Funkcję DirectAccess można wdrożyć przy użyciu połączenia następujących elementów:

  • Model dostępu, który definiuje typy zasobów w sieci wewnętrznej, do których ma dostęp klient funkcji DirectAccess, oraz to, czy klient funkcji DirectAccess i serwer w sieci wewnętrznej realizują uwierzytelnianie i ochronę ruchu przy użyciu protokołu IPsec.

  • Model skalowalności, który definiuje liczbę serwerów DirectAccess potrzebnych do skalowania infrastruktury funkcji DirectAccess w celu spełnienia potrzeb klientów funkcji DirectAccess.

Modele dostępu

Serwer DirectAccess można wdrożyć przy użyciu Kreatora konfiguracji funkcji DirectAccess i następujących modeli dostępu:

  • End-to-edge

  • End-to-end dla wybranych serwerów

End-to-edge

Model dostępu end-to-edge umożliwia klientom funkcji DirectAccess łączenie się z wszystkimi zasobami w sieci wewnętrznej, ale nie uwzględnia używania protokołu IPsec do ochrony komunikacji w ramach połączenia typu end-to-end z serwerami w sieci wewnętrznej. Zasady tunelu zgodnego z protokołem IPsec wymagają uwierzytelniania i szyfrowania, a sesje protokołu IPsec są kończone domyślnie na serwerze DirectAccess. Ten model dostępu działa w przypadku serwerów sieciowych z systemem Windows Server 2003, które nie obsługują ochrony ruchu IPv6 przy użyciu protokołu IPsec oraz zasad.

End-to-end dla wybranych serwerów

Oprócz szyfrowania ruchu między klientami a serwerami funkcji DirectAccess przesyłanego przez Internet model dostępu end-to-end dla wybranych serwerów zapewnia również uwierzytelnianie i ochronę komunikacji między klientami funkcji DirectAccess a serwerami w sieci wewnętrznej. Umożliwia to klientom funkcji DirectAccess uzyskiwanie potwierdzenia, że komunikują się z odpowiednimi serwerami.

W przypadku tego modelu dostępu można również określić stosowanie uwierzytelniania bez ochrony przy użyciu nowej opcji zasad protokołu IPsec Tylko uwierzytelnianie (hermetyzacja zerowa) dostępnej w systemach Windows 7 i Windows Server 2008 R2. Uwierzytelnianie bez ochrony wymaga przeprowadzania uwierzytelniania równorzędnego IPsec przez klienta funkcji DirectAccess i zasób w sieci wewnętrznej, ale kolejne wymieniane pakiety danych nie są chronione za pomocą nagłówka protokołu IPsec. Użycie tej opcji może być konieczne w sieciach zawierających urządzenia do przetwarzania lub przesyłania dalej pakietów pozbawione funkcji analizowania lub przesyłania dalej ruchu chronionego przy użyciu protokołu IPsec.

Modele skalowalności

Funkcję DirectAccess można skonfigurować przy użyciu jednego serwera, dzięki czemu zapewnia ona pełną podstawową funkcjonalność wymaganą do działania. Jednak celem funkcji DirectAccess jest zapewnianie łączności użytkownikom zdalnym, dlatego niezawodność i skalowalność osiągane przy użyciu wielu serwerów oraz podziału zadań są równie ważne.

Jeden serwer

W scenariuszu z jednym serwerem wszystkie składniki funkcji DirectAccess są obsługiwane na tym samym serwerze. Zaletą tego scenariusza jest względnie proste wdrożenie wymagające tylko jednego serwera DirectAccess. Do ograniczeń wynikających z tego scenariusza należą istnienie pojedynczego punktu awarii oraz wąskie gardła wydajności serwera, które mogą ograniczyć maksymalną liczbę równoczesnych połączeń DirectAccess. Kreator konfiguracji funkcji DirectAccess umożliwia skonfigurowanie scenariusza z jednym serwerem.

Wiele serwerów

Jeśli priorytetem jest duża dostępność, użycie wielu serwerów może zminimalizować czas wszelkich awarii sieci do około dwóch minut. W tym celu do wdrożenia są wymagane co najmniej cztery serwery. Klaster równoważenia obciążenia sieciowego złożony z dwóch serwerów zapewnia łączność IPv6 klientom funkcji DirectAccess w Internecie. Dwa serwery zapewniają kończenie sesji protokołu IPsec i pracę awaryjną. Jeśli którykolwiek z serwerów ulegnie awarii, usługa zostanie przywrócona, ponieważ połączenie zostanie przekierowane na działający serwer.

Aby uzyskać więcej informacji na temat modelu skalowalności z wieloma serwerami i sposobu konfigurowania składników funkcji DirectAccess na różnych serwerach, zobacz stronę główną dotyczącą funkcji DirectAccess w witrynie Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (strona może zostać wyświetlona w języku angielskim)).