DirectAccess kann mithilfe einer Kombination der folgenden Modelle bereitgestellt werden:

  • Ein Zugriffsmodell, das die Typen von internen Netzwerkressourcen definiert, auf die ein DirectAccess-Client zugreifen kann, und das angibt, ob die Authentifizierung und der Schutz des Datenverkehrs vom DirectAccess-Client und vom internen Netzwerkserver mithilfe von IPsec ausgeführt wird.

  • Ein Skalierbarkeitsmodell, das definiert, wie viele DirectAccess-Server zum Skalieren der DirectAccess-Infrastrukturen erforderlich sind, um die Anforderungen von DirectAccess-Clients zu erfüllen.

Zugriffsmodelle

Sie können mithilfe des DirectAccess-Setup-Assistenten einen DirectAccess-Server mit den folgenden Zugriffsmodellen bereitstellen:

  • End-to-Edge

  • End-to-End für ausgewählte Server

End-to-Edge

Mit dem End-to-Edge-Zugriffsmodell können DirectAccess-Clients eine Verbindung mit allen Ressourcen innerhalb des internen Netzwerks herstellen. Bei diesem Modell wird jedoch kein IPsec verwendet, um die End-to-End-Kommunikation mit internen Netzwerkservern zu schützen. Für IPsec-basierte Tunnelrichtlinien ist eine Authentifizierung und Verschlüsselung erforderlich. IPsec-Sitzungen werden standardmäßig beim DirectAccess-Server beendet. Bei diesem Zugriffsmodell werden Netzwerkserver unter Windows Server 2003 verwendet, von denen der richtlinienbasierte IPsec-Schutz des IPv6-Datenverkehrs nicht unterstützt wird.

End-to-End für ausgewählte Server

Zusätzlich zur Verschlüsselung von Datenverkehr zwischen dem DirectAccess-Client und -Server im Internet ist beim End-to-End-Zugriffsmodell für ausgewählte Server auch die Authentifizierung und der Schutz der Kommunikation zwischen dem DirectAccess-Client und internen Netzwerkservern sichergestellt. Dadurch kann vom DirectAccess-Client bestätigt werden, dass die Kommunikation mit den gewünschten Servern stattfindet.

Bei diesem Zugriffsmodell können Sie auch die Verwendung der Authentifizierung ohne Schutz angeben, bei der die neue unter Windows 7 und Windows Server 2008 R2 verfügbare IPsec-Richtlinienoption Nur authentifizieren (Nullkapselung) verwendet wird. Bei der Authentifizierung ohne Schutz muss vom DirectAccess-Client und der internen Netzwerkressource eine IPsec-Peerauthentifizierung ausgeführt werden. Nachfolgende ausgetauschte Datenpakete werden jedoch nicht mit einem IPsec-Header geschützt. Diese Option ist möglicherweise für Netzwerke erforderlich, die Paketverarbeitungs- oder -Weiterleitungsgeräte enthalten, von denen IPsec-geschützter Datenverkehr nicht analysiert oder weitergeleitet werden kann.

Skalierbarkeitsmodelle

DirectAccess kann mithilfe eines einzelnen Servers eingerichtet werden, wodurch von DirectAccess alle für den Betrieb erforderlichen Grundfunktionen bereitgestellt werden können. Da der Zweck von DirectAccess jedoch darin besteht, Konnektivität für Remotebenutzer zu bieten, sind die Zuverlässigkeit sowie die Skalierbarkeit mit mehreren Servern und die Aufteilung von Aufgaben ebenso wichtig.

Einzelner Server

In Szenarien mit einem einzelnen Server werden alle Komponenten von DirectAccess auf demselben Servercomputer gehostet. Der Vorteil dieses Szenarios besteht in einer relativ einfachen Bereitstellung, für die nur ein einzelner DirectAccess-Server erforderlich ist. Die Einschränkungen dieses Szenarios bestehen in einer einzelnen Fehlerquelle sowie darin, dass die maximale Anzahl gleichzeitiger DirectAccess-Verbindungen durch Engpässe in der Serverleistung eingeschränkt sein kann. Im DirectAccess-Setup-Assistenten wird das Szenario mit einem einzelnen Server konfiguriert.

Mehrere Server

Wenn hohe Verfügbarkeit wichtig ist, kann die Netzwerkausfallzeit durch mehrere Server auf etwa zwei Minuten minimiert werden. Es sind mindestens vier Server für eine Bereitstellung erforderlich, um dies zu erreichen. Ein mit zwei Servern konfigurierter Netzwerklastenausgleich-Cluster stellt IPv6-Konnektivität für DirectAccess-Clients im Internet bereit. Zwei Server stellen IPsec-Sitzungsbeendigungen und -failover bereit. Tritt bei einem Server ein Fehler auf, wird der Dienst wiederhergestellt, da die Verbindung über einen Betriebsserver erneut weitergeleitet wird.

Weitere Informationen (möglicherweise in englischer Sprache) zum Skalierbarkeitsmodell mit mehreren Servern und zum Konfigurieren der Komponenten von DirectAccess auf verschiedenen Servern finden Sie auf der DirectAccess-Startseite in Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598).