forma intermitente. El modelo de conexiones de usuario de iniciado dificulta a los administradores de TI administrar equipos remotos con la actualizaciones más recientes o las directivas de seguridad. Administración de equipos remotos puede mitigarse mediante buscando y que requieren actualizaciones de estado del sistema antes de completar la conexión VPN. Sin embargo, estos requisitos pueden agregar tiempos de espera considerable para el proceso de conexión VPN.
Ahora una nueva característica de Windows 7 y Windows Server 2008 R2 denominado DirectAccess nos lleva un paso más cerca a la solución; los clientes remotos tienen sin problemas y simultánea de acceso a intranet y los recursos de Internet sin agregar continuo sobrecarga administrativa y sin poner en peligro el rendimiento o seguridad.
Con DirectAccess, puede reducir la dependencia en acceso remoto y servidores de borde de la aplicación, lleva la noción de la red borde fino. Por ejemplo, la infraestructura de VPN puede reducirse ya acceso clientes DirectAccess pueden ahora directamente a los servidores de recursos de la intranet. Como se muestra en la figura 1 , DirectAccess puede transformar la red de extremo. Para lograr esto, sin embargo, un número de problemas de ingeniería ha tenido que es necesario resolver.
Figura 1 transformar el borde de red con DirectAccess
Tráfico protegido a través de Internet
DirectAccess utiliza seguridad de Protocolo de Internet (IPsec) en modo de transporte y túnel para autenticar el equipo que está conectando y para proteger el tráfico que se intercambian con el servidor DirectAccess a través de Internet. Las soluciones VPN existentes también utilizar cifrado de IPsec. Puede especificar la protección de IPsec para equipos que ejecutan Windows 7 con las reglas de seguridad de conexión, que se pueden configurar centralmente a través de Firewall de Windows con la configuración de avanzada directiva de grupo de seguridad.
Direcciones de extremo a otro y conectividad
Debido a falta de espacio de dirección IPv4 pública y la reutilización del espacio de direcciones IPv4 privado por proveedores de servicios de Internet y las intranets, no es posible con IPv4 proporcionar conectividad de extremo a extremo para los clientes remotos con únicos global de direcciones. La solución es IPv6, que proporciona único global de direcciones y simplifica la separación de tráfico de Internet e intranet. Conectividad de IPv6 es un requisito para DirectAccess. Los recursos sólo pueden tener acceso los clientes de DirectAccess son aquellas que son accesibles con IPv6. Por lo tanto, la intranet debe ser capaz IPv6, nativa o mediante la implementación de la dentro del sitio automática túnel direcciones Protocol (ISATAP). Como alternativa, los clientes de DirectAccess pueden llegar a los recursos de sólo IPv4 en la intranet a través de un dispositivo de conversión de protocolo de traducción de direcciones de red (NAT-PT).
Dirigir el tráfico
Vamos a Supongamos que para ficticia contoso Corporation, el espacio de nombres DNS para todos los nombres de recursos de intranet es corp.contoso.com con intranet DNS servidores FDA5:2 C 09: 1F3C:E215::1 y FDA5:2 C 09: 1F3C:E215::2.
En este caso, el NRPT para clientes de Contoso DirectAccess podría contener la entrada: espacio de nombres es. corp.contoso.com y los servidores de DNS son FDA5:2 C 09: 1F3C:E215::1, C FDA5:2 09: 1F3C:E215::2. Espacio de nombres
Cuando un usuario ejecuta Microsoft Outlook e intenta conectar con el servidor de correo electrónico EXCHNG071, la pila TCP / IP agregará el sufijo del dominio para el equipo (corp.contoso.com.) el nombre de servidor de correo electrónico para obtener exchng071.corp.contoso.com. Este nombre se compara con la NRPT. Porque el nombre coincide con la entrada de. corp.contoso.com, el cliente DirectAccess envía la solicitud de consulta de nombre de DNS a los servidores DNS de intranet en FDA5:2 C 09: 1F3C:E215::1 y FDA5:2 C 09: 1F3C:E215::2. Microsoft Outlook utiliza las direcciones de IPv6 que se devuelven en la respuesta de consulta de nombre DNS y conecta directamente a su servidor de Exchange de intranet.
Supongamos que durante la transición de los usuarios para Windows 7 y DirectAccess, el departamento de TI de Contoso mantienen sus servidores OWA de su red de extremo. Cuando un usuario en un cliente DirectAccess utiliza Internet Explorer para tener acceso al servidor OWA en el https://exmail.contoso.com/exchange/ dirección, la pila TCP / IP intentará resolver la exmail.contoso.com nombre DNS. Este nombre se compara con la NRPT. Debido a que el nombre no coincide con la entrada en el NRPT, la solicitud de consulta de nombre DNS se envía a los servidores de Internet DNS y Internet Explorer realiza una conexión directamente al servidor OWA en la red de extremo.
Conectividad de bidireccional y administración remota de cliente
Un cliente DirectAccess intenta conectarse a un servidor DirectAccess cuando se inicia el equipo. Cuando el usuario inicia sesión, se utiliza un conjunto de credenciales diferente para conectarse a recursos de intranet. La diferencia clave con DirectAccess sobre conexiones VPN típicas es que el equipo de cliente DirectAccess siempre está conectado, registradas con y ha iniciado sesión en el dominio de la intranet. Ahora los departamentos de TI pueden administrar los equipos remotos al igual que los equipos conectados de intranet y instalar actualizaciones, propagar la configuración de directiva de grupo y realizar otros cambios de forma continuada, garantizar la configuración del sistema y el estado de los equipos remotos.
Firewall y transversal de proxy Web
Debido a IPv6 es el transporte de nivel 3 inicial y los equipos más remotos se comunican a través de Internet IPv4, un equipo de cliente DirectAccess intentará usar las 6to4 y las tecnologías de transición de Teredo IPv6 para comunicarse con el servidor DirectAccess. Sin embargo, servidores proxy de Web y algunos servidores de seguridad no reenviará 6to4 y Teredo-encapsulan el tráfico. En este caso, el cliente de DirectAccess utiliza IP HTTPS, un nuevo protocolo en el 7 de Windows y Windows Server 2008 R2 que los túneles paquetes IPv6 en una sesión HTTPS basadas en IPv4.
Determinación de en intranet o en Internet
Un cliente DirectAccess utiliza un servidor de ubicación de red que es accesible sólo con una conexión directa a la intranet, para determinar si está conectado a la intranet. Cuando se inicia un cliente DirectAccess, intenta conectarse a una dirección URL especificada en el servidor de ubicación de red. Si la página Web para la dirección URL se puede obtener correctamente, el cliente DirectAccess está en la intranet y no se utiliza DirectAccess.
Separa la intranet de tráfico de Internet
Como se describió anteriormente, algunas soluciones VPN utilizar red capa enrutamiento entradas de la tabla para separar intranet del tráfico de Internet. DirectAccess resuelve este problema en el nivel de aplicación a través de resolución de nombres más inteligente y en la capa de red al resumir el espacio de direcciones IPv6 de una organización completa con un prefijo de dirección IPv6 único. En lugar de dirigir el tráfico únicamente en función de una dirección de destino, los clientes de DirectAccess también dirigen el tráfico basado en el nombre necesario para la aplicación. Los clientes de DirectAccess utilizan un nombre de resolución de directivas de tabla (NRPT) que contiene las entradas de espacio de nombres DNS y un conjunto correspondiente de servidores de DNS de intranet que resolver nombres para ese espacio de nombres DNS.
Cuando una aplicación en un cliente DirectAccess intenta resolver un nombre, en primer lugar compara el nombre con las entradas en el NRPT. Si hay una coincidencia, el cliente DirectAccess utiliza los servidores de DNS intranet especificado para resolver el nombre. Si no hay ninguna coincidencia, el cliente DirectAccess utiliza los servidores DNS configurados en su conexión a Internet, que normalmente son servidores Internet DNS. Consulte la barra lateral de redirigir tráfico para obtener un ejemplo de cómo funciona.
Resumen
DirectAccess permite intranet transparente, simultánea y acceso remoto de Internet y facilita la administración de equipos remotos mediante la combinación un número de tecnologías y los componentes: conectividad de extremo a extremo (IPv6), seguridad (IPsec), Web proxy y servidor de seguridad transversal (IP-HTTPS), determinación de ubicación (servidor de ubicación de red) y las tecnologías de separación (NRPT) de tráfico y componentes. Con DirectAccess, puede reemplazar algunos de sus acceso remoto y los servidores perimetrales de aplicación con los servidores de DirectAccess, reducir el número de servidores de la red borde dedicada a la conexión de acceso remoto.
Joseph Davies es un escritor de técnico principal en las redes de Windows escribiendo el equipo de Microsoft. Es autor o coautor de varios libros publicado por Microsoft Press, incluyendo Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition y Windows Server 2008 TCP/IP Protocols and Services.