DIRECTACCESS: УДОБНАЯ СВОБОДА

Недостатки классического

VPN

Недостатки классического

VPN

Недостатки классического

VPN

Почему это важно Мобильных компьютеров выпускается

больше, чем настольных (IDC Worldwide Quarterly PC Tracker, December 2008)

Стоимость поддержки мобильного компьютера

Стоимость рабочего места в офисе еще выше, а производительность для ряда сотрудников - ниже

DirectAccess это не VPN???

Что предоставляет

DirectAccessВсегда на

связи

Есть интернет? Значит, есть

Интранет

Соединяется автоматически

Безопасность

Зашифровано по-умолчанию

Policy-based контроль на

уровне приложений и

серверов

Поддержка аутентификац

ии на базе смарт-карт

Управляемость

Позволяет управление удаленными клиентами

Мастеры установки и настройки

Ниже стоимость владения

Упрощенные политики

периметра

Уменьшение нагрузки на

пользователя

Нет нужды в отдельном шлюзе для каждого

приложения

Что предоставляет DirectAccess

Улучшенная управляемость Разделение интернет и интранет

трафика Производительность конечного

пользователя Работает везде Аутентификация и шифрование на всем

протяжении соединения Может дополнять классические VPN

решения

Что требуется для DirectAccess

Один или более серверов под управлением Windows 2008 R2 с двумя NIC

DirectAccess клиенты должны быть под управлением Windows 7 (2008 R2)

AD с хотя бы одним DC под управлением Windows 2008 SP2 и выше

PKI Политики IPSec Технологии и/или устройства для работы с

IPV6 (ISATAP, Teredo, NAT-PT) или native IPv6

DirectAccess: противопоказания

Там, где невозможно ответить требованиям для построения DirectAccess

Наличие недоменных компьютеров Присутствие ОС старше, чем W7/2008R2 Отсутствие PKI Полное отсутствие поддержки IPv6 Нежелание размещать сервер

DirectAccess на периметре

VPN vs. DirectAccess  DirectAcces

sVPN

Подключение происходит автоматически, без участия пользователя

           X  

Работает через любые сетевые экраны            X  

Supports selected server access and IPsec authentication with an internet network server

           X  

Поддерживает аутентификацию и шифрование на всем протяжении соединения

           X  

Поддерживает управление удаленными компьютерами            X  

Совместимо с MS Windows Vista и более ранними              X

Совместимо с ОС не от Microsoft              X

Поддерживает недоменные компьютеры              X

Поддерживает серверы старше, чем Windows 2008 R2 в качестве сервера доступа

             X

Сценарии использования

End-to-Edge End-to-End

End-to-Edge

End-to-End

Разделение трафика

Топологии DirectAccess Единственный сервер Много серверов с разными ролями Много серверов с одинаковыми ролями Failover Cluster для отдельных

компонент

NRPTTechdays.ru 2001:1:1::b3df

2001:1:1::b3de

Порядок разрешения именЛокальный кеш Файл hosts NRPT DNS

Процесс подключения

IPv6

6to4, Teredo

IP-HTTPS

IPSec

Дополнительные возможности

NAP Server and Domain Isolation (???

Translate???) Двухфакторная аутентификация

Демонстрация

Схема стенда

DirectAccess Client NAT Device (Win7+ICS)

DirectAccess Server

LAN

DC

Application Server

Internet

Internet ServerDNS, Web