科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换通过微软UAG充分发挥DirectAccess功能

通过微软UAG充分发挥DirectAccess功能

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

John Joyner向企业推荐了一种开始使用IPv6的方法,即采用微软的解决方案帮助远程员工通过公用的IPv4网络访问企业的IPv6网络资源。

来源:ZDNET网络频道 2011年12月20日

关键字: IPv6 UAG DirectAccess 微软

  • 评论
  • 分享微博
  • 分享邮件

  与ISP相比,大多数企业还没有感受到来自IPv4地址资源耗尽带来的影响,因此到目前为止,部署了IPv6网络环境的企业也并不多。不过在Windows客户端和服务器端操作系统中,都已经加入了对于IPv6协议的支持,并且活动目录也支持IPv6协议。虽然几乎全部IT专家都认为向IPv6协议迁移是必然的,但是从企业角度说,向IPv6迁移的商业动机并不充分。

  微软在Windows Server 2008 R2操作系统中加入了一个基于IPv6协议的远程办公解决方案,叫做DirectAccess (DA)。这个解决方案可以让远程电脑通过目前的IPv4公共网络,访问企业内部的基于IPv6的网络资源。由于操作系统限制(只能运行在Windows 2008 R2操作系统)DA的应用范围有限,并且只支持那些在IPv6网络运行的服务器。另外,它还有容量方面的限制,因为DA本身并不提供扩容功能。

  但是通过微软的Forefront Unified Access Gateway 2010 (UAG)产品,DA的应用价值得到了巨大的提升。Forefront UAG之所以引人注目,是因为它解决了原始DA的容量限制,并加入了NAT64 网关功能。NAT64网关可以为DA用户提供直接访问IPv4网络资源的能力,这使得那些远程办公的DA用户可以顺利的访问企业IPv4网络环境中的各种资源。有了基于UAG的 DA,企业就不必迁移域控制器或应用程序服务器到Windows Server 2008 R2系统了。

  但是还存在一个关键性的限制:Forefront UAG DirectAccess客户端必须是采用Windows 7 Enterprise 或 Windows 7 Ultimate操作系统,并加入活动目录域。如果你的公司有能力为所有远程办公人员配备高端windows 7系统,并将这些系统加入域中,你就可以采用基于UAG的DA远程访问方案了,这将是企业在实施虚拟化技术后的另一个最新技术。

  IPv6转换技术

  基于UAG的 DirectAccess方案实际上捆绑了一系列在IPv4架构上传输IPv6数据的技术。下面我简单的将涉及到的技术列出来:

  · 6to4 当客户端采用IPv4协议时会用到此技术。6to4使用IPv4 protocol-41,并将数据包前面加上一个额外的IP头。

  · Teredo 当客户端处于NAT设备后时会使用此技术。Teredo会对数据打包并在UDP 端口3544上收发。

  · IP-HTTPS 当Teredo 被证实无法使用时,会使用此技术。IP-HTTPS 会在端口443建立一个SSL隧道收发数据。

  · ISATAP 用来在使用NAT6路由(比如UAG)的内网建立 IPv6到ISATAP主机的连接。

  通过活动目录的组策略,相应的配置可以被推送到Windows7客户端,如图A所示。当你在UAG服务器上启用DA,所需的组策略就会在域中自动创建并连接到相应的安全组。

  图A

通过微软UAG充分发挥DirectAccess功能

DirectAccess 客户端通过组策略被分配采用特定的 IPv6转换技术

  远程办公随时连接

  DA解决方案的这个功能可能是企业对DA技术最感兴趣的一部分。很多企业都在寻找能够代替VPN系统的远程办公系统。而DA正是一个能够超越VPN技术的远程接入技术。

  目前看来,DA所能达到的无缝远程连接体验,是整个行业中最好的。DA通过IPv6转换技术为远程用户提供了全天候的接入服务。DA采用了常见的IPSEC策略进行身份验证和加密,因此客户端也不需要添加额外的安全组件。

  一般来说,在各种情况下,企业内部网络资源对于DA客户端来说都是可以访问的。只要远程客户端电脑能够连接互联网,就可以像连接在企业内部网一样使用相关内网资源,甚至内网的磁盘镜像也同样有效。另外,如果企业内网中有供内部员工访问的Web网站,远程用户一样可以浏览。甚至远程用户可以通过DA与企业内网同事一起打wow。

  无需额外管理

  远程的 DA客户端电脑可以持续从活动目录域获得更新的组策略配置,只要客户端能够连接互联网即可。另外,企业的很多计算机管理应用,如微软的System Center Configuration Manager (SCCM), 以及Windows Server Update Services (WSUS)都对DA客户端有效。通过这种所谓的“无需额外管理”特性,企业能够确保远程连接的DA终端符合企业的计算机安全规范。对于任何企业来说,这种能够实时的,全互联网覆盖的资产管理工具所带来的好处是不言而喻的。

  为尽早部署IPv6扫清障碍

  部署 DirectAccess意味着企业需要在内部首先部署IPv6网络。 企业AD DNS 将充斥着“AAAA”记录(IPv6主机)。域控制器和其它关键架构都可以通过IPv6地址访问到,Ping和其它网络应用在支持IPv6协议的主机间传送数据也将采用IPv6封装。而当IPv6时代真正到来时,这些企业的网管们可以很自豪的说,我们早已经提前应用IPv6了。

  下面是客户端使用DA的高级步骤(在部署UAG之后):

  1. DA客户端所需的一切设置都位于组策略对象的 “UAG DirectAccess: Clients (DA-server-FQDN)”部分。组策略对象是在UAG设置时指派的一个活动目录安全组

  2. 添加DA客户端电脑账号到活动目录安全组。

  3. 在企业局域网(或通过拨号VPN连接到企业网络)启动DA客户端电脑。

  4. 在局域网或VPN环境进行客户端电脑认证。

  5. 在局域网或VPN环境确保组策略刷新成功并得到应用。

  6. 该客户端现在已经成为DirectAccess客户端。离开企业局域网环境或从VPN断开,进入互联网环境。

  7. 在互联网环境对DA客户端进行一系列测试,比如连接文件共享,或内部Web网页浏览等。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章