Windows Server 2012 & Remote Access

26 сентября 2012 г.
Comments

imageВ Windows Server 2012 появилось много новых функций и возможностей, которые делают его отличным решением в качестве сервера удаленного доступа на предприятий любых масштабов. Microsoft в течение длительного времени развивает и усовершенствует концепцию «Удаленного доступа» (Remote Access). В Windows Server 2008 R2, мы увидели роль сервера DirectAccess, с помощью который мы можем автоматически подключаться к корпоративной сети, не требуя от пользователей установки VPN соединения. Тем не менее, к DirectAccess в Windows Server 2008 R2 выдвигались многочисленных требования. Кроме того, если вы действительно хотите развернуть решение DirectAccess для удаленного доступа, то без Microsoft Unified Access Gateway вам не обойтись. Таким образом, развертывания DirectAccess плюс UAG, добавляет сложности конфигурации и увеличивает расходы. Поэтому для SMBs решение DirectAccess было «дорогим удовольствием».


С появление на свет Windows Server 2012 ситуация немного изменилась. Многие функции DirectAccess, которые были доступны только при использовании UAG, теперь доступны в Windows Server 2012. В Windows Server 2012 включены также и новые функции DirectAccess. И самое главное, теперь DirectAccess построен таким образом, что предприятия могут выбирать параметры развертывания в зависимости от уровня сложности своей корпоративной сети.
Но решение удаленного доступа в Windows Server 2012 это не только DirectAccess. Теперь DirectAccess перенесен в управление удаленным доступом, что делает DirectAccess, VPN и маршрутизацию, неотъемлемыми частями новой роли «Сервер удаленного доступа» (Remote Access Server) в Windows Server 2012.
Перечень нового функционала роли «Сервер удаленного доступа», который доступен в Windows Server 2012:
  • Интеграция управления DirectAccess и RRAS.
Теперь вы можете управлять DirectAccess и VPN из одного интерфейса.

  •  Управлять DirectAccess в малых и средних организациях теперь намного легче.
В реализации Windows Server 2008 R2, DirectAccess был сложным и громоздким. Требовалось наличие двух IP-адресов, IPv6, а также ряд других требований делали невозможным разворачивание DirectAccess на малых предприятиях. Эти требования были удалены в Windows Server 2012, и тепер любой кто подключен к Интернету через компьютер, который может разрешить входящие соединения на TCP порт 443, могут воспользоваться DirectAccess.
  •  Наличие PKI необязательно для DirectAccess.
Требования к конфигурации инфраструктуры открытого ключа и сертификата для развертывания DirectAccess в Windows Server 2008 R2 были сложным и запутанным. Для DirectAccess в Windows Server 2012 наличие сертификата или PKI не обязательно, благодаря способности использовать ограниченное делегирование Kerberos.
  •  Встроенный NAT64 и DNS64 - поддержка доступа к ресурсам по протоколу IPv4.
Для DirectAccess в Windows Server 2008 R2, нужна была внутренняя IPv6 сеть, чтобы получить максимальную отдачу от DirectAccess. При отсутствии IPv6 сети, можно развернут UAG (Microsoft Unified Access Gateway), и преобразование IPv6 в IPv4 ложится на его плечи. Теперь когда у нас есть Windows Server 2012, нам не нужны дополнительные решения для роботы по протоколу IPv6 в сети IPv4. В Windows Server 2012 NAT64/DNS64 являются неотъемлемой частью платформы, поэтому не нужен UAG для роботы DirectAccess сети IPv4.
  • Поддержка сервера DirectAccess за устройством NAT.
Основной проблемой развертывания для крупных и средних предприятий был тот факт, что мы не могли развернуть сервер DirectAccess за устройством NAT. В крупных организациях требуется разместить DirectAccess на сервере за брандмауэром, а средние предприятия не имеют достаточное количество публичных IP-адресов. Вот DirectAccess на Windows Server 2012 теперь мы можем разместить за устройством NAT - таким образом устранить одну наиболее распространенную причину отказа от развертывания DirectAccess.
  • Упрощение политики безопасности сети.
Решения Windows Server 2008 R2 DirectAccess используют очень сложный набор правил безопасности IPsec для создания нескольких типов подключений IPsec, которые служат различным целям. Это накладывало определенный трудности в развертывании DirectAccess и еще больше затрудняло устранение неполадок, когда что-то шло не так. Для DirectAccess в Windows Server 2012 значительно упрощены политики безопасности сети, что упрощает развертывание и устранение неполадок.
  • Поддержка балансировки нагрузки.
Высокая доступность является ключевым требованием для любого решения удаленного доступа. В Windows Server 2008 R2 DirectAccess поддержка высокой доступности была не навысоте. Для того чтобы получить высокой доступности с помощью DirectAccess, нужно развернуть UAG. Теперь Windows Server 2012 поддерживает балансировку сетевой нагрузки для DirectAccess, и нам не нужны дополнительны решения.
  • Поддержка множественных доменов.
Хотя поддержка нескольких доменов есть и в DirectAccess на Windows Server 2008 R2, но реализация оставляет желать лучшего. Развернуть DirectAccess в Windows Server 2012 для поддержи теперь намного проще, что упрощает настройку и устранение неполадок.
  • Интеграция NAP.
Защита доступа к сети (NAP) — тип технологии контроля доступа к сети, которая требует от каждого клиентского компьютера DirectAccess, чтобы он отвечал определенным требованиям безопасности, прежде чем разрешить доступ к сети. Если DirectAccess клиенты не пройдут проверку безопасности, им будет отказано в доступе к сети через DirectAccess. NAP интеграция с DirectAccess не была доступна в Windows Server 2008 R2. И опять, нужно разворачивать UAG, чтобы получить поддержку NAP. Теперь с ОС Windows Server 2012 DirectAccess, мы получили поддержку NAP.
  • Поддержка OTP (проверка подлинности на основе маркеров).
OTP (одноразовый пароль) - с помощью OAuth позволяет требовать от пользователей представить одноразовый пароль к серверу DirectAccess для проверки подлинности пользователя. Эта функция не была доступна в DirectAccess версии Windows Server 2008 R2. Чтобы получить поддержку ОТП, нам нужен был UAG. С Windows Server 2012 мы получили поддержку OTP для DirectAccess.
  • Автоматическая поддержка принудительного туннелирования.
Принудительное туннелирование — это параметр конфигурации в DirectAccess, включив который, мы весь трафик через все сетевые подключения заставляем пройти через подключение DirectAccess. Если клиенты DirectAccess должны подключиться к корпоративным ресурсам, эти соединения должны пройти через туннель DirectAccess. Если клиенты DirectAccess подключаются к Интернет-ресурсам, то эти запросы также должны пройти через туннель DirectAccess. Принудительное туннелирование, является противоположностью раздельного туннелирования. Раздельное туннелирование разрешает клиентам использовать подключение DirectAccess для подключения к корпоративным ресурсам, а когда клиенты DirectAccess подключаться к Интернет-ресурсам, они подключаются к ним непосредственно через любое Интернет-соединение. Конфигурация по умолчанию для DirectAccess в Windows Server 2008 R2 разрешала раздельное туннелирование, это могло не соответствовать корпоративной политики безопасности. Настройка принудительного туннелирования в DirectAccess на Windows Server 2008 R2, довольно сложна и кропотлива. UAG делает процесс гораздо проще, и простота является еще одной особенностью UAG, которая теперь интегрирована в DirectAccess на базе ОС Windows Server 2012.
Поддержка удаленного управления дает нам возможность подключения к клиентам DirectAccess с узлов в корпоративной сети. Теперь персонал Help Desk может подключаться к клиентам DirectAccess. Кроме того, удаленное управление позволяет администраторам управлять клиентскими станциями (обновления ОС и т.п.) даже если они не находятся в корпоративной сети.
 
В этой статье, мы начали наше знакомство с новой ролью сервера удаленного доступа в Windows Server 2012. Мы кратко обсудили некоторые новые функции, включенные в роль Удаленный доступ в ОС Windows Server 2012, с основным упором на новые и усовершенствованные функции в DirectAccess.

Ярлыки: