DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp của Windows Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate. DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọi nhân viên có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràng buộc với các kỹ thuật truy cập từ xa truyền thống chẳng hạn như network-level VPN, SSL VPN gateway, và proxy ngược. Nó cho người dùng trải nghiệm xuyên suốt, cho CNTT khả năng quản lý tiên tiến. DirectAccess cho phép truy cập bất cứ nơi đâu, thậm chí khi hệ thống máy khách DirectAccess nằm phía sau tường lửa.

1. Có thể mở rộng mạng công ty với một máy tính được kết nối Internet ở bất cứ đâu trên thế giới

Mục tiêu của DirectAccess là mở rộng phạm vi mạng công ty đến bất cứ máy khách DirectAccess nào được kết nối Internet. Máy tính DirectAccess ở đây là một thành viên miền, được quản lý bởi các cơ chế điều khiển và quản lý như các máy tính nằm phạm vi bên trong đường biên mạng công ty. Ngoài sự mở rộng tầm kiểm soát của CNTT qua tất cả các máy tính này, không quan tâm đến vị trí, DirectAccess còn cung cấp một trải nghiệm truy cập mạng xuyên suốt cho người dùng. Họ không cần phải nhớ sử dụng tên (name) nào đó khi nằm trong mạng công ty và một tên (name) khác khi không nằm trong mạng đó; đó là vì họ luôn trên mạng công ty.

Khi máy tính DirectAccess khởi chạy, nó sẽ thiết lập một đường hầm “cơ sở hạ tầng”. Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess có thể kết nối đến các tài nguyên miền, chẳng hạn như domain controller, máy chủ DNS và máy chủ quản lý. Đường hầm này cũng là đường hầm hai chiều, do đó CNTT có thể khởi tạo các kết nối đến các máy khách DirectAccess trên Internet (được gọi là các kết nối “manage out”), cũng trong đường hầm đó, họ có thể kết nối đến các host trên mạng nội bộ.

Sau khi người dùng đăng nhập, một đường hầm thứ hai, đường hầm mạng nội bộ (intranet tunnel), cho phép người dùng có thể kết nối đến các tài nguyên công ty giống như cách một host trong mạng nội bộ kết nối đến các tài nguyên đó. Chúng có thể sử dụng FQDN hoặc tên nhãn để kết nối đến máy chủ file, máy chủ web, máy chủ cơ sở dữ liệu, mail hoặc bất kỳ máy chủ nào và không cần cấu hình lại các ứng dụng khi rời khỏi mạng công ty. Người dùng DirectAccess luôn nằm trong mạng công ty, không quan tâm tới vị trí họ đang ở đâu.

2. Cần có đủ các yêu cầu DirectAccess

Bạn phải có đủ các yêu cầu trước khi bắt đầu triển khai DirectAccess. Để bắt đầu, bạn cần:

  • Tối thiểu một domain controller chạy Windows Server 2003 hoặc phiên bản cao hơn.
  • Một PKI bên trong để gán các chứng chỉ cho các máy khách và máy chủ DirectAccess.
  • Một PKI private hoặc public để gán các chứng chỉ website cho bộ lắng nghe IP-HTTPS listener và Network Location Server (sẽ được thảo luận ở bên dưới).

Thêm vào đó bạn cần có các yêu cầu khác:

  • Máy chủ DirectAccess phải là Windows Server 2008 R2 Standard, Enterprise hoặc phiên bản cao hơn.
  • IPv6 phải được kích hoạt, các công nghệ chuyển tiếp không gian địa chỉ IPv6 cũng phải bị vô hiệu hóa.
  • Các máy khách DirectAccess phải chạy Windows 7 Enterprise hoặc Ultimate.
  • Các máy khách DirectAccess phải là thành viên của một miền Active Directory.
  • Network Location Server (Web server) khả năng có sẵn cao phải nằm trong mạng công ty.
  • Nếu có nhiều tường lửa phía trước hoặc phía sau máy chủ DirectAccess, các bộ lọc dữ liệu phải được kích hoạt để cho phép lưu lượng cần thiết.
  • Máy chủ DirectAccess phải có hai adapter giao diện mạng.

3. IPv6 là nền tảng trong truyền thông DirectAccess

Máy khách DirectAccess luôn sử dụng không gian địa chỉ IPv6 để truyền thông với máy chủ DirectAccess. Máy chủ DirectAccess sẽ chuyển tiếp các kết nối này đến các thiết bị IPv6 trên mạng công ty. Mạng công ty có thể sử dụng cơ sở hạ tầng IPv6 (nói như vậy là tất cả router, switch, hệ điều hành và các ứng dụng đều có khả năng hỗ trợ IPv6) hoặc nó có thể sử dụng các kỹ thuật chuyển tiếp IPv6 để kết nối đến các tài nguyên IPv6 trên mạng công ty.

Máy chủ DirectAccess có thể sử dụng ISATAP (Intra-site Automatic Tunnel Addressing Protocol) cho các gói dữ liệu đường hầm IPv6 bên trong các header IPv4, đây là giao thức có thể lợi dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển các gói dữ liệu IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internet có thể sử dụng một số các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủ DirectAccess, gồm có 6to4, Teredo và IP-HTTPS.

4. IPSec bảo vệ sự truyền thông từ đầu đến cuối

Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạng Internet bên ngoài, do đó sự an toàn trong truyền thông là một vấn đề cực kỳ quan trọng. DirectAccess sử dụng giao thức Ipsec để bảo vệ sự an toàn truyền thông giữa máy chủ và khách DirectAccess. Chế độ đường hầm Ipsec được sử dụng để thiết lập các đường hầm mạng nội bộ và cơ sở hạ tầng. Thêm vào đó, bạn có thể cấu hình DirectAccess để yêu cầu mã hóa từ đầu đến cuối (end-to-end) giữa máy khách DirectAccess và máy chủ đích đến trên mạng công ty nhằm sử dụng chế độ truyền tải Ipsec, từ đó kết nối được mã hóa từ máy khách đến đích của nó. DirectAccess cũng lợi dụng tính năng AuthIP mới được giới thiệu đầu tiên trong Vista và Windows Server 2008, làm cho các kết nối được thẩm định thông qua chứng chỉ người dùng hoặc máy tính thay vì chỉ các chứng chỉ máy tính.

5. Các ứng dụng máy khách phải hiểu không gian địa chỉ IPv6

Tuy mục tiêu là cung cấp một trải nghiệm tin học tương tự như các máy khách được kết nối trong mạng công ty, nhưng có một số điểm khác biệt chính giữa máy khách trong mạng công ty và máy khách DirectAccess: máy khách DirectAccess phải và luôn luôn sử dụng IPv6 để kết nối đến máy chủ DirectAccess. Điều đó có nghĩa rằng ứng dụng máy khách trên máy khách DirectAccess phải hiểu không gian địa chỉ IPv6. Nếu ứng dụng máy khách không hiểu không gian địa chỉ IPv6, kết nối sẽ thất bại. Điều này còn đúng thậm chí khi sử dụng một bộ chuyển đổi IPv6 sang IPv4, đây là bộ chuyển đổi cho phép các máy khách DirectAccess có thể kết nối đến các máy chủ IPv4 trên mạng công ty.

6. Làm việc với sự hỗ trợ của Active Directory và Group Policy

Một số thay đổi cấu hình máy chủ và máy khách DirectAccess để giúp giải pháp làm việc. Để tạo các thay đổi này theo một cách hiệu quả nhất, giải pháp mà DirectAccess đưa ra là sử dụng các đối tượng Active Directory và Active Directory Group Policy. GPO được gán cho máy chủ và máy khách DirectAccess. Thêm vào đó, Active Directory được yêu cầu cho việc thẩm định xác thực. Đường hầm cơ sở hạ tầng sử dụng thẩm định NTLMv2 để thẩm định tài khoản máy tính kết nối với máy chủ DirectAccess, tài khoản máy tính đó phải nằm trong miền Active Directory. Đường hầm mạng nội bộ sử dụng thẩm định Kerberos cho người dùng đã đăng nhập để tạo đường hầm thứ hai.

Mặc dù Active Directory và GPO được yêu cầu nhưng máy chủ DirectAccess không cần thiết phải là một thành viên của miền. Miễn là có sự tin cậy hai chiều giữa miền máy chủ DirectAccess và domains/forest tài nguyên, giải pháp sẽ làm việc.

7. Các máy chủ mạng nội bộ cho phép các máy khách DirectAccess biết khi nào chúng nằm trong mạng công ty

DirectAccess được thiết kế để làm việc tự động và hoạt động trong chế độ background. Người dùng không phải thực hiện bất cứ thứ gì để khởi tạo (turn on) kết nối DirectAccess. Tất cả những gì mà họ cần thực hiện là bật (turn on) máy tính của mình. Trong thực tế, người dùng thậm chí còn không cần đăng nhập! Trước khi đăng nhập, đường hầm cơ sở hạ tầng được thiết lập một cách tự động, và các thành phần (agent) của máy khách DirectAccess có thể kết nối đến máy chủ của chúng để cập nhật các nâng cấp, các thông tin cấu hình cần thiết, các thiết lập bảo mật và bất cứ thứ gì cần thiết để bảo đảm cho máy khách DirectAccess tuân thủ đúng các chính sách bảo mật và cấu hình mạng.

Để làm cho quá trình trở nên trong suốt, phải có một cơ chế mà ở đó các thành phần của máy khách DirectAccess biết lúc nào chúng cần bật, lúc nào cần tắt. Đó chính là Network Location Server. Network Location Server (NLS) là một Web server cho phép các kết nối SSL gửi đến. Bạn có thể cho phép thẩm định tích hợp hoặc nặc danh đến máy chủ NLS. Khi máy khách DirectAccess kết nối đến NLS, nó sẽ biết rằng nó đang nằm trên mạng công ty, và sẽ tắt các thành phần máy khách DirectAccess. Nếu máy khách DirectAccess không thể liên lạc được máy chủ NLS, khi đó nó biết rằng nó đang nằm ngoài mạng công ty và sẽ tự động bật các thành phần máy khách DirectAccess để thiết lập các đường hầm Ipsec đến máy chủ DirectAccess qua Internet. Máy khách DirectAccess sẽ thực hiện một hành động kiểm tra chứng chỉ NLS Web server trên danh sách chứng chỉ bị thu hồi - Certificate Revocation List, vì vậy CRL phải có sẵn. Bằng không kết nối đến website NLS SSL sẽ thất bại và quá trình phát hiện mạng nội bộ cũng sẽ thất bại.

8. Chứng chỉ, chứng chỉ, chứng chỉ!

Các chứng chỉ được sử dụng ở một số địa điểm trong giải pháp DirectAccess client/server. Một số nơi mà bạn sẽ thấy các chứng chỉ đó là:

  • Máy khách DirectAccess. Mỗi máy khách DirectAccess cần có một chứng chỉ để thiết lập các kết nối Ipsec đến máy chủ DirectAccess. Các chứng chỉ này được sử dụng để tạo các kết nối Ipsec và cũng được sử dụng bởi IP-HTTPS, nơi máy chủ DirectAccess sẽ thực hiện hành động hợp lệ hóa chứng chỉ máy tính trước khi cho phép kết nối IP-HTTPS diễn ra trên Internet. Các chứng chỉ máy tính được gán tốt nhất bằng cách sử dụng Microsoft Certificate Server và biện pháp tự động kết nạp chứng chỉ dựa trên Group Policy.
  • IP-HTTPS listener trên máy chủ DirectAccess. IP-HTTPS là một công nghệ chuyển tiếp IPv6 được sử dụng cho các gói dữ liệu đường hầm IPv6 trên Internet IPv4. Giao thức này được thiết kế bởi Microsoft nhằm cho phép máy khách DirectAccess có thể kết nối đến máy chủ DirectAccess, thậm chí nếu máy khách DirectAccess nằm phía sau tường lửa chỉ cho phép các kết nối HTTP/HTTPS gửi đi hoặc phía sau Web proxy server. IP-HTTPS listener yêu cầu một chứng chỉ website, và máy khách DirectAccess phải có khả năng liên lạc với máy chủ đang chứa CRL cho việc thẩm định chứng chỉ. Nếu quá trình kiểm tra CRL thất bại, kết nối IP-HTTPS cũng sẽ thất bại. Các chứng chỉ thương mại là giải pháp tốt nhất cho IP-HTTPS listener, vì CRL của họ có sẵn trên toàn cầu.Máy chủ DirectAccess.
  • Máy chủ DirectAccess lưu trữ chứng chỉ website the IP-HTTPS, tuy nhiên nó cũng yêu cầu một chứng chỉ máy tính để thiết lập các kết nối Ipsec với các máy khách DirectAccess.

9. Bảng chính sách phân định tên cung cấp các truy vấn DNS theo chính sách

Máy khách DirectAccess sử dụng bảng chính sách phân định tên - Name Resolution Policy Table (NRPT) để xác định máy chủ DNS nào có thể sử dụng để phân định tên. Khi máy khách DirectAccess nằm trong mạng công ty, NRPT sẽ tự động được tắt. Khi máy khách DirectAccess phát hiện rằng nó nằm trên Internet, máy khách DirectAccess sẽ kích hoạt NRPT và kiểm tra các entry của nó để xem máy chủ DNS nào nên sử dụng để kết nối đến tài nguyên. Bạn đặt tên miền bên trong của mình và các máy chủ có thể trên NRPT và cấu hình nó để sử dụng máy chủ DNS bên trong cho việc phân định tên.

Khi máy khách DirectAccess nằm trên Internet cần kết nối đến tài nguyên bằng FQDN, nó sẽ kiểm tra NRPT. Nếu tên này nằm trong đó, truy vấn sẽ được gửi đến máy chủ DNS trong mạng nội bộ. Nếu không có trong NRPT, máy khách DirectAccess sẽ gửi một truy vấn đến máy chủ DNS đã được cấu hình trên NIC của nó, đó là Internet DNS server. Tên của NLS server cũng được đặt trên NRPT, tuy nhiên nó được nhóm vào danh sách bãi miễn – có nghĩa rằng máy khách DirectAccess không bao giờ sử dụng máy chủ mạng nội bộ để phân định tên của máy chủ NLS. Do đó máy khách DirectAccess trên Internet sẽ không thể phân định tên của máy chủ NLS và vì vậy sẽ biết rằng nó đang nằm trên Internet để từ đó bật các thành phần máy khách DirectAccess. Quan trọng hơn, khi kết nối đến mạng công ty qua kết nối DirectAccess, các máy khách DirectAccess không nghĩ rằng nó được kết nối đến mạng công ty bởi việc phân định tên của NLS server.

10. DirectAccess cho phép khả năng “manage out”

Như đã đề cập ở trên, CNTT có thể lợi dụng khả năng “manage out” bởi đường hầm cơ sở hạ tầng để kết nối đến các máy khách DirectAccess trên Internet. Mặc dù vậy, bạn vẫn cần cấu hình các rule tường lửa trong Windows Firewall with Advanced Security (WFAS) để cho phép các kết nối này cho các máy khách Teredo. Khi tạo các rule này, bảo đảm rằng chúng đã bật tính năng Edge Traversal cho Firewall Rule. Máy khách DirectAccess là Teredo khi chúng nằm phía sau NAT để kết nối đến Internet và máy chủ DirectAccess, lúc này thiết bị NAT cho phép gửi đi trên cổng UDP 3544.

Theo QuanTriMang



Bình luận

  • TTCN (0)