Direct access
description
Transcript of Direct access
DIRECTACCESS: УДОБНАЯ СВОБОДА
Недостатки классического
VPN
Недостатки классического
VPN
Недостатки классического
VPN
Почему это важно Мобильных компьютеров выпускается
больше, чем настольных (IDC Worldwide Quarterly PC Tracker, December 2008)
Стоимость поддержки мобильного компьютера
Стоимость рабочего места в офисе еще выше, а производительность для ряда сотрудников - ниже
DirectAccess это не VPN???
Что предоставляет
DirectAccessВсегда на
связи
Есть интернет? Значит, есть
Интранет
Соединяется автоматически
Безопасность
Зашифровано по-умолчанию
Policy-based контроль на
уровне приложений и
серверов
Поддержка аутентификац
ии на базе смарт-карт
Управляемость
Позволяет управление удаленными клиентами
Мастеры установки и настройки
Ниже стоимость владения
Упрощенные политики
периметра
Уменьшение нагрузки на
пользователя
Нет нужды в отдельном шлюзе для каждого
приложения
Что предоставляет DirectAccess
Улучшенная управляемость Разделение интернет и интранет
трафика Производительность конечного
пользователя Работает везде Аутентификация и шифрование на всем
протяжении соединения Может дополнять классические VPN
решения
Что требуется для DirectAccess
Один или более серверов под управлением Windows 2008 R2 с двумя NIC
DirectAccess клиенты должны быть под управлением Windows 7 (2008 R2)
AD с хотя бы одним DC под управлением Windows 2008 SP2 и выше
PKI Политики IPSec Технологии и/или устройства для работы с
IPV6 (ISATAP, Teredo, NAT-PT) или native IPv6
DirectAccess: противопоказания
Там, где невозможно ответить требованиям для построения DirectAccess
Наличие недоменных компьютеров Присутствие ОС старше, чем W7/2008R2 Отсутствие PKI Полное отсутствие поддержки IPv6 Нежелание размещать сервер
DirectAccess на периметре
VPN vs. DirectAccess DirectAcces
sVPN
Подключение происходит автоматически, без участия пользователя
X
Работает через любые сетевые экраны X
Supports selected server access and IPsec authentication with an internet network server
X
Поддерживает аутентификацию и шифрование на всем протяжении соединения
X
Поддерживает управление удаленными компьютерами X
Совместимо с MS Windows Vista и более ранними X
Совместимо с ОС не от Microsoft X
Поддерживает недоменные компьютеры X
Поддерживает серверы старше, чем Windows 2008 R2 в качестве сервера доступа
X
Сценарии использования
End-to-Edge End-to-End
End-to-Edge
End-to-End
Разделение трафика
Топологии DirectAccess Единственный сервер Много серверов с разными ролями Много серверов с одинаковыми ролями Failover Cluster для отдельных
компонент
NRPTTechdays.ru 2001:1:1::b3df
2001:1:1::b3de
Порядок разрешения именЛокальный кеш Файл hosts NRPT DNS
Процесс подключения
IPv6
6to4, Teredo
IP-HTTPS
IPSec
Дополнительные возможности
NAP Server and Domain Isolation (???
Translate???) Двухфакторная аутентификация
Демонстрация
Схема стенда
DirectAccess Client NAT Device (Win7+ICS)
DirectAccess Server
LAN
DC
Application Server
Internet
Internet ServerDNS, Web