O DirectAccess pode ser implementado utilizando uma combinação do seguinte:
- Um modelo de acesso que define os tipos de recursos de rede interna a que um cliente DirectAccess pode aceder e se o cliente DirectAccess e o servidor de rede interna executam a autenticação e a protecção de tráfego utilizando a segurança IPsec
- Um modelo de escalabilidade que define o número de servidores DirectAccess necessário para ajustar as infra-estruturas do DirectAccess às exigências dos clientes DirectAccess
Modelos de acesso
Pode implementar um servidor DirectAccess utilizando o assistente de Configuração do DirectAccess com os seguintes modelos de acesso:
- Extremidade-periferia
- Ponto-a-ponto para servidores seleccionados
Extremidade-periferia
O modelo de acesso extremidade-periferia permite aos clientes DirectAccess estabelecer ligação com todos os recursos na rede interna mas não utiliza o IPsec para proteger a comunicação ponto-a-ponto com servidores de rede interna. As políticas de túnel baseadas em IPsec requerem autenticação e encriptação, e as sessões IPsec terminam, por predefinição, no servidor DirectAccess. Este modelo de acesso funciona com servidores de rede a executar o Windows Server 2003 e que não suportam a protecção IPsec baseada em políticas do tráfego IPv6.
Ponto-a-ponto para servidores seleccionados
Para além da encriptação de tráfego entre o cliente DirectAccess e o servidor pela Internet, o modelo de acesso ponto-a-ponto para servidores seleccionados assegura ainda que as comunicações entre o cliente DirectAccess e os servidores de rede interna estão autenticados e protegidos. Isto permite que o cliente DirectAccess confirme que os mesmos estão a comunicar com os servidores a que se destinam.
Para este modelo de acesso, também pode especificar a utilização da autenticação sem protecção que utiliza a nova opção de política IPsec Autenticar apenas (Encapsulamento Nulo) disponível no Windows 7 e Windows Server 2008 R2. A autenticação sem protecção requer que o cliente DirectAccess e o recurso de rede interna executem a autenticação do elemento IPsec, mas os pacotes de dados subsequentes trocados não são protegidos com um cabeçalho de IPsec. Esta opção poderá ser necessária para as redes que contêm dispositivos de processamento ou reencaminhamento de pacotes que não conseguem analisar ou reencaminhar tráfego protegido por IPsec.
Modelos de escalabilidade
O DirectAccess pode ser configurado utilizando um único servidor que permite ao DirectAccess fornecer toda a funcionalidade de linha de base necessária ao funcionamento. No entanto, como a finalidade do DirectAccess é fornecer conectividade aos utilizadores remotos, a fiabilidade e escalabilidade com vários servidores, e a divisão de tarefas também se tornam muito importantes.
Servidor único
No cenário de servidor único, todos os componentes do DirectAccess estão alojados no mesmo computador servidor. A vantagem deste cenário resulta numa implementação relativamente simples que requer apenas um servidor DirectAccess. As limitações deste cenário residem num ponto único de falha e os estrangulamentos de desempenho do servidor podem limitar o número máximo de ligações simultâneas do DirectAccess. O assistente de Configuração do DirectAccess configura o cenário de servidor único.
Vários servidores
Se a elevada disponibilidade for uma prioridade, a existência de vários servidores pode minimizar quaisquer falhas de rede a sensivelmente dois minutos. Para conseguir isto, é necessário um mínimo de quatro servidores para a implementação. Um cluster de Balanceamento de Carga na Rede (NLB) configurado com dois servidores fornece conectividade IPv6 aos clientes DirectAccess na Internet. Dois servidores fornecem término e activação pós-falha da sessão IPsec. Se ocorrer uma falha em qualquer servidor, o serviço será restaurado uma vez que a ligação é reencaminhada por um servidor operacional.
Para mais informações sobre o modelo de escalabilidade de vários servidores e como configurar os componentes do DirectAccess em diferentes servidores, consulte a home page do DirectAccess no Microsoft Technet (