V tomto tématu jsou uvedeny informace o součástech nasazení technologie DirectAccess, metodách připojení klientů DirectAccess, konfiguraci brány firewall pro přenosy technologie DirectAccess a integraci s čipovými kartami.

Součásti technologie DirectAccess

Nasazení technologie DirectAccess spočívá v nasazení následujících součástí:

  • Klienti DirectAccess

  • Alespoň jeden server DirectAccess

  • Doména služby AD DS (Active Directory® Domain Services)

  • Infrastruktura veřejných klíčů (PKI)

  • Server umístění v síti

  • Interní síť a aplikace podporující protokol IPv6 (Internet Protocol version 6) a zařízení pro překlad adres a portů (NAP-PT)

Klienti DirectAccess

Klient DirectAccess je počítač se systémem Windows 7 nebo Windows Server 2008 R2, který je připojen k doméně služby AD DS a k automatické inicializaci a správě vzdáleného připojení k interní síti z Internetu používá protokoly IPv6 a IPsec (Internet Protocol security).

Počítače, které nejsou připojeny k doméně služby AD DS, nebo počítače se systémem Windows Vista či staršími verzemi systému Windows technologii DirectAccess nepodporují.

Alespoň jeden server DirectAccess

Server DirectAccess je počítač se systémem Windows Server 2008 R2, který je připojen k doméně služby AD DS a k odpovědi klientům DirectAccess v Internetu a jejich transparentnímu připojení k interní síti používá protokoly IPv6 a IPsec.

Počítače, které nejsou připojeny k doméně služby Active Directory nebo počítače se systémem Windows Server 2008 či staršími verzemi systému Windows Server funkce serveru DirectAccess nepodporují.

Informace o instalaci technologie DirectAccess naleznete v tématu Instalace technologie DirectAccess.

Servery DirectAccess by neměly být hostiteli žádných dalších primárních funkcí. Servery DirectAccess by měly být vyhrazeny pro technologii DirectAccess. V závislosti na požadavcích týkajících se nasazení a škálovatelnosti může být potřeba více serverů DirectAccess nebo může být třeba ručně nakonfigurovat rozdělení funkcí technologie DirectAccess mezi více serverů. Další informace o nasazení na více serverů naleznete na domovské stránce technologie DirectAccess na webu Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (stránka může být v angličtině)).

Další informace o požadavcích na server DirectAccess naleznete v tématu Kontrolní seznam: Před konfigurací technologie DirectAccess.

Doména služby AD DS

Technologie DirectAccess využívá službu AD DS k pověřením pro ověření, k automatickému zápisu certifikátů počítače a k centralizované konfiguraci protokolů IPsec a IPv6 a dalších nastavení založené na zásadách skupiny. Klienti a servery DirectAccess musí být členy domény služby AD DS.

Infrastruktura veřejných klíčů

Technologie DirectAccess využívá k ověření relací protokolu IPsec a připojení prostřednictvím protokolu IP-HTTPS certifikáty počítače vystavené certifikační autoritou služby AD CS (Active Directory Certificate Services).

Server umístění v síti

Server umístění v síti je server interní sítě, který je hostitelem adresy URL (Uniform Resource Locator) založené na protokolu HTTPS. Klienti DirectAccess pomocí této adresy URL určují, zda jsou umístěni v interní síti. Serverem DirectAccess může být server umístění v síti, nicméně doporučujeme webový server s vysokou dostupností. Není nutné, aby byl tento webový server vyhrazen jako server umístění v síti.

Interní síť a aplikace podporující protokol IPv6 nebo zařízení NAP-PT

Klienti DirectAccess získávají přístup k prostředkům v interní síti výhradně pomocí protokolu IPv6. Proto mohou klienti DirectAccess komunikovat pouze se servery a prostředky v interní síti, které jsou prostřednictvím protokolu IPv6 dostupné. Připojení k interní síti prostřednictvím protokolu IPv6 lze dosáhnout třemi způsoby:

  • Nakonfigurujte infrastrukturu směrování interní sítě tak, aby podporovala nativní protokol IPv6. Potom budou servery a aplikace v interní síti podporující protokol IPv6 dostupné. Počítače se systémem Windows 7, Windows Server 2008 R2, Windows Vista nebo Windows Server 2008 jsou pro používání protokolu IPv6 nakonfigurovány ve výchozím nastavení.

  • Nasaďte v interní síti protokol ISATAP (Intra-Site Automatic Tunnel Addressing Protocol). Pomocí protokolu ISATAP mohou servery a aplikace v interní síti podporující protokol IPv6 vytvořit tunel pro přenosy protokolu IPv6 v interní síti podporující pouze protokol IPv4. Funkci hostitele protokolu ISATAP podporují počítače se systémem Windows 7, Windows Server 2008 R2, Windows Vista nebo Windows Server 2008. Protokol ISATAP umožňuje těmto počítačům používat protokol IPv6 bez nutnosti směrování nativního protokolu IPv6. Server DirectAccess se při nepřítomnosti připojení pomocí protokolu IPv6 v interní síti automaticky nakonfiguruje jako směrovač ISATAP.

  • K překladu přenosů mezi klienty DirectAccess používajícími protokol IPv6 a servery a aplikacemi, které mohou používat pouze protokol IPv4, použijte zařízení pro překlad adres a portů (NAP-PT). Systém Windows Server 2008 R2 funkci NAT-PT neposkytuje. Zařízení NAT-PT jsou obvykle k dispozici od dodavatelů směrovačů a přepínačů vrstvy 2 a 3. Informace o možnostech a konfiguraci funkce NAT-PT naleznete v dokumentaci k příslušným přepínačům a směrovačům.

Metody připojení klientů DirectAccess

V následující tabulce jsou uvedeny možné konfigurace klienta DirectAccess spolu s odpovídajícími metodami přenosů protokolu IPv6 na server DirectAccess.

Konfigurace klientaUpřednostňovaná metoda připojení

Přiřazená globální IPv6 adresa

Globální IPv6 adresa

Přiřazená veřejná IPv4 adresa (adresy mimo rozsahy 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16)

Technologie 6to4, což je přechodová technologie IPv6 poskytující hostitelům nebo webům s veřejnou IPv4 adresou připojení pomocí protokolu IPv6 v Internetu s protokolem IPv4

Přiřazená privátní IPv4 adresa (adresy v rozsazích 10.0.0.0/8, 172.16.0.0/12 a 192.168.0.0/16)

Technologie Teredo, což je přechodová technologie IPv6 poskytující hostitelům s přiřazenou privátní IPv4 adresou umístěným za zařízením pro překlad IPv4 adres, které nepodporuje funkci směrovače 6to4, připojení pomocí protokolu IPv6 v Internetu s protokolem IPv4

Klient, který se nemůže připojit pomocí technologie 6to4 nebo Teredo

Protokol IP-HTTPS, což je nový protokol pro systémy Windows 7 a Windows Server 2008 R2 umožňující hostitelům umístěným za webovým proxy serverem nebo bránou firewall navázat připojení pomocí tunelování paketů IPv6 v rámci zabezpečené relace HTTPS (Secure Hypertext Transfer Protocol) založené na protokolu IPv4 (protokol IP-HTTPS je obvykle používán pouze v případě, že se klient nemůže připojit k serveru DirectAccess pomocí ostatních metod připojení prostřednictvím protokolu IPv6)

Konfigurace brány firewall pro přenosy technologie DirectAccess

Externí brány firewall mezi Internetem a hraniční sítí musí umožnit následující typy příchozích a odchozích přenosů na serveru DirectAccess:

  • Pro nativní přenosy protokolu IPv6: přenosy protokolu ICMPv6 (Internet Control Message Protocol for IPv6) (protokol IPv6 58) a přenosy protokolu IPsec ESP (Encapsulating Security Payload) (protokol IPv6 50)

  • Pro přenosy typu 6to4: přenosy protokolu IPv6 zapouzdřené v přenosech protokolu IPv4 (protokol IPv4 41)

  • Pro přenosy Teredo: přenosy protokolu IPv4 pomocí portu UDP (User Datagram Protocol) 3544

  • Pro přenosy protokolu IP-HTTPS: přenosy protokolu IPv4 pomocí portu TCP (Transmission Control Protocol) 443

Výjimky internetového rozhraní externí brány firewall budou například v následujícím formátu:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Interní brány firewall mezi hraniční a interní sítí musí umožnit následující typy příchozích a odchozích přenosů na serveru DirectAccess:

  • Pro nativní přenosy protokolu IPv6: všechny typy přenosů protokolu IPv6

  • Pro přenosy protokolu ISATAP: přenosy protokolu IPv6 zapouzdřené v přenosech protokolu IPv4 (protokol IPv4 41)

  • Pro přenosy protokolu IPv4 a NAT-PT: všechny přenosy TCP, UDP a UDP 500 IKE (Internet Key Exchange)/AuthIP

Chcete-li povolit připojení založená na technologii Teredo, je nutné ve všech počítačích členů domény v organizaci nakonfigurovat a nasadit následující doplňková pravidla brány Windows Firewall s pokročilým zabezpečením:

  • Příchozí zprávy žádostí o odezvu protokolu ICMPv6 (požadováno)

  • Odchozí zprávy žádostí o odezvu protokolu ICMPv6 (doporučeno)

Nepoužívejte k tomuto účelu předdefinované pravidlo příchozí komunikace Sdílení souborů a tiskáren (Požadavek na odezvu - ICMPv6-In) ani pravidlo odchozí komunikace Sdílení souborů a tiskáren (Požadavek na odezvu - ICMPv6-Out). Pokud použijete tato předdefinovaná pravidla, může se stát, že budou při vypnutí funkce sdílení souborů a tiskáren v organizaci zakázána, čímž dojde ke ztrátě připojení založených na technologii Teredo.

Nejsnáze lze tato nastavení brány Windows Firewall nasadit do všech členských počítačů v organizaci prostřednictvím objektu zásad skupiny (GPO) výchozí domény. Další informace naleznete na stránce Kontrolní seznam: Implementace návrhu zásad základní brány firewall (https://go.microsoft.com/fwlink/?LinkId=147688 (stránka může být v angličtině)).

Pravidlo 1: Příchozí zprávy žádostí o odezvu protokolu ICMPv6

Vytvořte a povolte vlastní pravidlo příchozí komunikace s následujícím nastavením:

  • Všechny programy

  • Typ protokolu ICMPv6 se zprávou žádosti o odezvu

  • Všechny místní a vzdálené IP adresy

  • Povolit akci

  • Všechny profily (domény, pracovní, veřejný)

Toto pravidlo je povinné.

Pravidlo 2: Odchozí zprávy žádostí o odezvu protokolu ICMPv6

Vytvořte a povolte vlastní pravidlo odchozí komunikace s následujícím nastavením:

  • Všechny programy

  • Typ protokolu ICMPv6 se zprávou žádosti o odezvu

  • Všechny místní a vzdálené IP adresy

  • Povolit akci

  • Všechny profily (domény, pracovní, veřejný)

Toto pravidlo je doporučeno jako nejvhodnější, pokud nepoužíváte bránu Windows Firewall, která blokuje všechny odchozí přenosy. V takovém případě je toto pravidlo povinné.

Integrace s čipovými kartami

Můžete požadovat, aby klienti DirectAccess používali při připojování k serveru DirectAccess čipové karty. Uživatelé se budou moci přihlásit ke svým počítačům a získat přístup k Internetu bez použití čipové karty, ale pro přístup k prostředkům v interní síti bude požadováno ověřování pomocí čipových karet.

Další odkazy

Informace o integraci technologie DirectAccess s izolací serveru a domény a architekturou NAP (Network Access Protection) naleznete na domovské stránce technologie DirectAccess na webu Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (stránka může být v angličtině)).

Obsah