Giới thiệu về UAG DirectAccess – Phần 1

Trong bài viết này chúng tôi sẽ cung cấp một kiến thức tổng quan về những gì DirectAccess có thể thực hiện và những giá trị mà nó cung cấp cho cả quản trị viên lẫn người dùng. DirectAccess là một kỹ thuật truy cập từ xa mới có trong Windows 7 và Windows Server 2008 R2, kỹ thuật này cho phép người dùng có thể kết nối với mạng công ty bất cứ thời điểm nào.
Nội dung trích xuất từ tài liệu:
Giới thiệu về UAG DirectAccess – Phần 1 Giới thiệu về UAG DirectAccess – Phần 1Trong bài viết này chúng tôi sẽ cung cấp một kiến thức tổng quan về những gìDirectAccess có thể thực hiện và những giá trị mà nó cung cấp cho cả quản trị viênlẫn người dùng.DirectAccess là một kỹ thuật truy cập từ xa mới có trong Windows 7 và Windows Server2008 R2, kỹ thuật này cho phép người dùng có thể kết nối với mạng công ty bất cứ thờiđiểm nào. Từ quan điểm của người dùng, trải nghiệm họ có được là hoàn toàn giống nhaumà không bị phụ thuộc vào địa điểm kết nối. Người dùng có thể di chuyển từ mạng côngty sang mạng của một khách sạn, một quán cà phê hay trung tâm hội thảo nào đó có cungcấp kết nối không dây. Chỉ cần được kết nối Internet, họ có thể truy cập được các tàinguyên trong mạng nội bộ, như thể đang truy cập trực tiếp đến các tài nguyên đó thôngqua kết nối Ethernet hoặc kết nối không dây 802.11.Khía cạnh “always-on” của DirectAccess được cho là phần quan trọng nhất của giải phápnày. Người dùng không cần khởi tạo kết nối VPN; họ không cần nhớ URL của SSL VPNgateway (thậm chí SSL VPN gateway là một UAG server). Họ không cần thực hiện bấtcứ thứ gì – chỉ cần kích các liên kết trong email hoặc trên desktop hay đánh vào tên máychủ muốn sử dụng, sau đó thực hiện kết nối. Một kết nối xuyên suốt như vậy chắc chắnsẽ tạo năng suất cho công việc.Mặc dù vậy, DirectAccess còn cung cấp nhiều hơn như những gì được giới thiệu ở trên.Do kết nối DirectAccess là liên kết hai chiều, bạn – quản trị viên mạng – sẽ có khả năngkết nối với các máy khách DirectAccess qua Internet. Bất cứ khi nào một máy kháchDirectAccess được bật, bạn đều có thể kết nối và quản lý máy khách này. Người dùngkhông cần phải đăng nhập để bạn có thể kết nối với các máy khách DirectAccess từ bêntrong mạng công ty. Điều này có nghĩa rằng, cơ sở hạ tầng quản lý mà bạn sử dụng đểđiều khiển và cấu hình các host trên mạng công ty lúc này sẽ luôn trong tình trạng sẵn có(available) đối với việc quản lý các máy tính được kết nối thông qua DirecDtAccess.DirectAccess làm việc như thế nàoCùng với DirectAccess, người dùng Windows 7 và Windows Server 2008 R2 sẽ gặp mộtsố công nghệ mới của các hệ điều hành này. Một số công nghệ này có thể mới có, một sốcó thể đã được biết đến từ lâu. Mặc dù vậy, dù đang làm việc với công nghệ cũ hay mớithì tất cả chúng đều không quá phức tạp. Cần tránh một số quan điểm cho rằngDirectAccess không đáng với những gì phức tạp mà người dùng nó phải nỗ lực vượt qua.Nhận thức này là vì trước khi UAG 2010 được phát hành, chỉ có một cách duy nhất cóthể triển khai DirectAccess là sử dụng giải pháp Windows DirectAccess đi kèm. Giảipháp này tồn tại một số hạn chế so với giải pháp của UAG DirectAccess: Windows DirectAccess hỗ trợ hạn chế khả năng sẵn có cao, cơ chế thường dùngliên quan đến việc sử dụng Hyper-V và Windows failover cluster nhằm cung cấp khảnăng stand-by tốt. Bên cạnh đó cũng không có sự hỗ trợ cho việc cân bằng tải trọng trongmạng (Network Load Balancing). Windows DirectAccess không hỗ trợ các mảng DirectAccess. Nếu muốn thiết lậpnhiều máy chủ Windows DirectAccess, bạn cần cấu hình và quản lý chúng một cáchriêng biệt. Trái ngược lại, các máy chủ UAG DirectAccess lại có thể được cấu hình theomảng. Máy chủ Windows DirectAccess không hỗ trợ các máy chủ chỉ hỗ trợ IPv4 (IPv4only). Máy khách DirectAccess trên Internet cũng không thể kết nối với các máy chủdạng này. Điều đó có nghĩa rằng, nếu muốn sử dụng giải pháp Windows DirectAccess,bạn cần nâng cấp các máy chủ của mình lên Windows Server 2008 hoặc mới hơn. Ngượclại, giải pháp UAG DirectAccess lại hỗ trợ đầy đủ các máy chủ IPv4 trong mạng công ty.Nếu có kế hoạch triển khai DirectAccess trong mạng công ty của mình, cách tốt nhất đểthực hiện điều đó là sử dụng giải pháp UAG DirectAccess.Kết nối máy khách DirectAccessIPv6 chính là vẫn đề cốt lõi của giải pháp DirectAccess, đây là một trong những lý dokhiến nhiều quản trị viên có cảm giác không thể triển khai giải pháp vào thời điểm này.IPv6 rõ ràng phức tạp hơn và với sự cắt giảm kinh phí lẫn nhân lực CNTT thì đây quảthực là một trở ngại. Mặc dù vậy, với UAG, bạn không cần phải trở thành một chuyên giaIPv6, giải pháp UAG DirectAccess sẽ tự động triển khai cơ sở hạ tầng IPv6 cần thiết.Khi máy khách DirectAccess được kết nối với Internet, nó sẽ cố gắng thiết lập hai tunnelIpsec đến máy chủ UAG DirectAccess. Hai tunnel này sẽ sử dụng chế độ IPsec tunnel vàgiao thức Encapsulating Security Payload (ESP) cùng mã hóa AES 192bit để bảo vệ sựriêng tư.Hai kiểu tunnel ở đây là: Infrastructure tunnel: Infrastructure tunnel bắt đầu khi máy tính khởi độngnhưng trước lúc người dùng đăng nhập. Máy tính DirectAccess luôn là một thành viênmiền và tài khoản của nó được sử dụng để đăng nhập thông qua chứng chỉ máy tính vàxác thực NTLMv2. Thêm vào đó, nó phải thuộc nhóm bảo mật dành riêng cho các máykhách DirectAccess. tunnel này ...