扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:ZDNET网络频道 2011年12月20日
关键字: IPv6 UAG DirectAccess 微软
与ISP相比,大多数企业还没有感受到来自IPv4地址资源耗尽带来的影响,因此到目前为止,部署了IPv6网络环境的企业也并不多。不过在Windows客户端和服务器端操作系统中,都已经加入了对于IPv6协议的支持,并且活动目录也支持IPv6协议。虽然几乎全部IT专家都认为向IPv6协议迁移是必然的,但是从企业角度说,向IPv6迁移的商业动机并不充分。
微软在Windows Server 2008 R2操作系统中加入了一个基于IPv6协议的远程办公解决方案,叫做DirectAccess (DA)。这个解决方案可以让远程电脑通过目前的IPv4公共网络,访问企业内部的基于IPv6的网络资源。由于操作系统限制(只能运行在Windows 2008 R2操作系统)DA的应用范围有限,并且只支持那些在IPv6网络运行的服务器。另外,它还有容量方面的限制,因为DA本身并不提供扩容功能。
但是通过微软的Forefront Unified Access Gateway 2010 (UAG)产品,DA的应用价值得到了巨大的提升。Forefront UAG之所以引人注目,是因为它解决了原始DA的容量限制,并加入了NAT64 网关功能。NAT64网关可以为DA用户提供直接访问IPv4网络资源的能力,这使得那些远程办公的DA用户可以顺利的访问企业IPv4网络环境中的各种资源。有了基于UAG的 DA,企业就不必迁移域控制器或应用程序服务器到Windows Server 2008 R2系统了。
但是还存在一个关键性的限制:Forefront UAG DirectAccess客户端必须是采用Windows 7 Enterprise 或 Windows 7 Ultimate操作系统,并加入活动目录域。如果你的公司有能力为所有远程办公人员配备高端windows 7系统,并将这些系统加入域中,你就可以采用基于UAG的DA远程访问方案了,这将是企业在实施虚拟化技术后的另一个最新技术。
IPv6转换技术
基于UAG的 DirectAccess方案实际上捆绑了一系列在IPv4架构上传输IPv6数据的技术。下面我简单的将涉及到的技术列出来:
· 6to4 当客户端采用IPv4协议时会用到此技术。6to4使用IPv4 protocol-41,并将数据包前面加上一个额外的IP头。
· Teredo 当客户端处于NAT设备后时会使用此技术。Teredo会对数据打包并在UDP 端口3544上收发。
· IP-HTTPS 当Teredo 被证实无法使用时,会使用此技术。IP-HTTPS 会在端口443建立一个SSL隧道收发数据。
· ISATAP 用来在使用NAT6路由(比如UAG)的内网建立 IPv6到ISATAP主机的连接。
通过活动目录的组策略,相应的配置可以被推送到Windows7客户端,如图A所示。当你在UAG服务器上启用DA,所需的组策略就会在域中自动创建并连接到相应的安全组。
图A
DirectAccess 客户端通过组策略被分配采用特定的 IPv6转换技术
远程办公随时连接
DA解决方案的这个功能可能是企业对DA技术最感兴趣的一部分。很多企业都在寻找能够代替VPN系统的远程办公系统。而DA正是一个能够超越VPN技术的远程接入技术。
目前看来,DA所能达到的无缝远程连接体验,是整个行业中最好的。DA通过IPv6转换技术为远程用户提供了全天候的接入服务。DA采用了常见的IPSEC策略进行身份验证和加密,因此客户端也不需要添加额外的安全组件。
一般来说,在各种情况下,企业内部网络资源对于DA客户端来说都是可以访问的。只要远程客户端电脑能够连接互联网,就可以像连接在企业内部网一样使用相关内网资源,甚至内网的磁盘镜像也同样有效。另外,如果企业内网中有供内部员工访问的Web网站,远程用户一样可以浏览。甚至远程用户可以通过DA与企业内网同事一起打wow。
无需额外管理
远程的 DA客户端电脑可以持续从活动目录域获得更新的组策略配置,只要客户端能够连接互联网即可。另外,企业的很多计算机管理应用,如微软的System Center Configuration Manager (SCCM), 以及Windows Server Update Services (WSUS)都对DA客户端有效。通过这种所谓的“无需额外管理”特性,企业能够确保远程连接的DA终端符合企业的计算机安全规范。对于任何企业来说,这种能够实时的,全互联网覆盖的资产管理工具所带来的好处是不言而喻的。
为尽早部署IPv6扫清障碍
部署 DirectAccess意味着企业需要在内部首先部署IPv6网络。 企业AD DNS 将充斥着“AAAA”记录(IPv6主机)。域控制器和其它关键架构都可以通过IPv6地址访问到,Ping和其它网络应用在支持IPv6协议的主机间传送数据也将采用IPv6封装。而当IPv6时代真正到来时,这些企业的网管们可以很自豪的说,我们早已经提前应用IPv6了。
下面是客户端使用DA的高级步骤(在部署UAG之后):
1. DA客户端所需的一切设置都位于组策略对象的 “UAG DirectAccess: Clients (DA-server-FQDN)”部分。组策略对象是在UAG设置时指派的一个活动目录安全组
2. 添加DA客户端电脑账号到活动目录安全组。
3. 在企业局域网(或通过拨号VPN连接到企业网络)启动DA客户端电脑。
4. 在局域网或VPN环境进行客户端电脑认证。
5. 在局域网或VPN环境确保组策略刷新成功并得到应用。
6. 该客户端现在已经成为DirectAccess客户端。离开企业局域网环境或从VPN断开,进入互联网环境。
7. 在互联网环境对DA客户端进行一系列测试,比如连接文件共享,或内部Web网页浏览等。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者