Các tínhnăngkỹthuật của DirectAccess
trong Windows Server
DirectAccess là một kỹthuật truy cập từ xa có sẵn nhờ sự kết hợp củaWindows
Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate
DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọi nhân viên
có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràng buộc với cáckỹthuật
truy cập từ xa truyền thống chẳng hạn như network-level VPN, SSL VPN gateway, và
proxy ngược. Nó cho người dùng trải nghiệm xuyên suốt, cho CNTT khả năng quản lý
tiên tiến. DirectAccess cho phép truy cập bất cứ nơi đâu, thậm chí khi hệ thống máy
khách DirectAccess nằm phía sau tường lửa.
1. Có thể mở rộng mạng công ty với một máy tính được kết nối Internet ở bất cứ
đâu trên thế giới
Mục tiêu củaDirectAccess là mở rộng phạm vi mạng công ty đến bất cứ máy khách
DirectAccess nào được kết nối Internet. Máy tínhDirectAccess ở đây là một thành viên
miền, được quản lý bởi các cơ chế điều khiển và quản lý như các máy tính nằm phạm vi
bên trong đường biên mạng công ty. Ngoài sự mở rộng tầm kiểm soát của CNTT qua tất
cả các máy tính này, không quan tâm đến vị trí, DirectAccess còn cung cấp một trải
nghiệm truy cập mạng xuyên suốt cho người dùng. Họ không cần phải nhớ sử dụng tên
(name) nào đó khi nằm trong mạng công ty và một tên (name) khác khi không nằm trong
mạng đó; đó là vì họ luôn trên mạng công ty.
Khi máy tínhDirectAccess khởi chạy, nó sẽ thiết lập một đường hầm “cơ sở hạ tầng”.
Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess có thể kết nối đến cáctài
nguyên miền, chẳng hạn như domain controller, máy chủ DNS và máy chủ quản lý.
Đường hầm này cũng là đường hầm hai chiều, do đó CNTT có thể khởi tạo các kết nối
đến các máy khách DirectAccess trên Internet (được gọi là các kết nối “manage out”),
cũng trong đường hầm đó, họ có thể kết nối đến các host trên mạng nội bộ.
Sau khi người dùng đăng nhập, một đường hầm thứ hai, đường hầm mạng nội bộ
(intranet tunnel), cho phép người dùng có thể kết nối đến cáctài nguyên công ty giống
như cách một host trong mạng nội bộ kết nối đến cáctài nguyên đó. Chúng có thể sử
dụng FQDN hoặc tên nhãn để kết nối đến máy chủ file, máy chủ web, máy chủ cơ sở dữ
liệu, mail hoặc bất kỳ máy chủ nào và không cần cấu hình lại các ứng dụng khi rời khỏi
mạng công ty. Người dùng DirectAccess luôn nằm trong mạng công ty, không quan tâm
tới vị trí họ đang ở đâu.
2. Cần có đủ các yêu cầu DirectAccess
Bạn phải có đủ các yêu cầu trước khi bắt đầu triển khai DirectAccess. Để bắt đầu, bạn
cần:
Tối thiểu một domain controller chạy WindowsServer 2003 hoặc phiên bản cao
hơn.
Một PKI bên trong để gán các chứng chỉ cho các máy khách và máy chủ
DirectAccess.
Một PKI private hoặc public để gán các chứng chỉ website cho bộ lắng nghe IP-
HTTPS listener và Network Location Server (sẽ được thảo luận ở bên dưới).
Thêm vào đó bạn cần có các yêu cầu khác:
Máy chủ DirectAccess phải là WindowsServer 2008 R2 Standard, Enterprise
hoặc phiên bản cao hơn.
IPv6 phải được kích hoạt, các công nghệ chuyển tiếp không gian địa chỉ IPv6
cũng phải bị vô hiệu hóa.
Các máy khách DirectAccess phải chạy Windows 7 Enterprise hoặc Ultimate.
Các máy khách DirectAccess phải là thành viên của một miền Active Directory.
Network Location Server (Web server) khả năng có sẵn cao phải nằm trong mạng
công ty.
Nếu có nhiều tường lửa phía trước hoặc phía sau máy chủ DirectAccess, các bộ
lọc dữ liệu phải được kích hoạt để cho phép lưu lượng cần thiết.
Máy chủ DirectAccess phải có hai adapter giao diện mạng.
3. IPv6 là nền tảng trong truyền thông DirectAccess
Máy khách DirectAccess luôn sử dụng không gian địa chỉ IPv6 để truyền thông với máy
chủ DirectAccess. Máy chủ DirectAccess sẽ chuyển tiếp các kết nối này đến các thiết bị
IPv6 trên mạng công ty. Mạng công ty có thể sử dụng cơ sở hạ tầng IPv6 (nói như vậy là
tất cả router, switch, hệ điều hành và các ứng dụng đều có khả năng hỗ trợ IPv6) hoặc nó
có thể sử dụng cáckỹthuật chuyển tiếp IPv6 để kết nối đến cáctài nguyên IPv6 trên
mạng công ty.
Máy chủ DirectAccess có thể sử dụng ISATAP (Intra-site Automatic Tunnel Addressing
Protocol) cho các gói dữ liệu đường hầm IPv6 bên trongcác header IPv4, đây là giao
thức có thể lợi dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển các gói dữ liệu
IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internet có thể sử
dụng một số các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủ DirectAccess, gồm
có 6to4, Teredo và IP-HTTPS.
4. IPSec bảo vệ sự truyền thông từ đầu đến cuối
Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạng Internet bên
ngoài, do đó sự an toàn trong truyền thông là một vấn đề cực kỳ quan trọng. DirectAccess
sử dụng giao thức Ipsec để bảo vệ sự an toàn truyền thông giữa máy chủ và khách
DirectAccess. Chế độ đường hầm Ipsec được sử dụng để thiết lập các đường hầm mạng
nội bộ và cơ sở hạ tầng. Thêm vào đó, bạn có thể cấu hình DirectAccess để yêu cầu mã
hóa từ đầu đến cuối (end-to-end) giữa máy khách DirectAccess và máy chủ đích đến trên
mạng công ty nhằm sử dụng chế độ truyền tải Ipsec, từ đó kết nối được mã hóa từ máy
khách đến đích của nó. DirectAccess cũng lợi dụng tínhnăng AuthIP mới được giới thiệu
đầu tiên trong Vista và WindowsServer 2008, làm cho các kết nối được thẩm định thông
qua chứng chỉ người dùng hoặc máy tính thay vì chỉ các chứng chỉ máy tính.
5. Các ứng dụng máy khách phải hiểu không gian địa chỉ IPv6
Tuy mục tiêu là cung cấp một trải nghiệm tin học tương tự như các máy khách được kết
nối trong mạng công ty, nhưng có một số điểm khác biệt chính giữa máy khách trong
mạng công ty và máy khách DirectAccess: máy khách DirectAccess phải và luôn luôn sử
dụng IPv6 để kết nối đến máy chủ DirectAccess. Điều đó có nghĩa rằng ứng dụng máy
khách trên máy khách DirectAccess phải hiểu không gian địa chỉ IPv6. Nếu ứng dụng
máy khách không hiểu không gian địa chỉ IPv6, kết nối sẽ thất bại. Điều này còn đúng
thậm chí khi sử dụng một bộ chuyển đổi IPv6 sang IPv4, đây là bộ chuyển đổi cho phép
các máy khách DirectAccess có thể kết nối đến các máy chủ IPv4 trên mạng công ty.
6. Làm việc với sự hỗ trợ của Active Directory và Group Policy
Một số thay đổi cấu hình máy chủ và máy khách DirectAccess để giúp giải pháp làm
việc. Để tạo các thay đổi này theo một cách hiệu quả nhất, giải pháp mà DirectAccess
đưa ra là sử dụng các đối tượng Active Directory và Active Directory Group Policy. GPO
được gán cho máy chủ và máy khách DirectAccess. Thêm vào đó, Active Directory được
yêu cầu cho việc thẩm định xác thực. Đường hầm cơ sở hạ tầng sử dụng thẩm định
NTLMv2 để thẩm định tài khoản máy tính kết nối với máy chủ DirectAccess, tài khoản
máy tính đó phải nằm trong miền Active Directory. Đường hầm mạng nội bộ sử dụng
thẩm định Kerberos cho người dùng đã đăng nhập để tạo đường hầm thứ hai.
Mặc dù Active Directory và GPO được yêu cầu nhưng máy chủ DirectAccess không cần
thiết phải là một thành viên của miền. Miễn là có sự tin cậy hai chiều giữa miền máy chủ
DirectAccess và domains/forest tài nguyên, giải pháp sẽ làm việc.
7. Các máy chủ mạng nội bộ cho phép các máy khách DirectAccess biết khi nào
chúng nằm trong mạng công ty
DirectAccess được thiết kế để làm việc tự động và hoạt động trong chế độ background.
Người dùng không phải thực hiện bất cứ thứ gì để khởi tạo (turn on) kết nối
DirectAccess. Tất cả những gì mà họ cần thực hiện là bật (turn on) máy tínhcủa mình.
Trong thực tế, người dùng thậm chí còn không cần đăng nhập! Trước khi đăng nhập,
đường hầm cơ sở hạ tầng được thiết lập một cách tự động, và các thành phần (agent) của
máy khách DirectAccess có thể kết nối đến máy chủ của chúng để cập nhật cácnâng cấp,
các thông tin cấu hình cần thiết, các thiết lập bảo mật và bất cứ thứ gì cần thiết để bảo
đảm cho máy khách DirectAccess tuân thủ đúng các chính sách bảo mật và cấu hình
mạng.
Để làm cho quá trình trở nên trong suốt, phải có một cơ chế mà ở đó các thành phần của
máy khách DirectAccess biết lúc nào chúng cần bật, lúc nào cần tắt. Đó chính là Network
Location Server. Network Location Server (NLS) là một Web server cho phép các kết nối
SSL gửi đến. Bạn có thể cho phép thẩm định tích hợp hoặc nặc danh đến máy chủ NLS.
Khi máy khách DirectAccess kết nối đến NLS, nó sẽ biết rằng nó đang nằm trên mạng
công ty, và sẽ tắt các thành phần máy khách DirectAccess. Nếu máy khách DirectAccess
không thể liên lạc được máy chủ NLS, khi đó nó biết rằng nó đang nằm ngoài mạng công
ty và sẽ tự động bật các thành phần máy khách DirectAccess để thiết lập các đường hầm
Ipsec đến máy chủ DirectAccess qua Internet. Máy khách DirectAccess sẽ thực hiện một
hành động kiểm tra chứng chỉ NLS Web server trên danh sách chứng chỉ bị thu hồi -
Certificate Revocation List, vì vậy CRL phải có sẵn. Bằng không kết nối đến website
NLS SSL sẽ thất bại và quá trình phát hiện mạng nội bộ cũng sẽ thất bại.
8. Chứng chỉ, chứng chỉ, chứng chỉ!
Các chứng chỉ được sử dụng ở một số địa điểm trong giải pháp DirectAccess
client/server. Một số nơi mà bạn sẽ thấy các chứng chỉ đó là:
Máy khách DirectAccess. Mỗi máy khách DirectAccess cần có một chứng chỉ để
thiết lập các kết nối Ipsec đến máy chủ DirectAccess. Các chứng chỉ này được sử
dụng để tạo các kết nối Ipsec và cũng được sử dụng bởi IP-HTTPS, nơi máy chủ
DirectAccess sẽ thực hiện hành động hợp lệ hóa chứng chỉ máy tính trước khi cho
phép kết nối IP-HTTPS diễn ra trên Internet. Các chứng chỉ máy tính được gán tốt
nhất bằng cách sử dụng Microsoft Certificate Server và biện pháp tự động kết nạp
chứng chỉ dựa trên Group Policy.
IP-HTTPS listener trên máy chủ DirectAccess. IP-HTTPS là một công nghệ
chuyển tiếp IPv6 được sử dụng cho các gói dữ liệu đường hầm IPv6 trên Internet
IPv4. Giao thức này được thiết kế bởi Microsoft nhằm cho phép máy khách
DirectAccess có thể kết nối đến máy chủ DirectAccess, thậm chí nếu máy khách
DirectAccess nằm phía sau tường lửa chỉ cho phép các kết nối HTTP/HTTPS gửi
đi hoặc phía sau Web proxy server. IP-HTTPS listener yêu cầu một chứng chỉ
website, và máy khách DirectAccess phải có khả năng liên lạc với máy chủ đang
chứa CRL cho việc thẩm định chứng chỉ. Nếu quá trình kiểm tra CRL thất bại, kết
nối IP-HTTPS cũng sẽ thất bại. Các chứng chỉ thương mại là giải pháp tốt nhất
cho IP-HTTPS listener, vì CRL của họ có sẵn trên toàn cầu.
Máy chủ DirectAccess. Máy chủ DirectAccess lưu trữ chứng chỉ website the IP-
HTTPS, tuy nhiên nó cũng yêu cầu một chứng chỉ máy tính để thiết lập các kết
nối Ipsec với các máy khách DirectAccess.
9. Bảng chính sách phân định tên cung cấp các truy vấn DNS theo chính sách
Máy khách DirectAccess sử dụng bảng chính sách phân định tên - Name Resolution
Policy Table (NRPT) để xác định máy chủ DNS nào có thể sử dụng để phân định tên.
Khi máy khách DirectAccess nằm trong mạng công ty, NRPT sẽ tự động được tắt. Khi
máy khách DirectAccess phát hiện rằng nó nằm trên Internet, máy khách DirectAccess sẽ
kích hoạt NRPT và kiểm tra các entry của nó để xem máy chủ DNS nào nên sử dụng để
kết nối đến tài nguyên. Bạn đặt tên miền bên trongcủa mình và các máy chủ có thể trên
NRPT và cấu hình nó để sử dụng máy chủ DNS bên trong cho việc phân định tên.
Khi máy khách DirectAccess nằm trên Internet cần kết nối đến tài nguyên bằng FQDN,
nó sẽ kiểm tra NRPT. Nếu tên này nằm trong đó, truy vấn sẽ được gửi đến máy chủ DNS
trong mạng nội bộ. Nếu không có trong NRPT, máy khách DirectAccess sẽ gửi một truy
vấn đến máy chủ DNS đã được cấu hình trên NIC của nó, đó là Internet DNS server. Tên
của NLS server cũng được đặt trên NRPT, tuy nhiên nó được nhóm vào danh sách bãi
miễn – có nghĩa rằng máy khách DirectAccess không bao giờ sử dụng máy chủ mạng nội
bộ để phân định tên của máy chủ NLS. Do đó máy khách DirectAccess trên Internet sẽ
không thể phân định tên của máy chủ NLS và vì vậy sẽ biết rằng nó đang nằm trên
Internet để từ đó bật các thành phần máy khách DirectAccess. Quan trọng hơn, khi kết
nối đến mạng công ty qua kết nối DirectAccess, các máy khách DirectAccess không nghĩ
rằng nó được kết nối đến mạng công ty bởi việc phân định tên của NLS server.
10. DirectAccess cho phép khả năng “manage out”
Như đã đề cập ở trên, CNTT có thể lợi dụng khả năng “manage out” bởi đường hầm cơ
sở hạ tầng để kết nối đến các máy khách DirectAccess trên Internet. Mặc dù vậy, bạn vẫn
cần cấu hình các rule tường lửa trongWindows Firewall with Advanced Security
(WFAS) để cho phép các kết nối này cho các máy khách Teredo. Khi tạo các rule này,
bảo đảm rằng chúng đã bật tínhnăng Edge Traversal cho Firewall Rule. Máy khách
DirectAccess là Teredo khi chúng nằm phía sau NAT để kết nối đến Internet và máy chủ
DirectAccess, lúc này thiết bị NAT cho phép gửi đi trên cổng UDP 3544.
. Các tính năng kỹ thuật của DirectAccess
trong Windows Server
DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp của Windows
Server. switch, hệ điều hành và các ứng dụng đều có khả năng hỗ trợ IPv6) hoặc nó
có thể sử dụng các kỹ thuật chuyển tiếp IPv6 để kết nối đến các tài nguyên IPv6 trên