DirectAccess ve Windows 11 Enterprise: Požadavky, nasazení a osvědčené postupy

Pokud pracujete s firemními týmy a mobilitou, pravděpodobně jste slyšeli o DirectAccess, což je nepřetržité připojení, které udržuje uživatele ve spojení. notebooky v síti, aniž by se uživatel musel čehokoli dotknout. V prostředí Windows 11 Enterprise zůstává klíčový spravovaný, bezpečný a transparentní vzdálený přístup., zvláště když historickou alternativou byla VPN tradiční, které vyžadují zásah uživatele a jsou obvykle invazivnější.

Díky technologii DirectAccess se počítače připojené k doméně automaticky připojují k interní síti, když mají přístup k internetu, což vám umožňuje aplikovat zásady, nasazovat software nebo přistupovat k prostředkům bez nutnosti stisknutí tlačítka. Podstatou je tunel zabezpečený protokolem IPsec s branami pro adresování a překlad IPv6, spravovaný z role vzdáleného přístupu v systému Windows Server., určený pro vzdálenou správu a produktivitu.

Co je DirectAccess a proč je důležitý ve Windows 11 Enterprise

DirectAccess je služba v roli vzdáleného přístupu systému Windows Server, která zajišťuje trvalé a zabezpečené připojení mezi klientskými počítači a podnikovým intranetem. Na rozdíl od toho VPN, připojení není iniciováno uživatelem, ale samotným počítačem, jakmile detekuje internet, což nabízí kontinuitu zásad a správy ještě předtím, než se uživatel přihlásí.

Díky tomuto přístupu s neustálou dostupností lze IT oddělení snadno spravovat notebooky, ať už se nacházejí kdekoli: objekty GPO se načítají, interní názvy se řeší a firemní servery se přistupuje, jako by se zařízení nacházelo v kanceláři. Ochrana se pro ověřování a šifrování spoléhá na IPsec a v případě potřeby na IPv6 s přechodovými mechanismy., čímž se dosáhne kompatibility s moderními sítěmi bez narušení funkčnosti starších aplikací.

Dalším důležitým důsledkem je uživatelská zkušenost: není třeba si pamatovat přihlášení, není třeba se zabývat klienty třetích stran a není třeba se zabývat sítěmi, které blokují VPN protokoly. Dokud je internet, tým udržuje „supertunel“ k organizaci.a firemní aplikace fungují přirozeně podle vámi definovaných zásad.

Z bezpečnostního hlediska umožňuje DirectAccess řízení přístupu podle zařízení a uživatele, šifrování typu end-to-end a segmentaci zdrojů, ke kterým je přístup vzdáleně. Od uživatele mohou být vyžadovány počítačové certifikáty, přihlašovací údaje k doméně a dokonce i čipová karta., čímž se zvyšuje laťka proti neoprávněnému přístupu.

Kompatibilita a předpoklady

DirectAccess funguje pouze s klienty připojenými k doméně, jejichž operační systém tuto funkci podporuje. Historicky se zákazníci zaměřovali na Windows Enterprise a ekvivalentní edice.a na serverech se role nachází v rámci vzdáleného přístupu.

Podpora serverů, které mohou fungovat jako server DirectAccess nebo jako klient pro laboratorní testování: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 a Windows Server 2008 R2Všechny tyto verze mohou tuto roli plnit, s výrazným zjednodušením počínaje rokem 2012.

Kompatibilita s klientem: Windows 10 Enterprise a Windows 10 Enterprise LTSB, Windows 8 a 8.1 Enterprise, Windows 7 Enterprise a UltimateNa těchto klientech se používají objekty GPO DirectAccess a po detekci internetu se vytvářejí tunely IPsec.

Běžné obecné požadavky: Povolit bránu firewall systému Windows ve všech profilech, mít funkční nebo nezakázaný IPv6 a mít funkční interní DNS. Kromě toho je v mnoha scénářích PKI vyžadováno k vydávání počítačových a případně uživatelských certifikátů., zejména pokud používáte pokročilé konfigurace nebo prostředí s verzí 2008 R2.

Týkající se technické vybavení Síť serveru pro vzdálený přístup (RPA) vyžaduje typická topologie dvě rozhraní: jedno směrem k intranetu a jedno směrem k internetu nebo perimetru. V systému Windows Server 2008 R2 byly vyžadovány dvě sousedící veřejné IP adresy; v systému Windows Server 2012 R2 stačí jedna veřejná IP adresa., což publikaci značně zjednodušuje.

Scénáře nasazení a dostupné průvodce

Role Vzdálený přístup obsahuje průvodce, kteří urychlují nastavení. Existují dvě široce používané cesty: jeden server s Průvodcem Začínáme a jeden server s pokročilou konfigurací.Každá trasa aktivuje nebo omezuje možnosti, které zjednodušují zážitek nebo umožňují složitější scénáře.

Požadavky Průvodce spuštěním jednoho serveru jsou jasné: Brána firewall systému Windows aktivní na všech profilech, klienti podporováni ve Windows 10, 8 a 8.1 Enterprise, není vyžadována žádná PKI., ověřování pomocí doménových přihlašovacích údajů a žádné vynucené tunelování (internetový provoz není směrován přes server).

Tento průvodce automaticky nasadí DirectAccess na mobilní zařízení v aktuální doméně a použije samotný server jako server pro určování umístění v síti (NLS), což je sonda, kterou klienti používají k detekci, zda jsou uvnitř nebo venku. Neexistuje žádná podpora pro NAP ani pro změnu zásad mimo konzoli DirectAccess nebo rutiny. PowerShella v tomto základním režimu nepodporuje dvoufaktorové ověřování.

Pro současná nebo budoucí prostředí s více pracovišti nebo tam, kde potřebujete vynutit specifické zásady, se doporučuje použít Průvodce pokročilou konfigurací. V tomto případě je pro certifikáty vyžadována PKI, je zachován požadavek na aktivní firewall a je povoleno více matic kompatibility., včetně serverů 2016, 2012 R2, 2012 a 2008 R2 jako základu.

Existují také technická omezení, která by měla být také předem známa: Vynucené tunelování pomocí KerbProxy není podporováno, změna zásad mimo konzoli nebo PowerShell není podporována a oddělení rolí NAT64/DNS64 a IP-HTTPS na jiný server není povoleno.Tato omezení zabraňují překvapením během auditů nebo prodloužení.

Architektura a zabezpečení: IPv6, IPsec a duální tunelování

DirectAccess funguje na principu IPv6 a IPsec. I když váš intranet používá IPv4, server pro vzdálený přístup v případě potřeby překládá protokol NAT64/DNS64, takže aplikace se stále dostávají k serverům, které nepoužívají IPv6. To umožňuje hladký přechod bez nutnosti přestavování sítě., ale s respektováním bezpečnostního modelu IPsec od klienta až po interní zdroje.

Klient vytvoří dva samostatné tunely IPsec. První, tunel založený na počítači, je vytvořen s certifikátem počítače a dosahuje interních řadičů domény a DNS. Díky tomuto tunelu se stahují objekty GPO a provádí se ověřování uživatelů. i když jste mimo kancelář.

Druhý tunel, uživatelský tunel, kombinuje certifikát zařízení s přihlašovacími údaji uživatele a otevírá tak přístup k autorizovaným interním aplikačním serverům a datům. Tento tunel musí být aktivní, než budou moci aplikace jako Outlook přistupovat k firemnímu e-mailu.nebo jakoukoli jinou službu, kterou jste povolili.

Pokud jde o šifrování, IPsec podporuje robustní algoritmy jako AES nebo 3DES; sady můžete upravit tak, aby vyvážily zabezpečení a výkon. Volitelně může být pro ověření uživatele vyžadována čipová karta, což zvyšuje úroveň zabezpečení vzdáleného přístupu. bez nutnosti nasazení softwaru třetích stran na klienta.

Řízení přístupu může být end-to-end nebo end-to-perimeter. V end-to-end řešení klient navazuje relace IPsec přímo s aplikačními servery, čímž dosahuje maximální izolace a kontroly. Tento scénář vyžaduje, aby aplikační servery používaly systém Windows Server 2008 nebo 2008 R2 a podporovaly protokoly IPv6 a IPsec., a proto je obvykle vyhrazen pro organizace s technologickou homogenitou.

Pokud nemůžete vynutit IPsec ve vaší intranetu, end-to-end režim umožňuje ukončit IPsec na serveru DirectAccess nebo bráně IPsec, která pak přeposílá nešifrovaný provoz na interní servery. Je více podobná klasické VPN a snáze se začleňuje do prostředí s heterogenními aplikacemi..

Topologie laboratoří a požadavky na infrastrukturu

Pro testování a doladění řešení se doporučuje realistické laboratoř. Typické nastavení zahrnuje řadič domény, členský server, který funguje jako NLS a obsluhuje testovací zdroje, server pro vzdálený přístup s přístupem k internetu a klienta připojeného k doméně. Pro simulaci internetu můžete přidat externího poskytovatele internetových služeb typu DNS a počítač s NAT nebo router které představují veřejnou konektivitu.

Ve verzích R2008 z roku 2 byly požadavky náročnější: explicitní připojení IPv6, PKI a dvě sousedící adresy IPv4 na perimetru. Od verze Windows Server 2012 se situace změnila: stačí v síti nevypínat IPv6 a mít pouze jednu veřejnou IP adresu., což zjednodušuje a snižuje náklady na nasazení pro malé a střední podniky.

Pro server vzdáleného přístupu se doporučují dvě síťová rozhraní: jedno pro lokální síť (LAN) a jedno pro internet nebo DMZ. Pokud používáte systém 2008 R2, budete potřebovat dvě veřejné IP adresy; s verzí 2012 R2 stačí jedna. Brána firewall systému Windows musí být aktivní ve všech profilech na serveru i klientech., protože na něm závisí zásady a pravidla průvodce.

Pro klienty jsou nejlepšími kandidáty počítače s operačním systémem Windows Enterprise (8, 8.1, 10 a ekvivalentní edice), připojené k doméně a s povoleným protokolem IPv6. Systém Windows 7 Enterprise nebo Ultimate vyžaduje pro počítačové certifikáty infrastrukturu veřejných klíčů (PKI)., což je aspekt, který je třeba plánovat, pokud udržujete smíšený park.

Infrastruktura certifikátů (PKI) je volitelná v počátečním režimu verze 2012 R2, ale vyžadovaná v pokročilých konfiguracích nebo s verzí 2008 R2. Naplánujte hierarchii certifikačních autorit, šablony certifikátů a automatickou distribuci pomocí GPO aby se předešlo úzkým místům v podpoře a zajistilo se včasné obnovení.

DirectAccess vs. tradiční VPN: Kdy použít který z nich

VPN je zavedený standard pro vzdálený přístup s řadou protokolů a podporou MFA. Jeho největší slabinou je, že je závislý na uživateli a kompatibilitě místa, odkud je připojen.a jeho administrace se komplikuje s růstem počtu souběžných připojení.

DirectAccess se zaměřuje na neustálé připojení a správu zařízení ještě předtím, než se uživatel přihlásí. To zlepšuje zabezpečení a podporu., a zároveň snižuje tření pro uživatele a zabraňuje dalším zákazníkům.

V náročných prostředích mnoho organizací kombinuje obě technologie: DirectAccess pro spravovaná zařízení připojená k doméně a VPN pro systémy třetích stran nebo systémy, které nejsou v souladu s předpisy. V cloudu se můžete spolehnout i na brány typu point-to-site nebo site-to-site., lepší integrace obou realit, aniž by se vynucovala jediná cesta.

Důležité jsou také náklady a složitost. Rozsáhlé VPN sítě vyžadují pro dosažení špičkového výkonu licence a vysoce výkonný hardware. DirectAccess může znovu využít stávající infrastrukturu Windows, zejména počínaje systémem Windows Server 2012, což snižuje investice a zrychluje dobu návratnosti investic.

Administrace pomocí RSAT ve Windows 11 a její vztah k DirectAccess

V systému Windows 11 Enterprise můžete nainstalovat funkce RSAT jako volitelné systémové funkce, aniž byste museli descargas oddělené. RSAT obsahuje sadu nástrojů pro směrování, DirectAccess a vzdálený přístup., což je užitečné pro správu role z administrativního počítače namísto připojení k serveru.

Chcete-li je povolit z grafického rozhraní, otevřete Nastavení, přejděte do sekce Aplikace a poté do sekce Volitelné funkce. Do vyhledávacího pole zadejte RSAT a vyberte funkce, které pro svůj provoz potřebujete. Systém Windows přidá nástroje a budou dostupné ve Správci serveru a v nabídce Nástroje., se stejným centralizovaným přístupem jako vždy.

Pokud dáváte přednost řadě příkazy, je také možné použít DISM nebo PowerShell k instalaci nebo odebrání funkcí na vyžádání, ačkoli grafická cesta je nejpřímější způsob, jak začít. Nezapomeňte, že RSAT vyžaduje edice Business nebo Enterprise a že je nejlepší spravovat z posílených stanic s MFA. aby se neotevíraly zbytečné dveře.

Odinstalace je stejně snadná i z Volitelných funkcí, kde také uvidíte historii změn. Před odebráním komponenty ověřte závislosti mezi nástroji RSAT., protože odstranění nadřazeného kusu může způsobit nefunkčnost podřízeného kusu.

Zásady, limity a osvědčené provozní postupy

Průvodce Začínáme používá pro zjednodušení určitá omezení: nedochází k vynucenému tunelování, NAP není podporován a nelze měnit zásady mimo jeho konzoli nebo podporované rutiny. Tato omezení zabraňují nekonzistentním konfiguracím a snižují povrch selhání., za cenu menší flexibility.

Pro složité scénáře (více pracovišť, požadavky na audit, specifické certifikáty, pokročilá segmentace) zvolte pokročilou konfiguraci. I když přidává požadavek PKI, umožní vám lépe modelovat zabezpečení a směrování.a připraví vás na růst hybridů.

V zabezpečení definujte bezpečnostní skupiny pro vzdálený přístup a aplikujte vrstvené zásady IPsec. Zvažte vyžadování vícefaktorového ověřování pro uživatele na úrovni kritické aplikace., a to i v případě, že DirectAccess v základním režimu nepovoluje 2FA na samotném tunelu.

Sledujte stav tunelů a klientů pomocí konzolí rolí a Správce serveru. Telemetrie vám pomůže odhalit zařízení, která nejsou v souladu s předpisy, problémy s překladem DNS nebo blokování bránou firewall., které jsou nejčastějšími příčinami incidentů.

Nakonec zdokumentujte NLS a jeho vysokou dostupnost. Pokud NLS dojde k výpadku a klienti si myslí, že jsou mimo interní síť, i když to tak není, řešení problémů se zkomplikuje. Redundantní a monitorovaná NLS v letech 2012/2016 zabraňuje falešně pozitivním výsledkům a zajišťuje kontinuitu..

DirectAccess zůstává robustním řešením pro počítače spravované systémem Windows Enterprise a zajišťuje nepřetržité připojení, vzdálenou správu a zabezpečení založené na protokolu IPsec bez nutnosti zásahu uživatele. Naplánujte si požadavky, vyberte si správného průvodce a spolehněte se na RSAT, který bude spravovat a sladit architekturu s vašimi zásadami. pro plynulý a bezpečný provoz ve Windows 11 Enterprise.