Мастер Forefront Unified Access Gateway DirectAccess – часть 1: Немного основ о функции DirectAccess и о мастере UAG DirectAccess Wizard

DirectAccess – это новенькая разработка, которая может быть реализована в паре ОС Windows 7 и Windows Server 2008 R2. DirectAccess полностью отличается от VPN либо других технологий удаленного доступа. Целью DirectAccess является не только лишь предоставление еще 1-го метода обеспечения доступа к вебу для компов в корпоративной сети (как было с VPN и прикладными шлюзами), да и расширение корпоративной сети до хоть какого места, в каком может находиться DirectAccess клиент. Преимуществом этой технологии является не только лишь то, что вы всегда будете подключены к собственной корпоративной сети, да и то, что ИТ персонал всегда будет иметь подключение к юзерам и их машинам ‘ в итоге ваша централизованная инфраструктура контроля и управления будет иметь неизменный доступ ко всем членам домена, а не только лишь к тем участникам домена, которые размещены за корпоративным брандмауэром либо которые вошли в корпоративную сеть.

Это очень комфортно. Одним из главных препятствий производительности юзеров является неспособность получить резвый и надежный доступ к инфы за корпоративным брандмауэром. Естественно, есть методы, дозволяющие обходить эту делему, которые использовались в протяжении пары лет, такие как классические VPNs, прикладные шлюзы, шлюзы протоколов и SSL VPNs, но они не на сто процентов решали действительные трудности, с которыми сталкивались юзеры. Юзерам требовался обычный, удачный и автоматический метод получения инфы для выполнения собственных задач, так как конкретно юзеры зарабатывают средства для компании, выполняя свои задачки. Чем резвее они управляются со своими задачками, тем резвее компания получает прибыли и (в эталоне) все получают надбавки к заработной плате.

Но время от времени кажется, что нужды информационных отделов противоположены нуждам юзеров. ИТ персоналу нужно держать под контролем то, что происходит с удаленными клиентами ‘ лучше еще до того, как эти клиенты подключаются к корпоративной сети. Удаленные клиенты часто представляют собой неведомые объекты. У их разная конфигурация безопасности, они могли подключаться к хоть какому количеству сетей с неведомым статусом безопасности, а время от времени юзеры даже могут быть неопознаны. По этим и другим причинам ИТ персонал всегда волновали удаленные клиенты, и наилучшие информационные отделы очень аккуратны, когда речь входит о предоставлении малых прав хоть какому узлу, подключающемуся из-за пределов корпоративного брандмауэра.

Что, если мы изменим это уравнение? Нет, я не говорю о ‘погибели DMZ’ либо о том, что ‘межсетевой экран мертв’, так как мы знаем, что оба эти утверждения неверны, и всегда будут такими. Но сейчас мы можем предоставлять решение удаленного доступа, которое:

Просит двухфакторной аутентификации
Употребляет IPsec для защиты подключений с клиентских компов к шлюзу удаленного доступа
Может использовать IPsec для защиты подключений с клиентских компов к мотивированной конечной точке
Употребляет аутентификацию компов и юзеров для сотворения подключений к шлюзу удаленного доступа
Обеспечивает подключение еще до входа юзера, чтоб ИТ персонал сумел пользоваться всем своим арсеналом инструментов безопасности и управления клиентами, который он употребляет для узлов в корпоративной сети, чтоб также иметь возможность держать под контролем опции и безопасность хоть какого участника домена, размещенного в любом месте в вебе
Позволяет иметь полный контроль управления над управляемыми членами домена в любом месте в вебе без предоставления юзерам доступа к корпоративной сети
Позволяет предоставлять компьютерам и юзерам домена доступ к корпоративным ресурсам таким же образом, как и при их нахождении в корпоративной сети

Если вы мыслите так же, как и я, вас это заинтригует. По сути, DirectAccess представляет собой решение удаленного доступа, которого мы ожидали для предоставления сотрудникам с момента выхода первого PPTP туннеля в 20 веке. Это решение позволяет вашим юзерам быть продуктивными в хоть какое время, повсевременно, также снимает напряжение со службы технической поддержки. Так как DirectAccess работает в любом месте, это значит, что в службу саппорта больше не будут поступать звонки с жалобами о неработающем VPN соединении в гостинице.

Составляющие Forefront UAG DirectAccess Remote Access топологии

Решение DirectAccess состоит из нескольких компонент. Но восхитительным в DirectAccess будет то, что вы уже знакомы с этими компонентами (по большей части). Сюда заходит:

IPv6 и технологии туннелирования IPv6
DNS серверы
Web серверы
IPsec и Правила безопасности подключений (Connection Security Rules)
Правила брандмауэра Windows
Active Directory и групповая политика
Сертификаты

IPv6 и технологии туннелирования IPv6

Итак, я знаю, что не многие из вас знакомы с IPv6 либо технологиями туннелирования IPv6. Естественно, вы понимаете, что это, но, может быть, вам никогда не приходилось с этим работать. Организации очень медлительно принимают веб протокол последнего поколения. Но вот отменная новость: Хотя это и фундамент решения DirectAccess, если вы используете Forefront UAG в качестве сервера DirectAccess, вам не надо ничего знать о IPv6 и о разработках туннелирования IPv6. С UAG вы просто настраиваете UAG сервер либо массив, и он будет работать.

DNS Серверы

Хоть какой ИТ спец, который не напрасно ест собственный хлеб, знает о DNS серверах и о том, как устанавливать и настраивать их. DirectAccess употребляет DNS, чтоб решить, какие подключения должны проходить через DirectAccess IPsec туннели, а какие должны идти конкретно в веб. К тому же, DNS употребляется для регистрации IPv6 адресов DirectAccess клиентов и серверов. Но помните, что вам ничего не надо знать о IPv6; вам только необходимы DNS серверы, которые могут принимать динамические регистрации записей IPv6 DNS AAAA. Это происходит автоматом в Windows Vista и выше, также в Windows Server 2008 и выше.

Web серверы

DirectAccess употребляет технологию под заглавием ‘Сервер сетевых расположений (Network Location Server)’ либо NLS. Сервер NLS употребляется DirectAccess клиентом для определения того, находится ли DirectAccess клиент в корпоративной сети либо в вебе. Если DirectAccess клиент может подключиться к NLS, он знает, что находится в корпоративной сети, и он отключает свою конфигурацию DirectAccess клиента. Если NLS недоступен, то DirectAccess клиент считает, что он находится вне корпоративной сети, после этого включает конфигурацию DirectAccess клиента и пробует сделать IPsec туннель для подключения к DirectAccess серверу через веб.

IPsec и Правила безопасности подключений (Connection Security Rules)

Вот очередной компонент, с которым вы, может быть, незнакомы. Некие молвят, что защита сетевого доступа (Network Access Protection) не прижилась, так как люди не понимали IPsec политик и правил безопасности подключений, которые употребляются для управления NAP решением. Это, может быть, так, а может быть и не так, но это не имеет значения. С DirectAccess, невзирая на то, что IPsec и правила безопасности подключений употребляются для управления подключениями меж DirectAccess клиентом и DirectAccess сервером, или меж DirectAccess клиентом и мотивированным сервером, хорошая новость состоит в том, что UAG DirectAccess сервер делает всю работу за вас.

Вы настраиваете все, что вам необходимо, в мастере UAG DirectAccess, и IPsec политики и правила безопасности подключений будут настроены за вас автоматом. Если вы желаете осознать, как они работают, отлично. Но вам совсем не надо быть IPsec профессионалом, чтоб настроить рабочее и корректно функционирующее DirectAccess решение.

Правила брандмауэра Windows

Высока возможность того, что многим из вас приходилось работать с брандмауэром Windows Firewall with Advanced Security либо WFAS. WFAS – это хорошее штатное решение межсетевого экрана, доступное в Windows Vista и выше, также Windows Server 2008 и выше. Вы сможете создавать многогранные политики и привязывать проверку подлинности к правилам брандмауэра.

Более того, вы сможете использовать оснастку WFAS в групповой политике и разворачивать правила WFAS для групп компов автоматом. DirectAccess употребляет WFAS для включения нужных протоколов меж DirectAccess клиентами и серверами. Но что, если вы ничего не понимаете о правилах брандмауэра и о WFAS? Это не неувязка. Мастер Forefront UAG DirectAccess делает эти правила, делает объекты групповой политики и опции этих объектов, а потом автоматом разворачивает эти опции за вас. Все вправду проще некуда.

Active Directory и групповая политика

Вы понимаете все о Active Directory и групповой политике, не так ли? Вам приходилось работать с этими компонентами со времен Windows 2000 Server. DirectAccess употребляет Active Directory для аутентификации, а групповою политику для внесения всех нужных конфигураций в конфигурацию, которые требуются на DirectAccess клиентах и серверах. Даже если вы не очень разбираетесь в Active Directory и объектах групповой политики (GPO), не стоит волноваться. Мастер Forefront UAG DirectAccess создаст объекты GPO, привяжет их и создаст опции этих объектов, чтоб установить их на клиентах. Вам не надо быть спецом в области Active Directory либо GPO, чтоб вынудить Forefront UAG DirectAccess решение работать с ходу.

Сертификаты

Сертификаты, сертификаты, сертификаты! Они всюду! Многим из вас приходилось иметь с ними дело, так либо по другому. Время от времени работа с сертификатами была обычной, а время от времени задачи были так сложными, что при их решении вы рвали на для себя волосы. Решение Forefront UAG DirectAccess употребляет сертификаты. Вам необходимы будут сертификаты машины, установленные на все DirectAccess клиенты, чтоб они могли создавать IPsec соединения с DirectAccess сервером (сертификаты употребляются для аутентификации и шифрования), вам необходимы будут сертификаты интернет веб-сайта для NLS, о котором мы гласили ранее, вам также нужен будет сертификат интернет веб-сайта для IP-HTTPS слушателя на сервере UAG DirectAccess (IP-HTTPS – это разработка туннелирования IPv6, позволяющая DirectAccess клиентам туннелировать IPv6 сообщения через IPv4 сеть; главным моментом тут будет то, что она инкапсулирует сообщения в SSL защищенный HTTP заголовок, чтоб он мог проходить через брандмауэры и веб-прокси серверы, ограничивающие доступ только для HTTP и HTTPS трафика).

Вам необходимо уметь работать с сертификатами, чтоб вынудить решение DirectAccess работать. Но вам не придется прибегать к использованию PowerShell либо выполнению сложных командных сценариев, чтоб вынудить решение работать. Сертификаты компьютера требуют пару нажатий в редакторе групповой политики (Group Policy Editor), а сертификат интернет веб-сайта просит всего пару кликов в оснастке сертификатов консоли MMC. Сертификат IP-HTTPS нужно приобрести у платного поставщика сертификатов. Вот и все! С мастером UAG DirectAccess все просто.

Заключение

DirectAccess – это та разработка, которую мы ожидали в протяжении 20 лет ‘ даже если вы того не понимали. Вы желали эту технологию себе и собственных юзеров. DirectAccess – это неопасный метод подключения ваших юзеров и компов домена к сети, чтоб они могли получить доступ к необходимым ресурсам, когда они в их нуждаются, из хоть какой точки без вреда для производительности. DirectAccess также дает ИТ спецам все, чтоб быть уверенными в том, что подключения зашифрованы, что имеет место проверка подлинности и безопасность. Сейчас ИТ персонал может расширять свое воздействие на всех юзеров и компы домена, фактически в хоть какое время и повсевременно, чтоб машины, находящие за пределами сети, имели подходящую конфигурацию и соответствовали требованиям безопасности. Это значит, что удаленные машины сейчас представляют профиль угроз, который отличается от всех других машин, движущихся в корпоративную сеть и из нее.

Но независимо от того, как замечательна разработка и какую ценность она представляет для организаций, если ее очень трудно настраивать и обслуживать, она того не стоит. Мы уже сталкивались с схожими прорывами от Microsoft, такими как NAP и изоляция доменов и серверов (Server and Domain Isolation) ‘ две примечательные технологии, которые должны были поменять мир, но так этого и не сделали. Неплохой новостью в DirectAccess будет то, что уровень трудности, хотя он и есть, еще ниже, чем может показаться. По сути высока возможность того, что вы уже понимаете о большинстве технологий, которые употребляются в DirectAccess решении, и вы стремительно можете пользоваться своими познаниями для установки и опции этой технологии. Вам не придется возиться с PowerShell (если вы сами того не пожелаете), вам не придется писать командные сценарии (если вы не возжелаете) и вам не придется учить уйму новых технологий, до того как приступать к работе. Пропорции стоимость/достоинства в DirectAccess еще выше, чем у всех других технологий, с которыми вам доводилось работать до этого.

Во 2-ой части этого цикла я покажу вам мастер UAG DirectAccess, также расскажу о том, почему следует использовать UAG в качестве сервера для решения DirectAccess. Могу гарантировать, как вы вкусите DirectAccess, вам больше не захочется использовать VPN подключения и подключаться к старенькым SSL VPN порталам.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.