DirectAccess kan distribueras med en kombination av följande:

  • En åtkomstmodell som definierar typen av interna nätverksresurser som en DirectAccess-klient kan kan komma åt och om DirectAccess-klienten och den interna nätverksservern utför autentisering och trafikskydd genom att använda IPsec (Internet Protocol security)

  • En skalbarhetsmodell som definierar hur många DirectAccess-servrar du behöver för att skala DirectAccess-infrastrukturen så att kraven för DirectAccess-klienter uppnås

Åtkomstmodeller

Du kan distribuera en DirectAccess-server genom att använda installationsguiden för DirectAccess med följande åtkomstmodeller:

  • Slutpunkt-till-kant

  • Slutpunkt till slutpunkt för valda servrar

Slutpunkt-till-kant

Med åtkomstmodellen slutpunkt-till-kant kan DirectAccess-klienter ansluta till alla resurser i det interna nätverket men använder inte IPsec för att skydda slutpunkt till slutpunkt-kommunikation med interna nätverksservrar. IPsec-baserade tunnelprinciper kräver autentisering och kryptering och IPsec-sessioner avslutas som standard på DirectAccess-servern. Denna åtkomstmodell fungerar med nätverksservrar som kör Windows Server 2003 som inte stöder principbaserat IPsec-skydd av IPv6-trafik.

Slutpunkt till slutpunkt för valda servrar

Förutom kryptering av trafik mellan DirectAccess-klienten och servern via Internet, ser modellen slutpunkt till slutpunkt för valda servrar till att kommunikation mellan DirectAccess-klienten och interna nätverksservrar autentiseras och skyddas. Detta gör att DirectAccess-klienten kan bekräfta att de kommunicerar med avsedda servrar.

För den här åtkomstmodellen kan du även ange användning av autentisering utan skydd, som använder det nya IPsec-principalternativet Autentisera endast (null-inkapsling) i Windows 7 och Windows Server 2008 R2. Autentisering utan skydd kräver att DirectAccess-klienten och den interna nätverksresursen utför IPsec-motpartsautentisering, men efterföljande utbyte av datapaket skyddas inte med ett IPsec-huvud. Detta alternativ kan behövas för nätverk som innehåller enheter för bearbetning eller vidarebefordran av paket som inte kan parsa eller vidarebefordra IPsec-skyddad trafik.

Skalbarhetsmodeller

DirectAccess kan konfigureras med en enskild server vilket tillåter att DirectAccess tillhandahåller alla grundläggande funktioner som krävs för att det ska fungera. Eftersom syftet med DirectAccess är att tillhandahålla anslutningar till fjärranvändare, är dock tillförlitlighet och skalbarhet med flera servrar och indelning av åtgärder också viktigt.

Enskild server

När det gäller en enskild server är en enda server värd för alla komponenter i DirectAccess. Fördelen med detta är en relativt enkel distribuering där bara en enda DirectAccess-server krävs. Begränsningarna med detta är att fel uppstår i en enda punkt och flaskhalsar i serverprestanda kan begränsa det högsta antalet samtidiga DirectAccess-anslutningar. Installationsguiden för DirectAccess konfigurerar scenariet med en enskild server.

Flera servrar

Om hög tillgänglighet är prioriterat kan flera servrar minimera eventuella nätverksavbrott till ungefär två minuter. För att uppnå detta krävs minst fyra servrar för en distribuering. Ett NLB (Network Load Balancing)-kluster som har konfigurerats med två servrar ger IPv6-anslutning till DirectAccess-klienter på Internet. Två servrar tillhandahåller IPsec-sessionsavslutning och växling vid fel. Om någon server drabbas av fel återställs tjänsten eftersom anslutningen dirigeras om via en driftsserver.

Mer information om skalbarhetsmodell för flera servrar och hur DirectAccess-komponenter konfigureras på flera servrar, finns på startsidan för DirectAccess på Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (sidan kan vara på engelska)).