DirectAccess med Microsoft UAG: En smart måte å begynne å bruke IPv6

Den utbredte rapporteringen om uttømming av offentlige IPv4-adresser på Internett har ennå ikke innvirkning på mange virksomheter utover Internett-leverandører, så få organisasjoner har distribuert IPv6-teknologi på noen måte. Likevel er IPv6 innebygd i Windows-klient- og serveroperativsystemer, og støttes av Active Directory (AD). De fleste IT-proffene erkjenner at en migrering til IPv6 er uunngåelig, men det har vært mangel på en forretningsmotivasjon for å starte en IPv6-overgang.

Microsoft introduserte en ekstern arbeiderteknologi basert på IPv6 kalt DirectAccess (DA) med Windows Server 2008 R2. Denne løsningen lar datamaskiner hvor som helst på Internett få tilgang til IPv6-baserte bedriftsressurser over det offentlige IPv4-internett. I seg selv (som kun kjører på det grunnleggende Windows 2008 R2-operativsystemet) har DA begrenset anvendelse, i og med at den bare fungerer med et underett av nettverksserverne dine - de som kjører IPv6. Det er også noen kapasitetsbegrensninger, fordi innfødt DA ikke gir en skaleringsfunksjon.

Nytten av DA blir betydelig økt med Microsofts Forefront Unified Access Gateway 2010 (UAG) produkt. Forefront UAG er en overbevisende pakke fordi den løser skaleringsbegrensningene for native DA og legger til en NAT64 gateway-funksjon. NAT64-porten gir tilgang til bare IPv4-ressurser for DirectAccess-klienter; Dette åpner hele ditt private nettverk for tilgang fra eksterne DA-klienter. Med UAG-basert DA trenger du ikke migrere domenekontrollere eller applikasjonsservere til Windows Server 2008 R2.

Det er fortsatt en nøkkelbegrensning: En Forefront UAG DirectAccess-klient må kjøre Windows 7 Enterprise eller Windows 7 Ultimate og være koblet til et Active Directory-domene. Hvis organisasjonen din kan utstyre eksterne arbeidere med disse high-end Windows 7-versjonene og koble datamaskinene sine til domenet ditt, kan en UAG-basert DA ekstern tilgangsløsning være den mest populære nye teknologien du legger til organisasjonen siden virtualisering.

IPv6 overgangsteknologier

UAG-basert DirectAccess pakker administrasjonen av flere måter å tunnelere IPv6 over IPv4-infrastruktur på. Disse metodene er kort beskrevet nedenfor:

  • 6to4 brukes når klienten din har en offentlig IPv4-adresse. 6to4 pakker dataene med en ekstra IP-header og bruker IPv4-protokoll 41.
  • Teredo brukes når klienten din står bak en NAT-enhet. Teredo pakker dataene på UDP-port 3544.
  • IP-HTTPS brukes også bak en NAT-enhet når Teredo blir oppdaget å være utilgjengelig. IP-HTTPS pakker dataene i en SSL-tunnel på port 443.
  • Endelig brukes ISATAP for å gi IPv6-tilkobling til ISATAP-verter over et IPv4-intranett ved hjelp av en NAT64-ruter (for eksempel UAG).
Innstillingene som aktiverer disse overgangsteknologiene på Windows 7-klienten blir presset av AD-gruppepolitikk som vist i figur A. Når du aktiverer DA på UAG-serveren din, opprettes de nødvendige gruppepolicyene automatisk i domenet ditt og kobles til de aktuelle sikkerhetsgruppene.

Figur A

DirectAccess-klienter tildeles IPv6-overgangsteknologiske innstillinger etter gruppepolicy.

Alltid tilkoblede fjernarbeidere

Denne funksjonen i DA-løsningen er ofte årsaken til at organisasjoner først var interessert i DA-teknologi. Mange organisasjoner har søkt en måte å erstatte avhengighet av gamle Virtual Private Network (VPN) -systemer for eksterne arbeidere. DA representerer en gyldig måte å migrere utover VPN-teknologi for eksterne arbeidere.

DA oppnår en sømløs ekstern arbeidsopplevelse som er uten sidestykke i databransjen i dag. DA bruker IPv6-overgangsteknologier for å gi en alltid på, sikker tilkobling for eksterne brukere. DA utnytter konvensjonelle Internett-protokollsikkerhetsregler (IPSEC) for autentisering og kryptering, så det er ingen ekstra klientprogramvarekomponent.

I utgangspunktet forblir interne nettverksressurser tilgjengelige for en DA-klientdatamaskin under alle tilkoblingsscenarier. Hvis datamaskinen har en Internett-tilkobling, kan den brukes som om den alltid var på det lokale bedriftsnettverket. Kartlagte stasjonsbokstaver forblir kartlagt og tilgjengelige. Nettsteder som kun er på intranett kan bla gjennom som om du var i det lokale nettverket. Den mengden behagelige "wow" -faktoren gjør DA til en glede å distribuere.

Håndteringsevne

Eksterne DA-klientdatamaskiner fortsetter å trekke oppdaterte gruppepolicyinnstillinger fra AD-domenet ditt, så lenge de har en Internett-tilkobling. På samme måte fortsetter mange datastyringsapplikasjoner som Microsofts System Center Configuration Manager (SCCM) og Windows Server Update Services (WSUS) å jobbe med DA-klienter. En hyggelig overraskelse for adoptere av DA-teknologi er kjent som 'administrere-out', og effektivt holde eksterne arbeidermaskiner kontinuerlig sikre med konfigurasjons- og oppdateringsadministrasjon. Sanntid, verdensomspennende internettbasert aktivakontroll ved å bruke dine nåværende styringsverktøy er en stor fordel for nesten enhver organisasjon.

Meningsfull, tidlig adopsjon av IPv6

Å distribuere DirectAccess betyr å distribuere IPv6 internt i organisasjonen din. AD-DNS-en vil bli befolket med poster "AAAA" (IPv6-vert). Dine domenekontrollere og andre viktige infrastrukturservere kan nås med IPv6. "Pings" og annen nettverkstrafikk mellom IPv6-aktiverte verter vil begynne å bruke IPv6. Administratorer av disse nettverkene kan med rette hevde at de er fremtidssikret når det gjelder den nye 'Internet Protocol version 6'.

Her er trinnene på høyt nivå for å få en klient til å jobbe i denne løsningen (etter distribusjon av UAG):

  1. Alle innstillinger som er nødvendige for en DA-klient, er i GPO "UAG DirectAccess: Clients ( DA-server-FQDN )". GPO brukes til en AD-sikkerhetsgruppe du utpeker under UAG-oppsett.
  2. Legg til potensielle DA-klientdatakontoer til AD-sikkerhetsgruppen.
  3. Start den potensielle DA-klientdatamaskinen på bedriftens LAN (eller via en oppringt VPN-tilkobling som lar deg koble VPN-en før du logger deg på).
  4. Når du er på LAN eller VPN, må du trekke et datamaskinsertifikat for klienten.
  5. Når du er på LAN eller VPN, må du også sørge for at gruppepolitikken blir oppdatert og at datamaskingruppepolitikken er effektiv.
  6. Datamaskinen er nå en DirectAccess-klient. Fjern datamaskinen fra domenet og ta til et Internett-sted, eller koble den fra VPN.
  7. Du skal kunne fullføre DA-klientvalideringstestene, for eksempel å koble til fildeler og intranett-nettsteder.

© Copyright 2020 | mobilegn.com