Ez a témakör információt biztosít a DirectAccess telepítésének összetevőiről, a DirectAccess-ügyfelek csatlakozási módjairól, a tűzfal DirectAccess-forgalomhoz való konfigurálásáról és az intelligens kártyákkal végzett integrációról.
DirectAccess-összetevők
A DirectAccess-telepítések a következő összetevőkből állnak:
- DirectAccess-ügyfelek
- Legalább egy DirectAccess-kiszolgáló
- Egy Active Directory® tartományi szolgáltatásokbeli (AD DS) tartomány
- Egy nyilvános kulcsokra épülő infrastruktúra (PKI)
- Hálózatihely-kiszolgáló
- Az IPv6 verziót támogató belső hálózat és alkalmazások vagy NAT-PT (Network Address Translation-Port Translation) eszközök
DirectAccess-ügyfelek
A DirectAccess-ügyfelek a Windows 7 vagy Windows Server 2008 R2 rendszert futtató számítógépek, amelyek Active Directory-tartományhoz vannak csatlakoztatva, valamint az IPv6 és az IPsec protokollt használják az internetről egy belső hálózatra mutató távoli kapcsolat automatikus létrehozásához és fenntartásához.
Az Active Directory-tartományhoz nem kapcsolódó, vagy a Windows Vista vagy korábbi Windows-verziót futtató számítógépek nem támogatják a DirectAccess eszközt.
Legalább egy DirectAccess-kiszolgáló
A DirectAccess-kiszolgáló a Windows Server 2008 R2 rendszert futtató számítógép, amely Active Directory-tartományhoz csatlakozik, valamint az IPv6 és IPsec protokollokat használja, hogy az interneten keresztül válaszoljon a DirectAccess-ügyfeleknek, és transzparens módon a belső hálózathoz csatlakoztassa azokat.
Az Active Directory-tartományhoz nem kapcsolódó, vagy a Windows Server 2008 vagy korábbi Windows Server-verziót futtató számítógépek nem támogatják a DirectAccess-kiszolgálókat.
A DirectAccess telepítéséhez információt A DirectAccess szolgáltatás telepítése című témakörben talál.
Ne biztosítson semmilyen más elsődleges szolgáltatást a DirectAccess-kiszolgálókkal. A DirectAccess-kiszolgálók elsődleges feladata a DirectAccess szolgáltatás biztosítása. A telepítés és a méretezhetőség követelményeitől függően előfordulhat, hogy több DirectAccess-kiszolgálóra van szüksége, vagy manuális konfigurációt kell alkalmaznia a DirectAccess szolgáltatások több kiszolgáló között való felosztásához. A többkiszolgálós telepítésről további információt a DirectAccess kezdőlapján, a Microsoft Technet webhelyen találhat:
A DirectAccess-kiszolgáló követelményeiről további információt az Feladatlista: A DirectAccess szolgáltatás beállítása előtti teendők című fejezetben talál.
Egy Active Directory-tartomány
A DirectAccess Active Directory-tartományt használ a hitelesítő adatok eléréséhez, a számítógép tanúsítványainak automatikus igényléséhez, valamint az IPsec, az IPv6 és egyéb beállítások központi, csoportházirend-alapú konfigurációjához. A DirectAccess-ügyfeleknek és -kiszolgálóknak Active Directory-tartományhoz kell tartozniuk.
PKI
A DirectAccess az Active Directory tanúsítványszolgáltatások (AD CS) hitelesítésszolgáltató által kiadott számítógép-tanúsítványokat használja az IPsec-munkamenetek és az IP-HTTPS-alapú kapcsolatok hitelesítéséhez.
Hálózatihely-kiszolgáló
A hálózatihely-kiszolgálók belső hálózati kiszolgálók, amelyek HTTPS-alapú egységes erőforrás-azonosítót (URL) szolgáltatnak. A DirectAccess-ügyfelek az URL-címmel határozzák meg, hogy a belső hálózaton vannak-e. A DirectAccess-kiszolgáló lehet a hálózatihely-kiszolgáló, de ajánlott különösen nagy rendelkezésre állást kínáló webkiszolgálót használni. A webkiszolgálónak nem kell hálózatihely-kiszolgálónak lennie.
Az IPv6 verziót használó belső hálózat és alkalmazások vagy NAT-PT eszköz
A DirectAccess-ügyfelek csak az IPv6 eszközt használják a belső hálózat erőforrásainak eléréséhez. Ezért a DirectAccess-ügyfelek csak az IPv6 eszközzel elérhető belső hálózati kiszolgálókkal és erőforrásokkal tudnak kommunikálni. Három módon hozható létre IPv6-kapcsolat a belső hálózatokon:
- Konfigurálja úgy a belső hálózati útválasztó infrastruktúrát, hogy támogassa a natív IPv6-eszközt. Ezután elérhetők az IPv6-eszközt támogató belső hálózati kiszolgálók és alkalmazások. A Windows 7, Windows Server 2008 R2, Windows Vista vagy Windows Server 2008 rendszert futtató számítógépek alapértelmezés szerint az IPv6 protokollt használják.
- Telepítse az ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) szolgáltatást a belső hálózatra. Az ISATAP protokollal az IPv6-eszközt használó belső hálózati kiszolgálók és alkalmazások képesek az IPv6-forgalom csak IPv4-eszközt használó belső hálózaton keresztüli bújtatására. A Windows 7, Windows Server 2008 R2, Windows Vista vagy Windows Server 2008 rendszert futtató számítógépek támogatják az ISATAP-szolgáltatási funkciót. Az ISATAP protokollal ezen számítógépek az IPv6-eszközt natív IPv6-útválasztás nélkül használhatják. A DirectAccess-kiszolgáló automatikusan ISATAP-útválasztóként konfigurálja magát, ha nincs IPv6-kapcsolat a belső hálózaton.
- Egy NAT-PT (Network Address Translation-Protocol Translation) eszközzel lefordíthatja a forgalmat az IPv6-eszközt használó DirectAccess-ügyfelek és a csak IPv4-eszközt használó kiszolgálók és alkalmazások között. A Windows Server 2008 R2 nem biztosít NAT-PT funkcionalitást. A NAT-PT eszközök általában a 2. és 3. rétegbeli kapcsolók és útválasztók forgalmazóitól szerezhetők be. Az NAT-PT lehetőségeiről és konfigurációjáról a kapcsoló vagy az útválasztó dokumentációjában olvashat.
DirectAccess-ügyfelek kapcsolódási módszerei
A következő táblázat tartalmazza a lehetséges DirectAccess-ügyfélkonfigurációkat és az IPv6-forgalom DirectAccess-kiszolgálóra küldésének alkalmazható módszereit.
| Ügyfél konfigurációja | Előnyben részesített kapcsolódási módszer |
|---|---|
Globális IPv6-cím van hozzárendelve | Globális IPv6-cím |
Nyilvános IPv4-cím van hozzárendelve (a 10.0.0.0/8, 172.16.0.0/12 és 192.168.0.0/16 tartományon kívül eső cím) | 6to4, egy IPv6-átmeneti technológia, amely IPv6-kapcsolatot biztosít az IPv4-alapú interneten keresztül a nyilvános IPv4-címmel rendelkező állomásoknak vagy helyeknek. |
IPv4-magáncím van hozzárendelve (a 10.0.0.0/8, 172.16.0.0/12 és 192.168.0.0/16 tartományban lévő cím) | Teredo, egy IPv6-átmeneti technológia, amely IPv6-kapcsolatot biztosít az IPv4-alapú interneten keresztül az IPv4-magáncímmel rendelkező és a 6to4 útválasztó funkciót nem támogató IPv4 protokollt használó, a hálózati címfordítást (NAT) támogató eszköz mögött lévő állomásoknak. |
Az ügyfél nem tud csatlakozni a 6to4 vagy Teredo használatával | IP-HTTPS, a Windows 7 és a Windows Server 2008 R2 új protokollja, amellyel a webproxy-kiszolgáló vagy tűzfal mögött található állomások kapcsolatot hozhatnak létre az IPv6-csomagok IPv4-alapú biztonságos HTTPS-munkamenetbe bújtatásával. Az IP-HTTPS protokollt általában akkor használják, ha az ügyfél nem tud kapcsolódni a DirectAccess-kiszolgálóhoz a többi IPv6 kapcsolódási módszerrel. |
A tűzfal konfigurálása a DirectAccess-forgalomhoz
Az internet és a peremhálózat közötti külső tűzfalaknak a következő típusú forgalmakat kell átengedniük a DirectAccess-kiszolgálótól és annak irányában:
- Natív IPv6-forgalom esetén ICMPv6 (Internet Control Message Protocol for IPv6) forgalom (IPv6 protokoll – 58) és IPsec ESP (Encapsulating Security Payload) forgalom (IPv6 protokoll – 50).
- 6to4 forgalom esetében az IPv6-forgalmat magába ágyazó IPv4-forgalom (IPv4 protokoll – 41).
- Teredo forgalom esetében a 3544-es porton UDP (User Datagram Protocol) protokollal érkező IPv4-forgalom.
- IP-HTTPS forgalom esetében a 443-as porton lévő TCP (Transmission Control Protocol) protokollal érkező IPv4-forgalom.
A külső tűzfal internetes adapterén lévő kivételek formátuma például a következő:
Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]
A peremhálózat és a belső hálózat közötti belső tűzfalaknak a következő típusú forgalmakat kell átengedniük a DirectAccess-kiszolgálóról és annak irányában:
- Natív IPv6-forgalom esetében minden típusú IPv6-forgalom.
- ISATAP-forgalom esetében IPv6-forgalmat magába ágyazó IPv4-forgalom (IPv4 protokoll – 41).
- IPv4- és NAT-PT-forgalom esetében minden TCP, UDP és UDP 500 internetes kulcscsere típusú (IKE-) vagy AuthIP-forgalom.
A Teredo-alapú kapcsolatok engedélyezéséhez a következő további, a Fokozott biztonságú Windows tűzfal esetében érvényes szabályokat kell konfigurálnia és telepítenie a szervezetben a tartományhoz tartozó összes számítógépen:
- Bejövő ICMPv6 visszhangkérési üzenetek (kötelező)
- Kimenő ICMPv6 visszhangkérési üzenetek (ajánlott)
Ne használja az előre definiált Fájl- és nyomtatómegosztás (Echo kérés - ICMPv6-be) bejövő szabályt vagy a Fájl- és nyomtatómegosztás (Echo kérés - ICMPv6-ki) kimenő szabályt erre a célra. Ha ezeket az előre definiált szabályokat használja, azok letilthatók, ha kikapcsolja a szervezeten belül a fájl- és nyomtatómegosztást, így nem lesz Teredo-alapú kapcsolata.
A legegyszerűbben az alapértelmezett tartományi csoportházirend-objektummal (GPO-val) telepítheti a Windows tűzfal ezen beállításait a szervezet összes számítógépére. További információt az Ellenőrzőlista: Alapvető tűzfalházirendterv implementálása (
1. szabály: Bejövő ICMPv6 visszhangkérési üzenetek
Hozzon létre és engedélyezzen egy egyedi bejövő szabályt a következő beállításokkal:
- Minden program
- ICMPv6 protokolltípus visszhangkérési üzenettel
- Bármilyen helyi és távoli IP-cím
- Művelet engedélyezése
- Minden profil (tartomány, munka, nyilvános)
Ez a szabály kötelező.
2. szabály: Kimenő ICMPv6 visszhangkérési üzenetek
Hozzon létre és engedélyezzen egy egyedi kimenő szabályt a következő beállításokkal:
- Minden program
- ICMPv6 protokolltípus visszhangkérési üzenettel
- Bármilyen helyi és távoli IP-cím
- Művelet engedélyezése
- Minden profil (tartomány, munka, nyilvános)
Ez a szabály ajánlott, hacsak nem blokkol a Windows tűzfallal minden kimenő forgalmat, mert ekkor kötelező.
Integráció intelligens kártyákkal
Megkövetelheti intelligens kártyák használatát, amikor a DirectAccess-ügyfelek a DirectAccess-kiszolgálóhoz kapcsolódnak. A felhasználók bejelentkezhetnek a számítógépre, és hozzáférhetnek az internethez intelligens kártya nélkül, de a belső hálózati erőforrások eléréséhez intelligens kártyával végzett hitelesítésre van szükség.
További források
A DirectAccess kiszolgáló- és tartományelkülönítéssel és a Hálózatvédelem (NAP) eszközzel végzett integrációjáról további információt a DirectAccess kezdőlapján, a Microsoft Technet webhelyen találhat: