- DirectAccess biedt altijd beschikbare connectiviteit en veilig beheer op afstand met IPsec en IPv6 voor computers die zijn aangesloten bij een domein.
- Er zijn twee implementatiepaden: basiswizard zonder PKI en geavanceerde configuratie met PKI en meer controle.
- Brede compatibiliteit in Windows Server 2012/2016 en Enterprise-clients; RSAT maakt beheer eenvoudiger Windows 11.
- Gelaagde beveiliging: dubbele tunneling, apparaat-/gebruikerscontrole en operationele procedures die incidenten voorkomen.
Als u met zakelijke teams en mobiele apparaten werkt, hebt u waarschijnlijk wel eens van DirectAccess gehoord: een altijd beschikbare verbinding waarmee gebruikers verbonden blijven. portable binnen het netwerk zonder dat de gebruiker iets hoeft aan te raken. In Windows 11 Enterprise-omgevingen blijft beheerde, veilige en transparante toegang op afstand essentieel., vooral wanneer het historische alternatief de VPN Traditionele acties vereisen actie van de gebruiker en zijn meestal ingrijpender.
Met DirectAccess maken computers die lid zijn van een domein automatisch verbinding met het interne netwerk wanneer ze toegang hebben tot internet. Zo kunt u beleid toepassen, software implementeren en toegang krijgen tot bronnen zonder dat u op een knop hoeft te drukken. De essentie is een IPsec-beveiligde tunnel met IPv6-adressering en vertaalgateways, beheerd vanuit de rol Externe toegang in Windows Server., ontworpen voor beheer en productiviteit op afstand.
Wat is DirectAccess en waarom is het belangrijk in Windows 11 Enterprise?
DirectAccess is een service in de Windows Server Remote Access-rol die permanente, veilige connectiviteit tot stand brengt tussen clientcomputers en het bedrijfsintranet. In tegenstelling tot een VPN wordt de verbinding niet door de gebruiker zelf geïnitieerd, maar door de computer zelf zodra deze verbinding maakt met het internet., waardoor beleid en beheercontinuïteit gewaarborgd zijn, zelfs voordat de gebruiker inlogt.
Dankzij deze always-on-aanpak kan IT eenvoudig laptops beheren, waar ze zich ook bevinden: GPO's worden opgehaald, interne namen worden omgezet en bedrijfsservers zijn toegankelijk alsof het apparaat op kantoor staat. De beveiliging is afhankelijk van IPsec voor authenticatie en encryptie en IPv6 met overgangsmechanismen indien nodig., waardoor compatibiliteit met moderne netwerken wordt bereikt zonder dat oudere applicaties kapot gaan.
Een ander belangrijk gevolg is de gebruikerservaring: u hoeft niet meer te onthouden dat u moet inloggen, u hebt geen last van externe clients en u hebt geen last van netwerken die VPN-protocollen blokkeren. Zolang er internet is, onderhoudt het team de 'supertunnel' naar de organisatieen bedrijfsapplicaties werken op natuurlijke wijze volgens het beleid dat u definieert.
Vanuit een beveiligingsperspectief maakt DirectAccess toegangscontrole per apparaat en gebruiker, end-to-end-encryptie en segmentering van op afstand toegankelijke bronnen mogelijk. Mogelijk zijn computercertificaten, domeinreferenties en zelfs een smartcard van de gebruiker vereist., waardoor de lat hoger komt te liggen tegen ongeautoriseerde toegang.
Compatibiliteit en vereisten
DirectAccess werkt alleen met clients die lid zijn van een domein en waarvan het besturingssysteem deze functie ondersteunt. De historische focus op de klant lag op Windows Enterprise en vergelijkbare editiesen op servers bevindt de rol zich binnen Remote Access.
Ondersteuning voor servers die kunnen fungeren als een DirectAccess-server of als een labtestclient: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 en Windows Server 2008 R2Al deze versies kunnen deze rol vervullen, met aanzienlijke vereenvoudigingen vanaf 2012.
Clientcompatibiliteit: Windows 10 Enterprise en Windows 10 Enterprise LTSB, Windows 8 en 8.1 Enterprise, Windows 7 Enterprise en UltimateOp deze clients worden DirectAccess GPO's toegepast en worden IPsec-tunnels opgezet zodra internet wordt gedetecteerd.
Algemene vereisten: Windows Firewall moet op alle profielen ingeschakeld zijn, IPv6 moet werken of niet uitgeschakeld zijn en een functionele interne DNS moet aanwezig zijn. Daarnaast is PKI in veel scenario's vereist om computer- en, indien van toepassing, gebruikerscertificaten uit te geven., vooral wanneer u geavanceerde configuraties of omgevingen toepast met 2008 R2.
Wat betreft hardware Voor een servernetwerk met externe toegang zijn doorgaans twee interfaces nodig: één richting het intranet en één richting het internet of de perimeter. In Windows Server 2008 R2 waren twee aaneengesloten openbare IP-adressen vereist; bij Windows Server 2012 R2 is één openbaar IP-adres voldoende., waardoor de publicatie aanzienlijk vereenvoudigd wordt.
Implementatiescenario's en beschikbare wizards
De rol Externe toegang omvat wizards die uw installatie versnellen. Er zijn twee veelgebruikte paden: een enkele server met de wizard Aan de slag en een enkele server met geavanceerde configuratieElke route activeert of beperkt opties om de ervaring te vereenvoudigen of om complexere scenario's mogelijk te maken.
Met de Single Server Getting Started Wizard zijn de vereisten duidelijk: Windows Firewall actief op alle profielen, clients ondersteund op Windows 10, 8 en 8.1 Enterprise, geen PKI vereist, authenticatie met domeinreferenties en geen geforceerde tunneling (internetverkeer wordt niet via de server gerouteerd).
Deze wizard implementeert DirectAccess automatisch op mobiele apparaten in het huidige domein en gebruikt de server zelf als de Network Location Server (NLS), de probe die clients gebruiken om te detecteren of ze in- of uitloggen. Er is geen ondersteuning voor NAP en ook niet voor het wijzigen van beleid buiten de DirectAccess-console of cmdlets. PowerShellen ondersteunt geen tweefactorauthenticatie in deze basismodus.
Voor huidige of toekomstige omgevingen met meerdere sites, of wanneer u specifieke beleidsregels moet afdwingen, raden we u aan de wizard Geavanceerde configuratie te gebruiken. In dit geval is PKI vereist voor certificaten, blijft de actieve firewallvereiste gehandhaafd en zijn er meer compatibiliteitsmatrices ingeschakeld., inclusief 2016, 2012 R2, 2012 en 2008 R2 servers als basis.
Er zijn technische limieten die ook van tevoren bekend moeten zijn: Geforceerde tunneling met KerbProxy wordt niet ondersteund, het wijzigen van beleid buiten uw console of PowerShell wordt niet ondersteund en het scheiden van de NAT64/DNS64- en IP-HTTPS-rollen naar een andere server is niet toegestaan.Deze beperkingen voorkomen verrassingen tijdens audits of verlengingen.
Architectuur en beveiliging: IPv6, IPsec en dual tunneling
DirectAccess werkt op basis van IPv6 en IPsec. Zelfs als uw intranet IPv4 is, vertaalt de Remote Access-server indien nodig via NAT64/DNS64, zodat applicaties ook servers bereiken die geen IPv6 ondersteunen. Dit zorgt voor een soepele overgang zonder dat u uw netwerk opnieuw hoeft aan te leggen., maar met respect voor het IPsec-beveiligingsmodel van de client tot aan de interne bronnen.
De client creëert twee afzonderlijke IPsec-tunnels. De eerste, de machinegebaseerde tunnel, wordt tot stand gebracht met een machinecertificaat en bereikt interne domeincontrollers en DNS. Dankzij deze tunnel worden GPO's gedownload en wordt gebruikersauthenticatie uitgevoerd. zelfs als u niet op kantoor bent.
De tweede tunnel, de gebruikerstunnel, combineert het apparaatcertificaat met de inloggegevens van de gebruiker, waardoor toegang wordt geboden tot geautoriseerde interne applicatieservers en gegevens. Deze tunnel moet actief zijn voordat toepassingen zoals Outlook toegang krijgen tot bedrijfs-e-mail., of een andere dienst die u hebt toegestaan.
Wat encryptie betreft, ondersteunt IPsec robuuste algoritmes zoals AES of 3DES. U kunt de algoritmes aanpassen om een balans te vinden tussen beveiliging en prestaties. Optioneel kan een smartcard vereist zijn voor gebruikersauthenticatie, waardoor het beveiligingsniveau van externe toegang wordt verhoogd. zonder dat er software van derden op de client hoeft te worden geïnstalleerd.
Toegangscontrole kan end-to-end of end-to-perimeter zijn. Bij end-to-end maakt de client rechtstreeks IPsec-sessies met de applicatieservers, wat zorgt voor maximale isolatie en controle. Voor dit scenario is het nodig dat applicatieservers Windows Server 2008 of 2008 R2 gebruiken en IPv6 en IPsec ondersteunen., en daarom wordt het meestal gereserveerd voor organisaties met technologische homogeniteit.
Als u IPsec niet op uw intranet kunt afdwingen, kunt u met de end-to-endmodus IPsec beëindigen bij de DirectAccess-server of een IPsec-gateway, die vervolgens ongecodeerd verkeer doorstuurt naar interne servers. Het lijkt meer op een klassieke VPN en is eenvoudiger te integreren in omgevingen met heterogene applicaties..
Laboratoriumtopologieën en infrastructuurvereisten
Een realistisch lab wordt aanbevolen voor het testen en verfijnen van de oplossing. Een typische opstelling bestaat uit een domeincontroller, een lidserver die fungeert als NLS en testbronnen bedient, de Remote Access-server met internettoegang en een client die lid is van het domein. Om het internet te simuleren kunt u een externe ISP-type DNS en een computer met NAT of een router die openbare connectiviteit vertegenwoordigen.
In de 2008 R2-versies waren de vereisten strenger: expliciete IPv6-connectiviteit, PKI en twee aaneengesloten IPv4-adressen aan de perimeter. Sinds Windows Server 2012 is de situatie veranderd: het is voldoende om IPv6 op het netwerk niet uit te schakelen en slechts één openbaar IP-adres te hebben., wat de implementatie voor het MKB vereenvoudigt en de kosten ervan verlaagt.
Voor de Remote Access-server worden twee netwerkinterfaces aanbevolen: één voor het LAN en één voor internet of DMZ. Als u 2008 R2 gebruikt, hebt u twee openbare IP-adressen nodig; met 2012 R2 is één voldoende. Windows Firewall moet actief zijn in alle profielen op zowel de server als de clients., omdat het beleid en de regels van de wizard hiervan afhankelijk zijn.
Voor klanten zijn de beste kandidaten computers die draaien op Windows Enterprise (8, 8.1, 10 en vergelijkbare edities), die zijn aangesloten op het domein en waarop IPv6 is ingeschakeld. Windows 7 Enterprise of Ultimate vereist PKI voor computercertificaten., een aspect om te plannen als u een gemengd park onderhoudt.
De certificaatinfrastructuur (PKI) is optioneel in de initiële modus van 2012 R2, maar vereist in geavanceerde configuraties of met 2008 R2. Plan CA-hiërarchie, certificaatsjablonen en geautomatiseerde distributie met behulp van GPO om knelpunten in de ondersteuning te voorkomen en tijdige verlengingen te garanderen.
DirectAccess versus traditionele VPN: wanneer moet u welke gebruiken?
VPN is een gevestigde standaard voor externe toegang, met een groot aantal protocollen en MFA-ondersteuning. Het grootste nadeel is dat het afhankelijk is van de gebruiker en de compatibiliteit van de plek waar verbinding wordt gemaakt.en het beheer ervan wordt ingewikkelder naarmate er meer gelijktijdige verbindingen ontstaan.
DirectAccess richt zich op permanente connectiviteit en apparaatbeheer, nog voordat de gebruiker inlogt. Hierdoor worden de beveiliging en de ondersteuningservaring verbeterd., terwijl tegelijkertijd de wrijving voor de gebruiker wordt verminderd en extra klanten worden vermeden.
In veeleisende omgevingen combineren veel organisaties beide technologieën: DirectAccess voor beheerde apparaten die zijn gekoppeld aan een domein en VPN voor systemen van derden of niet-conforme systemen. U kunt zelfs vertrouwen op point-to-site- of site-to-site-gateways in de cloud., waardoor de twee realiteiten beter worden geïntegreerd zonder dat er één pad wordt geforceerd.
Kosten en complexiteit spelen ook een rol. Grootschalige VPN's vereisen licenties en krachtige hardware voor optimale prestaties. DirectAccess kan bestaande Windows-infrastructuur hergebruiken, vooral vanaf Windows Server 2012, waardoor de investering wordt verlaagd en de time-to-value wordt versneld.
Beheer met RSAT in Windows 11 en de relatie met DirectAccess
In Windows 11 Enterprise kunt u RSAT-functies installeren als optionele systeemfuncties, zonder downloads gescheiden. Binnen RSAT is er een set Routing-, DirectAccess- en Remote Access-tools, handig voor het beheren van de rol vanaf een beheercomputer in plaats van verbinding te maken met de server.
Om ze via de GUI in te schakelen, opent u Instellingen, gaat u naar Apps en vervolgens naar Optionele functies. Gebruik het zoekvak door RSAT te typen en selecteer de functies die u nodig hebt voor uw bedrijf. Windows voegt de hulpmiddelen toe en deze zijn beschikbaar via Serverbeheer en het menu Extra., met dezelfde gecentraliseerde aanpak als altijd.
Als u de voorkeur geeft aan een lijn van commando'sU kunt ook DISM of PowerShell gebruiken om functies op aanvraag te installeren of verwijderen, maar de grafische route is de meest directe manier om te beginnen. Houd er rekening mee dat RSAT de Business- of Enterprise-editie vereist en dat het het beste is om te beheren vanaf beveiligde stations met MFA. om geen onnodige deuren te openen.
Verwijderen gaat net zo eenvoudig via Optionele functies, waar u ook de wijzigingsgeschiedenis kunt bekijken. Voordat u een component verwijdert, moet u de afhankelijkheden tussen RSAT-tools valideren., omdat het verwijderen van een superieur stuk een ondergeschikt stuk onfunctioneel kan maken.
Beleid, limieten en goede operationele praktijken
De wizard Aan de slag hanteert bepaalde beperkingen voor de eenvoud: er is geen geforceerde tunneling, NAP wordt niet ondersteund en u kunt geen beleid wijzigen buiten de console of ondersteunde cmdlets. Deze beperkingen voorkomen inconsistente configuraties en verkleinen het faaloppervlak., ten koste van minder flexibiliteit.
Voor complexe scenario's (multisite, auditvereisten, specifieke certificaten, geavanceerde segmentatie) kiest u voor geavanceerde configuratie. Hoewel er een PKI-vereiste wordt toegevoegd, kunt u hiermee de beveiliging en routering beter modelleren.en bereidt je voor op groei of hybriden.
Definieer in de beveiliging beveiligingsgroepen voor externe toegang en pas gelaagde IPsec-beleidsregels toe. Overweeg om multi-factorauthenticatie te vereisen voor gebruikers op het niveau van kritieke applicaties., zelfs als DirectAccess in de basismodus 2FA niet inschakelt op de tunnel zelf.
Controleer de status van tunnels en clients met behulp van de rolconsoles en Serverbeheer. Met telemetrie kunt u apparaten die niet aan de vereisten voldoen, problemen met de DNS-resolutie en blokkades in de firewall opsporen., wat de meest voorkomende oorzaken van incidenten zijn.
Documenteer ten slotte NLS en de hoge beschikbaarheid ervan. Als NLS uitvalt en clients denken dat ze zich buiten het interne netwerk bevinden terwijl dat niet zo is, wordt het oplossen van problemen ingewikkeld. Een redundante en gecontroleerde NLS in 2012/2016 voorkomt vals-positieve resultaten en zorgt voor continuïteit.
DirectAccess blijft een robuuste oplossing voor computers die door Windows Enterprise worden beheerd. Het zorgt voor continue connectiviteit, extern beheer en IPsec-beveiliging zonder dat er tussenkomst van de gebruiker nodig is. Planvereisten, kies de juiste wizard en vertrouw op RSAT om de architectuur te beheren en af te stemmen op uw beleid. voor een soepele en veilige ervaring op Windows 11 Enterprise.
Gepassioneerd schrijver over de wereld van bytes en technologie in het algemeen. Ik deel mijn kennis graag door te schrijven, en dat is wat ik in deze blog ga doen: je de meest interessante dingen laten zien over gadgets, software, hardware, technologische trends en meer. Mijn doel is om u te helpen op een eenvoudige en onderhoudende manier door de digitale wereld te navigeren.