10 thứ bạn cần biết về DirectAccess

DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp của Windows Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate. DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọi nhân viên có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràng buộc với các kỹ thuật truy cập từ xa truyền thống chẳng hạn như network-level VPN, SSL VPN gateway, và proxy ngược. Nó cho người dùng trải nghiệm xuyên suốt, cho CNTT khả năng quản lý tiên...
Nội dung trích xuất từ tài liệu:
10 thứ bạn cần biết về DirectAccess 10 thứ bạn cần biết về DirectAccess DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp củaWindows Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate.DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọinhân viên có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràngbuộc với các kỹ thuật truy cập từ xa truyền thống chẳng hạn như network-levelVPN, SSL VPN gateway, và proxy ngược. Nó cho người dùng trải nghiệm xuyênsuốt, cho CNTT khả năng quản lý tiên tiến. DirectAccess cho phép truy cập bấtcứ nơi đâu, thậm chí khi hệ thống máy khách DirectAccess nằm phía sau tườnglửa.1. Có thể mở rộng mạng công ty với một máy tính được kết nối Internet ở bất cứđâu trên thế giới Mục tiêu của DirectAccess là mở rộng phạm vi mạng công ty đến bất cứ máykhách DirectAccess nào được kết nối Internet. Máy tính DirectAccess ở đây là mộtthành viên miền, được quản lý bởi các cơ chế điều khiển và quản lý như các máy tínhnằm phạm vi bên trong đường biên mạng công ty. Ngoài sự mở rộng tầm kiểm soátcủa CNTT qua tất cả các máy tính này, không quan tâm đến vị trí, DirectAccess còncung cấp một trải nghiệm truy cập mạng xuyên suốt cho người dùng. Họ không cầnphải nhớ sử dụng tên (name) nào đó khi nằm trong mạng công ty và một tên (name)khác khi không nằm trong mạng đó; đó là vì họ luôn trên mạng công ty. Khi máy tính DirectAccess khởi chạy, nó sẽ thiết lập một đường hầm “cơ sở hạtầng”. Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess có thể kết nốiđến các tài nguyên miền, chẳng hạn như domain controller, máy chủ DNS và máy chủquản lý. Đường hầm này cũng là đường hầm hai chiều, do đó CNTT có thể khởi tạocác kết nối đến các máy khách DirectAccess trên Internet (được gọi là các kết nối“manage out”), cũng trong đường hầm đó, họ có thể kết nối đến các host trên mạngnội bộ. Sau khi người dùng đăng nhập, một đường hầm thứ hai, đường hầm mạng nộibộ (intranet tunnel), cho phép người dùng có thể kết nối đến các tài nguyên công tygiống như cách một host trong mạng nội bộ kết nối đến các tài nguyên đó. Chúng cóthể sử dụng FQDN hoặc tên nhãn để kết nối đến máy chủ file, máy chủ web, máy chủcơ sở dữ liệu, mail hoặc bất kỳ máy chủ nào và không cần cấu hình lại các ứng dụngkhi rời khỏi mạng công ty. Người dùng DirectAccess luôn nằm trong mạng công ty,không quan tâm tới vị trí họ đang ở đâu.2. Cần có đủ các yêu cầu DirectAccessBạn phải có đủ các yêu cầu trước khi bắt đầu triển khai DirectAccess. Để bắt đầu, bạncần: • Tối thiểu một domain controller chạy Windows Server 2003 hoặc phiên bản cao hơn. • Một PKI bên trong để gán các chứng chỉ cho các máy khách và máy chủ DirectAccess. • Một PKI private hoặc public để gán các chứng chỉ website cho bộ lắng nghe IP- HTTPS listener và Network Location Server (sẽ được thảo luận ở bên dưới).Thêm vào đó bạn cần có các yêu cầu khác: • Máy chủ DirectAccess phải là Windows Server 2008 R2 Standard, Enterprise hoặc phiên bản cao hơn. • IPv6 phải được kích hoạt, các công nghệ chuyển tiếp không gian địa chỉ IPv6 cũng phải bị vô hiệu hóa. • Các máy khách DirectAccess phải chạy Windows 7 Enterprise hoặc Ultimate. • Các máy khách DirectAccess phải là thành viên của một miền Active Directory. • Network Location Server (Web server) khả năng có sẵn cao phải nằm trong mạng công ty. • Nếu có nhiều tường lửa phía trước hoặc phía sau máy chủ DirectAccess, các bộ lọc dữ liệu phải được kích hoạt để cho phép lưu lượng cần thiết. • Máy chủ DirectAccess phải có hai adapter giao diện mạng.3. IPv6 là nền tảng trong truyền thông DirectAccess Máy khách DirectAccess luôn sử dụng không gian địa chỉ IPv6 để truyền thôngvới máy chủ DirectAccess. Máy chủ DirectAccess sẽ chuyển tiếp các kết nối này đếncác thiết bị IPv6 trên mạng công ty. Mạng công ty có thể sử dụng cơ sở hạ tầng IPv6(nói như vậy là tất cả router, switch, hệ điều hành và các ứng dụng đều có khả năng hỗtrợ IPv6) hoặc nó có thể sử dụng các kỹ thuật chuyển tiếp IPv6 để kết nối đến các tàinguyên IPv6 trên mạng công ty. Máy chủ DirectAccess có thể sử dụng ISATAP (Intra-site Automatic TunnelAddressing Protocol) cho các gói dữ liệu đường hầm IPv6 bên trong các header IPv4,đây là giao thức có thể lợi dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển cácgói dữ liệu IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internetcó thể sử dụng một số các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủDirectAccess, gồm có 6to4, Teredo và IP-HTTPS.4. IPSec bảo vệ sự truyền thông từ đầu đến cuối Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạngInternet bên ngoài, do đó sự an toàn trong truyền thông là một vấn đề cực kỳ quantrọng. DirectAccess sử dụng giao thức Ipsec để bảo vệ sự an toàn truyền thông gi ...