W tym temacie przedstawiono informacje o składnikach wdrożenia funkcji DirectAccess, metodach łączności z klientami funkcji DirectAccess, konfiguracji zapory dla ruchu związanego z funkcją DirectAccess oraz integracji z kartami inteligentnymi.

Składniki funkcji DirectAccess

Wdrożenie funkcji DirectAccess obejmuje następujące składniki:

  • Klienci funkcji DirectAccess

  • Co najmniej jeden serwer DirectAccess

  • Domena usług domenowych w usłudze Active Directory® (AD DS)

  • Infrastruktura kluczy publicznych (PKI)

  • Serwer lokalizacji sieciowej

  • Sieć wewnętrzna i aplikacje obsługujące protokół IPv6 lub urządzenia translacji NAT-PT (Network Address Translation-Port Translation)

Klienci funkcji DirectAccess

Klient funkcji DirectAccess to komputer z systemem Windows 7 lub Windows Server 2008 R2 dołączony do domeny usług domenowych w usłudze AD, który korzysta z protokołów IPv6 i IPsec w celu automatycznego inicjowania i zachowywania łączności z siecią wewnętrzną z Internetu.

Komputery niedołączone do domeny usług domenowych w usłudze AD bądź komputery z systemem Windows Vista lub starszą wersją systemu Windows nie obsługują funkcji DirectAccess.

Co najmniej jeden serwer DirectAccess

Serwer DirectAccess to komputer z systemem Windows Server 2008 R2 dołączony do domeny usług domenowych w usłudze AD, który korzysta z protokołów IPv6 i IPsec w celu odpowiadania na żądania klientów funkcji DirectAccess znajdujących się w Internecie oraz łączenia ich z siecią wewnętrzną w sposób niewidoczny dla użytkownika.

Komputery niedołączone do domeny usług domenowych w usłudze AD bądź komputery z systemem Windows Server 2008 lub starszą wersją systemu Windows Server nie obsługują funkcji serwera DirectAccess.

Aby zainstalować funkcję DirectAccess, zobacz temat Instalowanie funkcji DirectAccess.

Serwery DirectAccess nie powinny obsługiwać żadnych innych podstawowych funkcji. Serwery DirectAccess powinny być dedykowane dla funkcji DirectAccess. W zależności od wymagań dotyczących wdrożenia i skalowalności może być potrzebny więcej niż jeden serwer DirectAccess lub użycie konfiguracji ręcznej w celu rozdzielenia funkcji DirectAccess między wiele serwerów. Aby uzyskać więcej informacji na temat wdrożeń na wielu serwerach, zobacz stronę główną dotyczącą funkcji DirectAccess w witrynie Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (strona może zostać wyświetlona w języku angielskim)).

Aby uzyskać więcej informacji na temat wymagań serwera DirectAccess, zobacz temat Lista kontrolna: Przed skonfigurowaniem funkcji DirectAccess.

Domena usług domenowych w usłudze AD

Funkcja DirectAccess korzysta z usług domenowych w usłudze AD w zakresie poświadczeń uwierzytelniania, autorejestrowania certyfikatów komputerów oraz scentralizowanej konfiguracji protokołów IPsec, IPv6 i innych ustawień tworzonej za pomocą zasad grupy. Klienci i serwery funkcji DirectAccess muszą być elementami członkowskimi domeny usług domenowych w usłudze AD.

Infrastruktura kluczy publicznych

Funkcja DirectAccess korzysta z certyfikatów komputerów wystawionych przez urząd certyfikacji usług certyfikatów w usłudze Active Directory (AD CS) w zakresie uwierzytelniania sesji protokołu IPsec i połączeń zgodnych z protokołem IP-HTTPS.

Serwer lokalizacji sieciowej

Serwer lokalizacji sieciowej to serwer w sieci wewnętrznej obsługujący adres URL zgodny z protokołem HTTPS. Klienci funkcji DirectAccess korzystają z tego adresu URL w celu określenia, czy znajdują się w sieci wewnętrznej. Serwer DirectAccess może być serwerem lokalizacji sieciowej, ale zaleca się użycie serwera sieci Web o dużej dostępności. Serwer sieci Web nie musi być dedykowanym serwerem lokalizacji sieciowej.

Sieć wewnętrzna i aplikacje obsługujące protokół IPv6 lub urządzenie translacji NAT-PT

Klienci funkcji DirectAccess w celu uzyskania dostępu do zasobów w sieci wewnętrznej używają wyłącznie protokołu IPv6. Z tego powodu klienci funkcji DirectAccess mogą komunikować się tylko z serwerami i zasobami w sieci wewnętrznej, które są dostępne przy użyciu protokołu IPv6. Istnieją trzy sposoby zapewnienia łączności IPv6 z siecią wewnętrzną:

  • Skonfigurowanie infrastruktury routingu sieci wewnętrznej w sposób umożliwiający obsługę natywnego protokołu IPv6. Serwery i aplikacje w sieci wewnętrznej obsługujące protokół IPv6 będą wówczas dostępne. Komputery z systemem Windows 7, Windows Server 2008 R2, Windows Vista lub Windows Server 2008 są domyślnie skonfigurowane do korzystania z protokołu IPv6.

  • Wdrożenie protokołu ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) w sieci wewnętrznej. Dzięki stosowaniu protokołu ISATAP serwery i aplikacje w sieci wewnętrznej obsługujące protokół IPv6 mogą tunelować ruch IPv6 przez sieć wewnętrzną obsługującą tylko protokół IPv4. Komputery z systemem Windows 7, Windows Server 2008 R2, Windows Vista lub Windows Server 2008 obsługują funkcję hosta ISATAP. Protokół ISATAP umożliwia tym komputerom używanie protokołu IPv6 bez konieczności korzystania z routingu natywnego protokołu IPv6. Serwer DirectAccess zostanie automatycznie skonfigurowany jako router ISATAP, jeśli sieć wewnętrzna nie obsługuje łączności IPv6.

  • Do translacji ruchu między klientami funkcji DirectAccess używającymi protokołu IPv6 a serwerami i aplikacjami obsługującymi tylko protokół IPv4 należy używać urządzenia translacji NAT-PT (Network Address Translation-Protocol Translation). System Windows Server 2008 R2 nie obsługuje funkcji translacji NAT-PT. Urządzenia translacji NAT-PT są zazwyczaj oferowane przez producentów przełączników i routerów działających w warstwach 2 i 3. Zapoznaj się z dokumentacją przełącznika i routera, aby uzyskać informacje na temat możliwości i konfiguracji translacji NAT-PT.

Metody łączności z klientami funkcji DirectAccess

W poniższej tabeli wymieniono możliwe konfiguracje klientów funkcji DirectAccess i odpowiadające im metody przesyłania ruchu IPv6 do serwera DirectAccess.

Konfiguracja klientaPreferowana metoda łączności

Przydzielony globalny adres IPv6

Globalny adres IPv6

Przydzielony publiczny adres IPv4 (adres spoza zakresów 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16)

6to4 - technologia przechodzenia do protokołu IPv6 zapewniająca łączność IPv6 w Internecie, w którym jest obsługiwany protokół IPv4, z hostami lub lokacjami, które mają publiczny adres IPv4.

Przydzielony prywatny adres IPv4 (adres należący do zakresów 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16)

Teredo - technologia przechodzenia do protokołu IPv6 zapewniająca łączność IPv6 w Internecie, w którym jest obsługiwany protokół IPv4, z hostami, którym przydzielono prywatny adres IPv4, znajdującymi się za urządzeniem translacji NAT, które nie obsługuje funkcji routera 6to4.

Klient nie może łączyć się przy użyciu technologii 6to4 ani Teredo

IP-HTTPS - nowy protokół w systemach Windows 7 i Windows Server 2008 R2, który umożliwia hostom znajdującym się za serwerem proxy sieci Web lub zaporą nawiązywanie łączności za pomocą tunelowania pakietów IPv6 w ramach bezpiecznej sesji HTTPS zgodnej z protokołem IPv4. Protokół IP-HTTPS jest zazwyczaj używany tylko wtedy, gdy klient nie może połączyć się z serwerem DirectAccess przy użyciu innych metod łączności IPv6.

Konfiguracja zapory dla ruchu związanego z funkcją DirectAccess

Zapory zewnętrzne między Internetem a siecią obwodową muszą mieć możliwość przekazywania następujących typów ruchu do serwera DirectAccess i w przeciwnym kierunku:

  • W przypadku ruchu natywnego protokołu IPv6 - ruch ICMPv6 (Internet Control Message Protocol for IPv6) (IPv6 - protokół 58) i ruch IPsec ESP (Encapsulating Security Payload) (IPv6 - protokół 50).

  • W przypadku ruchu 6to4 - ruch IPv4 hermetyzujący ruch IPv6 (IPv4 - protokół 41).

  • W przypadku ruchu Teredo - ruch IPv4 przy użyciu portu 3544 protokołu UDP (User Datagram Protocol).

  • W przypadku ruchu IP-HTTPS - ruch IPv4 przy użyciu portu 443 protokołu TCP (Transmission Control Protocol).

Na przykład wyjątki interfejsu internetowego zapory zewnętrznej będą miały następujący format:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Zapory wewnętrzne między siecią obwodową a siecią wewnętrzną muszą mieć możliwość przekazywania następujących typów ruchu do serwera DirectAccess i w przeciwnym kierunku:

  • W przypadku ruchu natywnego protokołu IPv6 - wszystkie typy ruchu IPv6.

  • W przypadku ruchu ISATAP - ruch IPv4 hermetyzujący ruch IPv6 (IPv4 - protokół 41).

  • W przypadku ruchu IPv4 i NAT-PT - całego ruchu IKE (Internet Key Exchange)/AuthIP protokołów TCP, UDP i UDP 500.

Aby umożliwić łączność w technologii Teredo, należy skonfigurować i wdrożyć następujące dodatkowe reguły Zapory systemu Windows z zabezpieczeniami zaawansowanymi dla wszystkich komputerów należących do domeny w organizacji:

  • Przychodzące komunikaty żądania echa ICMPv6 (wymagane)

  • Wychodzące komunikaty żądania echa ICMPv6 (zalecane)

Nie należy w tym celu używać wstępnie zdefiniowanej reguły dla ruchu przychodzącego Udostępnianie plików i drukarek (żądanie echa - ruch przychodzący ICMPv6) ani reguły dla ruchu wychodzącego Udostępnianie plików i drukarek (żądanie echa - ruch wychodzący ICMPv6). Jeśli te wstępnie zdefiniowane reguły zostaną użyte, może nastąpić ich wyłączenie w wyniku wyłączenia udostępniania plików i drukarek w organizacji, co spowoduje brak łączności przy użyciu technologii Teredo.

Najłatwiejszym sposobem wdrożenia tych ustawień Zapory systemu Windows na wszystkich komputerach należących do domeny w organizacji jest użycie obiektu zasad grupy domeny domyślnej. Aby uzyskać więcej informacji, zobacz temat Lista kontrolna: Wdrażanie projektu podstawowych zasad zapory (https://go.microsoft.com/fwlink/?LinkId=147688 (strona może zostać wyświetlona w języku angielskim)).

Reguła 1: Przychodzące komunikaty żądania echa ICMPv6

Utwórz i włącz niestandardową regułę dla ruchu przychodzącego z następującymi ustawieniami:

  • Wszystkie programy

  • Typ protokołu ICMPv6 z komunikatem żądania echa

  • Dowolne lokalne i zdalne adresy IP

  • Akcja zezwalania

  • Wszystkie profile (domena, praca, publiczny)

Ta reguła jest wymagana.

Reguła 2: Wychodzące komunikaty żądania echa ICMPv6

Utwórz i włącz niestandardową regułę dla ruchu wychodzącego z następującymi ustawieniami:

  • Wszystkie programy

  • Typ protokołu ICMPv6 z komunikatem żądania echa

  • Dowolne lokalne i zdalne adresy IP

  • Akcja zezwalania

  • Wszystkie profile (domena, praca, publiczny)

Ta reguła jest zalecana jako najlepsze rozwiązanie, chyba że Zapora systemu Windows służy do blokowania całego ruchu wychodzącego, w której to sytuacji reguła jest wymagana.

Integracja z kartami inteligentnymi

Można wymagać używania kart inteligentnych podczas nawiązywania połączeń z serwerem DirectAccess przez klientów funkcji DirectAccess. Użytkownicy mogą logować się do swoich komputerów i korzystać z Internetu bez karty inteligentnej, ale uzyskanie dostępu do wszelkich zasobów w sieci wewnętrznej wymaga uwierzytelnienia przy użyciu takiej karty.

Zasoby dodatkowe

Aby uzyskać informacje na temat integracji funkcji DirectAccess z izolacją serwerów i domen oraz ochroną dostępu do sieci, zobacz stronę główną dotyczącą funkcji DirectAccess w witrynie Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (strona może zostać wyświetlona w języku angielskim)).

Spis treści