I det här avsnittet finns information om komponenterna i en DirectAccess-distribution, anslutningsmetoder för DirectAccess-klienter, brandväggskonfiguration för DirectAccess-trafik och integrering med smartkort.

DirectAccess-komponenter

En DirectAccess-distribution består av följande komponenter:

  • DirectAccess-klienter

  • Minst en DirectAccess-server

  • En Active Directory® Domain Services (AD DS)-domän

  • En PKI (Public Key Infrastructure)

  • Nätverksplatsserver

  • Ett Internet Protocol version 6 (IPv6)-aktiverat internt nätverk och program eller NAT-PT (Network Address Translation-Port Translation)-enheter

DirectAccess-klienter

En DirectAccess-klient är en dator som kör Windows 7 eller Windows Server 2008 R2 som är kopplad till en AD DS-domän och använder IPv6 och Internet Protocol security (IPsec) för att automatiskt initiera och bibehålla fjärranslutningen till ett internt nätverk från Internet.

Datorer som inte är kopplade till en AD DS-domän eller datorer som kör Windows Vista eller tidigare versioner av Windows stöder inte DirectAccess.

Minst en DirectAccess-server

En DirectAccess-server är en dator som kör Windows Server 2008 R2 som är kopplad till en AD DS-domän och använder IPv6 och IPsec för att besvara DirectAccess-klienter på Internet och transparent ansluta dem till ett internt nätverk.

Datorer som inte är kopplade till en Active Directory-domän eller datorer som kör Windows Server 2008 eller tidigare versioner av Windows Server stöder inte DirectAccess-serverfunktioner.

Information om hur du installerar DirectAccess finns i Installera DirectAccess.

Hantera inte några andra primära funktioner på DirectAccess-servrar. DirectAccess-servrar ska vara dedicerade till DirectAccess. Beroende på krav på distribution och skalbarhet , kan du behöva fler än en DirectAccess-server eller använda manuell konfiguration för att skilja DirectAccess-funktioner åt mellan flera servrar. Mer information om distribuering av flera servrar finns på startsidan för DirectAccess på Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (sidan kan vara på engelska)).

Mer information om kraven för DirectAccess-servern finns i Checklista: Innan du konfigurerar DirectAccess.

En AD DS-domän

DirectAccess förlitar sig på AD DS för autentiseringsuppgifter, automatisk registrering av datorcertifikat och centraliserad grupprincipbaserad konfiguration av IPsec, IPv6 och andra inställningar. DirectAccess-klienter och -servrar måste vara medlemmar i en AD DS-domän.

PKI

DirectAccess förlitar sig på datorcertifikat som har utfärdats av en AD CS-certifikatutfärdare (Active Directory Certificate Services) för autentisering av IPsec-sessioner och IP-HTTPS-baserade anslutningar.

Nätverksplatsserver

En nätverksplatsserver är en intern nätverksserver som är värd för en HTTPS-baserad URL (Uniform Resource Locator). DirectAccess-klienter kommer åt URL:en för att ta reda på om de finns i det interna nätverket. DirectAccess-servern kan vara nätverksplatsservern men en webbserver med hög tillgänglighet rekommenderas. Webbservern behöver inte vara dedicerad som nätverksplatsserver.

IPv6-aktiverade interna nätverk och program eller en NAT-PT-enhet

DirectAccess-klienter använder uteslutande IPv6 för att komma åt resurser i interna nätverk. DirectAccess-klienter kan därför bara kommunicera med interna nätverksservrar och resurser som kan nås via IPv6. Det finns tre sätt att upprätta IPv6-anslutningar till ett internt nätverk:

  • Konfigurera routningssystemet för det interna nätverket för att stöda inbyggd IPv6. Interna nätverksservrar och program som stöder IPv6 kan då nås. Datorer som kör Windows 7, Windows Server 2008 R2, Windows Vista eller Windows Server 2008 konfigureras för att använda IPv6 som standard.

  • Distribuera Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) i det interna nätverket. Genom att använda ISATAP, kan IPv6-aktiverade interna nätverksservrar och program använda tunnel för IPv6-trafik via det interna nätverket för endast IPv4. Datorer som kör Windows 7, Windows Server 2008 R2, Windows Vista eller Windows Server 2008 stöder ISATAP-värdfunktioner. ISATAP tillåter att dessa datorer använder IPv6 utan krav på inbyggd IPv6-routning. DirectAccess-servern konfigurerar sig själv automatiskt som en ISATAP-router när IPv6-anslutning saknas i det interna nätverket.

  • Använd en Network Address Translation-Protocol Translation (NAT-PT)-enhet för att överföra trafik mellan DirectAccess-klienter som använder IPv6 och servrar och program som bara kan använda IPv4. Windows Server 2008 R2 erbjuder inte NAT-PT-funktioner. NAT-PT-enheter är vanligtvis tillgängliga från växel- och routerleverantörer för skikt 2 och skikt 3 Se dokumentationen för växel och ruter om funktioner och konfigurering för NAT-PT.

Anslutningsmetoder för DirectAccess-klienter

I nedanstående tabell visas möjliga konfigurationer av DirectAccess-klienter och deras motsvarande metod för att skicka IPv6-trafik till DirectAccess-servern.

KlientkonfigurationÖnskad anslutningsmetod

Tilldela en global IPv6-adress

Global IPv6-adress

Tilldela en offentlig IPv4-adress (adresser som inte är i intervallen 10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16)

6to4, en IPv6- överföringsteknik som möjliggör IPv6-anslutningar via IPv4 Internet för värdar eller platser som har en offentlig IPv4-adress.

Tilldela en privat IPv4-adress (adresser som är i intervallen 10.0.0.0/8, 172.16.0.0/12 och 192.168.0.0/16)

Teredo, en IPv6-överföringsteknik som möjliggör IPv6-anslutningar via IPv4 Internet för värdar som har tilldelats en privat IPv4-adress och finns bakom en IPv4-NAT (Network Address Translation)-enhet som inte stöder 6to4-routerfunktioner.

Klienten kan inte ansluta med 6to4 eller Teredo

IP-HTTPS, ett nytt protokoll för Windows 7 och Windows Server 2008 R2 som tillåter att värdar bakom en webbproxyserver eller brandvägg upprättar anslutning genom att skicka IPv6-paket via tunnel i en IPv4-baserad säker HTTPS-session (Hypertext Transfer Protocol). IP-HTTPS används vanligtvis bara om klienten inte kan ansluta till DirectAccess-servern med någon annan IPv6-anslutningsmetod.

Brandväggskonfiguration för DirectAccess-trafik

Externa brandväggar mellan Internet och perimeternätverket måste kunna överföra följande typer av trafik till och från DirectAccess-servern:

  • För inbyggd IPv6-trafik, Internet Control Message Protocol för IPv6 (ICMPv6)-trafik (IPv6 protokoll 58) och IPsec Encapsulating Security Payload (ESP)-trafik (IPv6 protokoll 50).

  • För 6to4-trafik, IPv4-trafik som kapslar in IPv6-trafik (IPv4 protokoll 41).

  • För Teredo-trafik, IPv4-trafik med User Datagram Protocol (UDP) port 3544.

  • För IP-HTTPS-trafik, IPv4-trafik med Transmission Control Protocol (TCP) port 443.

Undantagen t.ex. på den externa brandväggens Internet-gränssnitt blir i följande format:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Interna brandväggar mellan perimeternätverket och det interna nätverket måste kunna överföra följande typer av trafik till och från DirectAccess-servern:

  • För inbyggd IPv6-trafik, alla typer av IPv6-trafik.

  • För ISATAP-trafik, IPv4-trafik som kapslar in IPv6-trafik (IPv4 protokoll 41).

  • För IPv4- och NAT-PT-trafik, all TCP-, UDP- och UDP 500 Internet Key Exchange (IKE)/AuthIP-trafik.

För att tillåta Teredo-baserad anslutning måste du konfigurera och distribuera följande tilläggsregler för Windows-brandväggen med avancerad säkerhet för alla medlemsdatorer i domänen i din organisation:

  • Inkommande ICMPv6-ekobegäranmeddelanden (krävs)

  • Utgående ICMPv6-ekobegäranmeddelanden (rekommenderas)

Använd inte den fördefinierade regeln för inkommande trafik Fil- och skrivardelning (Ekobegäran – ICMPv6-in) eller regeln för utgående trafik Fil- och skrivardelning (Ekobegäran – ICMPv6-ut) i det här syftet. Om du använder dessa fördefinierade regler kan de inaktiveras genom att du stänger av fil- och skrivardelning i en organisation, vilket resulterar i att Teredo-baserad anslutning inte fungerar.

Det enklaste sättet att distribuera dessa inställningar för Windows-brandväggen till alla medlemsdatorer i organisationen är via grupprincipobjektet Standarddomän. Mer information finns i avsnittet Checklista: Implementera en grundläggande principdesign för brandvägg (https://go.microsoft.com/fwlink/?LinkId=147688 (sidan kan vara på engelska)).

Regel 1: Inkommande ICMPv6-ekobegäranmeddelanden

Skapa och aktivera en anpassad regel för inkommande trafik med följande inställningar:

  • Alla program

  • ICMPv6-protokolltyp med ekobegäranmeddelande

  • Alla lokala IP-adresser och fjärr-IP-adresser

  • Tillåt åtgärd

  • Alla profiler (domän, arbete, offentlig)

Denna regel är obligatorisk.

Regel 2: Utgående ICMPv6-ekobegäranmeddelanden

Skapa och aktivera en anpassad regel för utgående trafik med följande inställningar:

  • Alla program

  • ICMPv6-protokolltyp med ekobegäranmeddelande

  • Alla lokala IP-adresser och fjärr-IP-adresser

  • Tillåt åtgärd

  • Alla profiler (domän, arbete, offentlig)

Denna regel rekommenderas som den bästa metoden om du inte använder Windows-brandväggen för att blockera all utgående trafik. I det fallet är denna regel obligatorisk.

Integrering med smartkort

Du kan begära användning av smartkort när DirectAccess-klienter ansluter till DirectAccess-servern. Användare kan logga in i sina datorer och få tillgång till Internet utan ett smartkort, men det krävs smartkortautentisering för att komma åt interna nätverksresurser.

Ytterligare resurser

Information om DirectAccess-integrering med server- och domänisolering och NAP (Network Access Protection) finns på startsidan för DirectAccess på Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (sidan kan vara på engelska)).