【TechTarget中国原创】一言以蔽之,Windows Server 2008 R2 中的DirectAccess是相关咨询者的一个梦想。
集成了同类挑战性技术IPsec以及IPV6和它的Teredo,6to4,以及新的IP—HTTPS协议,DirectAccess更像是一门技术,使得几乎所有的坚定的管理员都会头疼而跳过。再加上一些可选的但是强烈推荐的网络访问保护(NAP)以及一些全新的DNS服务器特性,你将发现自己陷入到令人头晕的字母缩写中。
这并不是说DirectAccess 不是一个非常实用的技术。事实上恰恰相反。DirectAccess可以使你有效地延展你的内部Windows域的边界到Internet的任何地方。这一功能可以使你的公司的便携式本电脑可以无缝地和你的内部域的服务进行交互,例如应用程序、email、文件和更新服务。通过使用DirectAccess,你的便携式电脑无论在咖啡馆、机场还是在旅店,都可以使用相同的网络连接一边通过本地提供设施上网,一边访问办公室的应用程序。
这个想法是否使你神经紧张?从网络安全的角度,它也许是。这恰恰就是为什么微软的DirectAccess在工作时需要这么多的恰当的安全措施。这也是为什么大多数需要这个无缝访问服务器的IT组织考虑把它的实施外包给专业人士以此来确保它在第一次就成功。
DirectAccess的应用案例
先丢掉刚才提的恐慌,让我们稍稍回顾一下DirectAccess是如何显著改变你的业务。回想一下仅仅这几年间我们工作的变化。越来越多的人工作在传统的砖瓦办公室之外,做为远程用户经常在家工作或者直接在伙伴公司的办公室里。其他一些也许经常出差和合作伙伴或者客户交互。
对这些类型的员工,传统的远程访问的方法通过在内部网络的边缘引入某种VPN服务。这可以是基于Ipsec的VNP,需要在便携式电脑中安装VPN客户端。或者是基于SSL的VPN,通常用一个基于Web前端使用微软的远程桌面服务或思杰的XenApp。
许多企业已经选择了其中一个解决方案,这两个方案使终端用户都面临许多问题。基于IPsec的VPN(例如Cisco VPN客户端),连接到你的办公室意味着你并不仅仅创建一个网络连接,作为一个LAN中的节点,你的下一个的任务是查找和连接到你所需要的资源,例如文件共享或email服务,这一般都需要对用户做一些培训来帮助他们重新创建驱动映射或定位它们需要的资源。用VPN客户端软件也对那些不那么懂技术的人构成了一定的挑战。
基于SSL的VPN,例如那些集成了远程桌面服务或XenApp,通过把用户导向到一个公开访问的网页或其它地方访问应用程序来简化。不仅仅是连接网络,给授权用户呈现出一个可以点击远程登录的应用程序或者桌面列表,额外的负担是需要远程的用户来管理主机桌面或应用程序。
然而,这两种解决方法都有一个问题:他们需要用户经历一系列额外的步骤来获得公司的应用服务。给用户呈现的应用访问都不是完全的“无缝”。
这导致了一个问题:“我如何以在办公室的同样的方式,在机场通过我的便携式电脑来访问公司的应用?”
解放方法就是DirectAccess。
你需要的和你得到的
使DirectAccess最独特的地方是它的无所不在。许多组织依赖基于IPsec的VPN的配置来防止出现通常称为“分割通道”的问题。这导致当一个客户端连接到VPN服务器的同时其他所有的外围连接也连到VPN,,这意味着在酒店的用户可以选择连接到办公室或者Interent其它地方。
分割通道问题一般是不被允许的,因为存在明显的安全问题:一个便携式电脑在一个不安全的网络(酒店)直接连接到一个安全的网络(办公室)。在这种情况下,任何的对该便携式电脑的攻击都通过网络的周边硬环境找到一个捷径而进入到柔软而脆弱的内网。
微软的DirectAccess方法直接面对了这些不希望出现分割通道的人群,因为它本身就是一个一直在线的解决方案。一旦你的DirectAccess基础设施运行中,你的便携式电脑就一直连接到你的本地LAN和Internet。也就是说,找一个公开可访问的访问点和后台管理模块——任何东西都可以得到。
这意味着你的公司的应用程序一直可以同样的方式获取,无论你是直接连接在内部的LAN上还是在咖啡馆里或者晚上在家里。便携式电脑在任何地方的连接体验都是一样的。对于DirectAccess,它的体系结构很强大,吸引那些付费解决安全问题的人们。
如果不符合安全要求,微软显然不会考虑这样的一个解决方案,。如果你要实施这项技术,你也需要部署一个支持安全架构的主机,用来验证每一个便携式电脑的身份(授权)识别、数据转移的安全(加密)以及确认它的配置是没有危害的(通过网络访问保护强制执行)。
这也需要Ipv6,因为它提供了必要的点对点的寻址,无论便携式电脑在哪里。微软知道事实上不是所有的环境都已经迁移到Ipv6中,Internent本身还没有完全支持它。所有Ipv6到Ipv4的转换协议,例如Teredo、6to4和ISATAP都需要支持。
最后,由于大多数基于LAN的应用程序一般使用短的名称,例如server1与server1.contoso.com,特殊的安全的和外部可访问的DNS 服务器必须可以为Internet上的客户端提供短文件名的解决方法。
这个体系结构的一个可选的但是强烈推荐的附加技术是网络访问保护技术。使用NAP,管理员设置了策略来确保只有那些完全打了目前的反恶意软件和反毒补丁签名,并且设置了正确的防火墙的客户端才可以获取网络访问。就技术考虑,一直在线的方法使得NAP的额外基础设施是DirectAccess所需的,因为你不希望你的外部客户端染上互联网上的病毒并在你的内部的LAN上扩散。
价格因素
就技术而言,实施像DirectAccess的技术不会增加费用,因为所有需要的组件都存在于现有的Window 操作系统中。目前,客户必须运行在Winows 7上来使用DirectAccess,服务器运行DirectAccess角色必须在Windows Server2008 R2中。微软尚没有提供信息表明将把该客户端模块实施到以前版本的操作系统中。
你的开销将转移到安装和运营体系结构所花费的人力成本上,这就是为什么我之前描述它是一个“咨询者的梦想”。DirectAccess的功能和为你的移动工作人员带来震撼。它和Outlook、Microsoft Dynamics,甚至自制的客户端或服务器应用一样便捷,微软的Dynamic或者你的本地的 client/Server应用程序可以正常工作,无论便携式电脑连接在哪里,都能使用这些应用。
就便捷性而言,它也彻底改变了你的工作方式,将完全没有了传统的砖瓦的办公室的障碍。
不过,微软目前最困难的工作是使那些安全敏感的公司确信,这种访问方式是一种完全安全的解决方案。