Для развертывания DirectAccess можно применять комбинацию следующих компонентов:
- Модель доступа, которая задает типы ресурсов внутренней сети, доступных клиенту DirectAccess, а также определяет, выполняют ли клиент DirectAccess и сервер внутренней сети проверку подлинности и защиту трафика с использованием протокола IPsec.
- Модель масштабируемости, которая определяет, сколько серверов DirectAccess потребуется для масштабирования инфраструктур DirectAccess в соответствии с требованиями клиентов DirectAccess.
Модели доступа
Можно развернуть сервер DirectAccess при помощи мастера установки DirectAccess, используя следующие модели доступа:
- End-to-edge («узел-граница»)
- End-to-end («узел-узел») для выбранных серверов
Модель «End-to-edge»
Модель доступа «End-to-edge» позволяет клиентам DirectAccess подключаться ко всем ресурсам во внутренней сети, но она не использует протокол IPsec для защиты сквозного обмена данными с серверами внутренней сети. Политики туннеля IPsec требуют выполнять проверку подлинности и шифрование, и по умолчанию сеансы IPsec завершаются на сервере DirectAccess. Эта модель доступа работает с сетевыми серверами под управлением ОС Windows Server 2003, которая не поддерживает защиту трафика IPv6 по протоколу IPSec на базе политик.
Модель «End-to-end» для выбранных серверов
Помимо шифрования трафика, передаваемого между клиентом и сервером DirectAccess через Интернет, модель доступа «End-to-end» для выбранных серверов также гарантирует проверку подлинности и защиту обмена данными между клиентом DirectAccess и серверами внутренней сети. Поэтому клиент DirectAccess всегда взаимодействует с назначенными ему серверами.
Для этой модели доступа можно также задать использование проверки подлинности без защиты. В этом режиме используется новый параметр политики IPSec Только проверка подлинности (инкапсуляция нуля), который доступен в Windows 7 и Windows Server 2008 R2. При аутентификации без защиты клиент DirectAccess и ресурс внутренней сети должны выполнять одноранговую проверку подлинности по протоколу IPSec, однако передаваемые последующие пакеты данных не будут защищены с использованием заголовка IPSec. Этот параметр может потребоваться для сетей, содержащих устройства обработки или пересылки пакетов, которые не могут выполнять анализ или пересылку трафика, защищенного по протоколу IPSec.
Модели масштабируемости
DirectAccess можно настроить с использованием одного сервера, при помощи которого DirectAccess обеспечивает все основные функции, необходимые для работы. Однако, поскольку цель DirectAccess - обеспечивать подключение для удаленных пользователей, надежность и масштабируемость при конфигурации с несколькими серверами и разделением задач также важны.
Один сервер
В сценарии с одним сервером все компоненты DirectAccess размещаются на одном и том же компьютере-сервере. Преимущество этого сценария - относительно простое развертывание, требующее только одного сервера DirectAccess. Ограничения данного сценария - единственная точка отказа и узкие места в производительности сервера, которые могут ограничить максимальное число параллельных подключений DirectAccess. Мастер установки DirectAccess выполняет настройку по сценарию с одним сервером.
Несколько серверов
Если приоритетом является высокая надежность, то несколько серверов могут минимизировать простои сети, сократив их приблизительно до двух минут. В этом сценарии для развертывания требуется не менее четырех серверов. Кластер балансировки сетевой нагрузки (NLB), настроенный с двумя серверами, обеспечивает подключение по протоколу IPv6 к клиентам DirectAccess через Интернет. Два сервера обеспечивают завершение сеанса IPSec и переключение при отказе. Если какой-либо сервер выйдет из строя, то обслуживание будет восстановлено, поскольку для подключения задействуется работающий сервер.
Дополнительные сведения о модели масштабируемости с использованием нескольких серверов и настройке компонентов DirectAccess на разных серверах см. на домашней странице DirectAccess на веб-сайте Microsoft Technet (