Online Media

Quản trị mạng - DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp của Windows Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate. DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọi nhân viên có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràng buộc với các kỹ thuật truy cập từ xa truyền thống chẳng hạn như network-level VPN, SSL VPN gateway, và proxy ngược. Nó cho người dùng trải nghiệm xuyên suốt, cho CNTT khả năng quản lý tiên tiến. DirectAccess cho phép truy cập bất cứ nơi đâu, thậm chí khi hệ thống máy khách DirectAccess nằm phía sau tường lửa.

1. Có thể mở rộng mạng công ty với một máy tính được kết nối Internet ở bất cứ đâu trên thế giới

Mục tiêu của DirectAccess là mở rộng phạm vi mạng công ty đến bất cứ máy khách DirectAccess nào được kết nối Internet. Máy tính DirectAccess ở đây là một thành viên miền, được quản lý bởi các cơ chế điều khiển và quản lý như các máy tính nằm phạm vi bên trong đường biên mạng công ty. Ngoài sự mở rộng tầm kiểm soát của CNTT qua tất cả các máy tính này, không quan tâm đến vị trí, DirectAccess còn cung cấp một trải nghiệm truy cập mạng xuyên suốt cho người dùng. Họ không cần phải nhớ sử dụng tên (name) nào đó khi nằm trong mạng công ty và một tên (name) khác khi không nằm trong mạng đó; đó là vì họ luôn trên mạng công ty.

Khi máy tính DirectAccess khởi chạy, nó sẽ thiết lập một đường hầm “cơ sở hạ tầng”. Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess có thể kết nối đến các tài nguyên miền, chẳng hạn như domain controller, máy chủ DNS và máy chủ quản lý. Đường hầm này cũng là đường hầm hai chiều, do đó CNTT có thể khởi tạo các kết nối đến các máy khách DirectAccess trên Internet (được gọi là các kết nối “manage out”), cũng trong đường hầm đó, họ có thể kết nối đến các host trên mạng nội bộ.

Sau khi người dùng đăng nhập, một đường hầm thứ hai, đường hầm mạng nội bộ (intranet tunnel), cho phép người dùng có thể kết nối đến các tài nguyên công ty giống như cách một host trong mạng nội bộ kết nối đến các tài nguyên đó. Chúng có thể sử dụng FQDN hoặc tên nhãn để kết nối đến máy chủ file, máy chủ web, máy chủ cơ sở dữ liệu, mail hoặc bất kỳ máy chủ nào và không cần cấu hình lại các ứng dụng khi rời khỏi mạng công ty. Người dùng DirectAccess luôn nằm trong mạng công ty, không quan tâm tới vị trí họ đang ở đâu.

2. Cần có đủ các yêu cầu DirectAccess

Bạn phải có đủ các yêu cầu trước khi bắt đầu triển khai DirectAccess. Để bắt đầu, bạn cần:

Thêm vào đó bạn cần có các yêu cầu khác:

3. IPv6 là nền tảng trong truyền thông DirectAccess

Máy khách DirectAccess luôn sử dụng không gian địa chỉ IPv6 để truyền thông với máy chủ DirectAccess. Máy chủ DirectAccess sẽ chuyển tiếp các kết nối này đến các thiết bị IPv6 trên mạng công ty. Mạng công ty có thể sử dụng cơ sở hạ tầng IPv6 (nói như vậy là tất cả router, switch, hệ điều hành và các ứng dụng đều có khả năng hỗ trợ IPv6) hoặc nó có thể sử dụng các kỹ thuật chuyển tiếp IPv6 để kết nối đến các tài nguyên IPv6 trên mạng công ty.

Máy chủ DirectAccess có thể sử dụng ISATAP (Intra-site Automatic Tunnel Addressing Protocol) cho các gói dữ liệu đường hầm IPv6 bên trong các header IPv4, đây là giao thức có thể lợi dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển các gói dữ liệu IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internet có thể sử dụng một số các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủ DirectAccess, gồm có 6to4, Teredo và IP-HTTPS.

4. IPSec bảo vệ sự truyền thông từ đầu đến cuối

Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạng Internet bên ngoài, do đó sự an toàn trong truyền thông là một vấn đề cực kỳ quan trọng. DirectAccess sử dụng giao thức Ipsec để bảo vệ sự an toàn truyền thông giữa máy chủ và khách DirectAccess. Chế độ đường hầm Ipsec được sử dụng để thiết lập các đường hầm mạng nội bộ và cơ sở hạ tầng. Thêm vào đó, bạn có thể cấu hình DirectAccess để yêu cầu mã hóa từ đầu đến cuối (end-to-end) giữa máy khách DirectAccess và máy chủ đích đến trên mạng công ty nhằm sử dụng chế độ truyền tải Ipsec, từ đó kết nối được mã hóa từ máy khách đến đích của nó. DirectAccess cũng lợi dụng tính năng AuthIP mới được giới thiệu đầu tiên trong Vista và Windows Server 2008, làm cho các kết nối được thẩm định thông qua chứng chỉ người dùng hoặc máy tính thay vì chỉ các chứng chỉ máy tính.

5. Các ứng dụng máy khách phải hiểu không gian địa chỉ IPv6

Tuy mục tiêu là cung cấp một trải nghiệm tin học tương tự như các máy khách được kết nối trong mạng công ty, nhưng có một số điểm khác biệt chính giữa máy khách trong mạng công ty và máy khách DirectAccess: máy khách DirectAccess phải và luôn luôn sử dụng IPv6 để kết nối đến máy chủ DirectAccess. Điều đó có nghĩa rằng ứng dụng máy khách trên máy khách DirectAccess phải hiểu không gian địa chỉ IPv6. Nếu ứng dụng máy khách không hiểu không gian địa chỉ IPv6, kết nối sẽ thất bại. Điều này còn đúng thậm chí khi sử dụng một bộ chuyển đổi IPv6 sang IPv4, đây là bộ chuyển đổi cho phép các máy khách DirectAccess có thể kết nối đến các máy chủ IPv4 trên mạng công ty.