Condividi tramite

DirectAccess от слов к конкретным действиям

  • Articolo

Я достаточно часто пишу о том, как проектировать, внедрять и управлять DirectAccess. Как объединить DirectAccess и UAG для получения наибольшей выгоды и удобства. Но для полноценного перехода на эту технологию нужно в том или ином виде применять IPv6, NRPT, DNSSEC. Не все понимают, как это сделать, поэтому мы расширяем набор документации по работе с этой технологией.

Обычно я рекомендую прочитать подробную инструкцию по развертыванию DirectAccess в тестовой лаборатории. Если технология вам понравилась, то можно почитать Capacity Planning for DirectAccess Servers, чтобы понять какие аппаратные и программные ресурсы от вас потребует внедрение этого функционала.

Так же очень полезно ознакомиться с этим документами. Они показывают, как разграничивать доступ DirectAccess клиентов к вашей внутренней инфраструктуре.

Full Intranet Access Example

Selected Server Access Example

Design for Remote Management

Design Your DNS Infrastructure for DirectAccess

Design Your PKI for DirectAccess

Appendix B: Reviewing Key DirectAccess Concepts

Forefront UAG DirectAccess Deployment Guide

В документ DirectAccess Deployment Guide добавился список дополнительных материалов. Этот список можно использовать как шпаргалку при разработке плана внедрения DirectAccess.

Если в процессе развертывания DirectAccess у вас что либо не работает, то для поиска и устранения неисправности можно воспользоваться следующими документами:

Test Lab Guide: Troubleshoot DirectAccess

DirectAccess Troubleshooting Guide

DirectAccess Design, Deployment, and Troubleshooting Guides

Еще один интересный набор документов посвящен манипуляциям c IPsec при работе с DirectAccess.

Moving the IPsec Gateway to Another Server

Configure the Intra-Server Subnet

Configure the IPv6 Connectivity Server

Configure the IPsec Gateway Server

Это позволит перести функцию криптографии IPsec шлюза на другой компьютер, и снизить нагрузку на процессор сервера DirectAccess. Так же это может пригодиться, если нужно быстро увеличить количество обслуживаемых DirectAccess клиентов.

Как видите документов, описывающих работу DirectAccess все больше и больше. При учете того что этот функционал не требует дополнительных лицензий возможно его пора внедрять?

Comments

  • Anonymous
    August 04, 2010
    Внедрять, конечно, можно. Но:
  1. непонятно пока, можно ли настроить Direct Access, если выход в Интернет у фирмы через ADSL-модем в режиме роутера, который, возможно, не поддерживает IPv6?
  2. можно ли обойтись port-forwarding с Интернет-шлюза (модема или другого, но не UAG) на Direct Access сервер? Можете подсказать, куда копать в двух данных случаях? И вопрос на засыпку: кроме Windows 7 Ultimate/Entrprise/Windows 2008 R2 будет ли поддержка других ОС в качестве Direct Access клиентов?
  • Anonymous
    August 05, 2010
    Удаленный офис давно актуален. В этом году внедрили на практике. Обошлись малой кровью с малыми сложностями. На входе работает ADSL Accorp Route с выделенным  ip у провайдера, сделан перебрось на машину с Windows Web Server 2008, работаем в 2х терминалах с Outlook, CRM УТ 8.1.  Ощущения суперские, зеркальный рэйд массив хранит данные, документы не теряются, проблемы с версионностью решили. Обошлось нам это очень дешево =)