Technologii DirectAccess je možné nasadit pomocí následujících postupů:
- Model přístupu definující typy interních síťových prostředků, ke kterým má přístup klient DirectAccess, a určující zda klient DirectAccess a server v interní síti zajišťují ověřování a ochranu síťového přenosu pomocí protokolu IPsec (Internet Protocol security).
- Model škálovatelnosti definující, kolik serverů DirectAccess je nutné ke škálování infrastruktury technologie DirectAccess pro splnění požadavků klientů DirectAccess.
Modely přístupu
Server DirectAccess je možné nasadit pomocí Průvodce instalací technologie DirectAccess s následujícími modely přístupu:
- klient-hranice systému,
- klient-server pro vybrané servery.
Klient-hranice systému
Model přístupu typu klient-hranice systému umožňuje klientům DirectAccess připojení ke všem prostředkům v rámci interní sítě, ale nepoužívá protokol IPsec k ochraně komunikace klient-server se servery interní sítě. Zásady tunelového připojení využívající protokol IPsec vyžadují ověřování a šifrování a relace protokolu IPsec jsou automaticky ukončeny na serveru DirectAccess. Tento model přístupu funguje se síťovými servery se systémem Windows Server 2003, které nepodporují ochranu přenosu protokolu IPv6 na základě zásad pro protokol IPsec.
Klient-server pro vybrané servery
Kromě šifrování přenosu mezi klientem a serverem DirectAccess při připojení k Internetu zajišťuje model přístupu typu klient-server pro vybrané servery také ověření a ochranu komunikace mezi klientem DirectAccess a servery interní sítě. To umožňuje klientům DirectAccess potvrdit, že komunikují s odpovídajícími servery.
V tomto modelu přístupu je také možné zadat použití ověřování bez ochrany, kdy se využívá nová možnost zásady pro protokol IPsec Pouze ověřit (nulové zapouzdření), která je k dispozici v systému Windows 7 a Windows Server 2008 R2. Ověřování bez ochrany vyžaduje, aby klient DirectAccess a prostředek interní sítě prováděly ověřování partnerů pomocí protokolu IPsec, ale následně odeslané datové pakety nejsou chráněny pomocí hlavičky protokolu IPsec. Tato možnost může být požadována pro sítě obsahující zařízení na zpracování a předávání paketů, která neumožňují analýzu nebo předání přenosu chráněného protokolem IPsec.
Modely škálovatelnosti
Technologii DirectAccess je možné nainstalovat pomocí jednoho serveru, což umožňuje, aby technologie DirectAccess zajišťovala všechny základní funkce požadované k provozu. Vzhledem k tomu, že účelem technologie DirectAccess je zajistit připojení ke vzdáleným uživatelům, jsou spolehlivost a škálovatelnost s více servery a rozdělení úkolů také důležité.
Jediný server
Ve scénáři s jediným serverem jsou všechny součásti funkce DirectAccess hostovány v jednom serverovém počítači. Výhodou tohoto scénáře je relativně jednoduché nasazení vyžadující pouze jeden server DirectAccess. Nevýhodou tohoto scénáře je jedno místo, kde může dojít k chybě, a omezení výkonu serveru, které mohou snížit maximální počet souběžných připojení k serveru DirectAccess. Průvodce instalací technologie DirectAccess používá při konfiguraci scénář jednoho serveru.
Více serverů
Pokud je prioritou vysoká dostupnost, je při použití více serverů možné minimalizovat výpadky sítě na přibližně dvě minuty. V tomto případě jsou při nasazení požadovány minimálně čtyři servery. Cluster vyrovnávání zatížení sítě (NLB) nakonfigurovaný se dvěma servery zajišťuje připojení pomocí protokolu IPv6 s klienty DirectAccess připojenými k Internetu. Dva servery zajišťují ukončení relace protokolu a převzetí služeb při selhání. Pokud dojde k chybě některého serveru, je služba obnovena, protože připojení je přesměrováno prostřednictvím funkčního serveru.
Další informace o modelu škálování s více servery a způsobu konfigurace součástí funkce DirectAccess na různých serverech naleznete na domovské stránce technologie DirectAccess na webu Microsoft Technet (