DirectAccess kan worden geïmplementeerd met een combinatie van de volgende elementen:
- Een toegangsmodel, waarin wordt gedefinieerd tot welke typen interne netwerkbronnen een DirectAccess-client toegang heeft en of de DirectAccess-client en de interne netwerkserver verificatie en beveiliging van verkeer uitvoeren met behulp van IPsec (Internet Protocol Security)
- Een schaalbaarheidsmodel, waarin wordt gedefinieerd hoeveel DirectAccess-servers u nodig hebt om de schaal van uw DirectAccess-infrastructuren in te stellen om te voldoen aan de behoeften van DirectAccess-clients
Toegangsmodellen
U kunt een DirectAccess-server implementeren door de wizard Installatie van DirectAccess te gebruiken met de volgende toegangsmodellen:
- End-to-edge
- End-to-end voor geselecteerde servers
End-to-edge
Met het end-to-edge-toegangsmodel kunnen DirectAccess-clients verbinding maken met alle bronnen binnen het interne netwerk, maar wordt geen IPsec gebruikt om de end-to-end-communicatie met interne netwerkservers te beveiligen. Voor op IPsec gebaseerd tunnelbeleid is verificatie en versleuteling vereist, en de IPsec-sessies worden standaard beëindigd op de DirectAccess-server. Dit toegangsmodel werkt met netwerkservers waarop Windows Server 2003 wordt uitgevoerd en die geen op beleid gebaseerde IPsec-beveiliging van IPv6-verkeer ondersteunen.
End-to-end voor geselecteerde servers
Behalve de versleuteling van verkeer tussen de DirectAccess-client en -server via internet, waarborgt het end-to-end-toegangsmodel voor geselecteerde servers ook dat communicatie tussen de DirectAccess-client en interne netwerkservers wordt geverifieerd en beveiligd. Hierdoor kan de DirectAccess-client bevestigen dat deze communiceert met de beoogde servers.
Voor dit toegangsmodel kunt u ook het gebruik van verificatie zonder beveiliging opgeven, waarvoor de nieuwe IPsec-beleidsoptie Nulinkapseling wordt gebruikt die beschikbaar is in Windows 7 en Windows Server 2008 R2. Bij verificatie zonder beveiliging moeten de DirectAccess-client en interne netwerkbron IPsec-peer-verificatie uitvoeren, maar worden volgende gegevenspakketten die worden uitgewisseld, niet beveiligd met een IPsec-header. Deze optie is wellicht nodig voor netwerken die pakketverwerking bevatten of voor doorstuurapparaten die geen met IPsec beveiligd verkeer kunnen parseren of doorsturen.
Schaalbaarheidsmodellen
DirectAccess kan worden geconfigureerd met één enkele server, waardoor DirectAccess alle basisfunctionaliteit kan bieden die vereist is voor een correcte werking. Omdat het doel van DirectAccess echter het bieden van een verbinding voor externe gebruikers is, zijn betrouwbaarheid en schaalbaarheid met meerdere servers, plus een verdeling van taken ook van belang.
Eén server
In het scenario met één server worden alle onderdelen van DirectAccess gehost op dezelfde servercomputer. Het voordeel van dit scenario is een relatief eenvoudige implementatie, waarvoor slechts één DirectAccess-server nodig is. De beperkingen van dit scenario zijn één enkel foutpunt en het feit dat knelpunten in de serverprestaties het maximum aantal gelijktijdige DirectAccess-verbindingen kunnen beperken. Met de wizard Installatie van DirectAccess wordt het scenario met één server geconfigureerd.
Meerdere servers
Als een hoge beschikbaarheid een prioriteit is, kunnen meerdere servers alle netwerkstoringen minimaliseren tot circa twee minuten. Hiervoor zijn bij een implementatie minimaal vier servers vereist. Een netwerktaakverdelingscluster dat is geconfigureerd met twee servers die een IPv6-verbinding bieden voor DirectAccess-clients op internet. Twee servers die beëindiging en failover van IPsec-sessies mogelijk maken. Als er op een van de servers een fout optreedt, wordt de service hersteld, omdat de verbinding wordt omgeleid via een operationele server.
Raadpleeg de DirectAccess-startpagina van Microsoft TechNet (