Нехватка публичных интернет-адресов стандарта IPv4, о которой сегодня так много говорят, пока не затронула большинство организаций, за исключением интернет-провайдеров. Поэтому лишь очень немногие компании используют IPv6 в каком-либо формате. Тем не менее, поддержка IPv6 встроена в клиентские и серверные операционные системы Windows, а также в Active Directory (AD). Большинство IT-специалистов признает, что переход на IPv6 неизбежен, но бизнес пока ничто не мотивирует к этому переходу.
Компания Microsoft реализовала в Windows Server 2008 R2 технологию DirectAccess (DA) для удаленной работы, основанную на протоколе IPv6. Это решение позволяет подключаться к корпоративным ресурсам, использующим IPv6, с любого подсоединенного к Интернету компьютера, имеющего публичный адрес IPv4. При развертывании исключительно на основе Windows 2008 R2 эта технология имеет весьма ограниченное применение, поскольку работает только с сетевыми серверами, использующими IPv6. Кроме того, имеются определенные ограничения с точки зрения емкости, поскольку в нативном варианте DA не поддерживает масштабирование.
Возможности применения DA значительно расширяет решение Microsoft Forefront Unified Access Gateway 2010 (UAG). Этот мощный продукт снимает нативные ограничения DA по масштабированию и дополняет функциональность данной технологии шлюзом NAT64. Шлюз NAT64 обеспечивает клиентам DirectAccess доступ к ресурсам, работающим исключительно на базе протокола IPv4, что делает всю частную сеть доступной для удаленных клиентов DA. Применение DA на основе UAG избавляет от необходимости переводить контроллеры домена и серверы приложений на Windows Server 2008 R2.
Остается одно важное ограничение: клиент Forefront UAG DirectAccess должен работать под управлением Windows 7 Enterprise или Windows 7 Ultimate и состоять в домене Active Directory (AD). Если компания может снабдить всех удаленных сотрудников топовыми версиями Windows 7 и включить их компьютеры в свой домен, решение удаленного доступа DA на основе UAG может оказаться для нее самой популярной новой технологией со времен виртуализации.
Механизмы перехода на IPv6
DirectAccess на основе UAG позволяет управлять сразу несколькими методами туннелирования IPv6 в инфраструктуре IPv4. Ниже приводится краткое описание каждой из этих технологий:
• 6to4 применяется, когда клиент использует публичный адрес IPv4. Данная технология упаковывает данные с использованием дополнительного заголовка IP-пакета и передает по IPv4 с типом протокола 41. • Teredo применяется, когда клиент защищен NAT. Данная технология упаковывает данные с использованием порта UDP 3544. • IP-HTTPS применяется, когда клиент защищен NAT, а протокол Teredo недоступен. IP-HTTPS упаковывает данные и передает через туннель SSL с использованием порта 443. • ISATAP обеспечивает возможность подключения по IPv6 к хостам ISATAP во внутренней сети IPv4 с использованием маршрутизатора NAT64 (например, UAG).
Настройки для этих механизмов перехода включаются на клиентских системах под управлением Windows 7 посредством групповой политики AD (рис. A). При включении DA на сервере UAG в домене автоматически создаются необходимые групповые политики и привязываются к соответствующим группам безопасности.
Рисунок A. Клиенты DirectAccess получают настройки механизмов перехода на IPv6 посредством групповой политики.
Постоянное подключение для удаленных сотрудников
Именно эта возможность DA изначально заинтересовала большинство организаций в данной технологии. Многие компании ищут способ избавления от устаревших механизмов виртуальной частной сети (VPN) в работе с удаленными сотрудниками. DA предлагает жизнеспособную альтернативу VPN в этом отношении.
DA обеспечивает беспрецедентные на сегодняшний день возможности для удаленного подключения. С использованием механизмов перехода на IPv6, данная технология обеспечивает удаленным пользователям постоянное защищенное подключение к корпоративной сети. Для авторизации и шифрования применяются традиционные политики Internet Protocol Security (IPSEC), так что установка дополнительного клиентского ПО не требуется.
По сути, ресурсы внутренней сети остаются доступны клиенту DA при любом сценарии подключения. Пока компьютер подключен к Интернету, он работает так, как будто постоянно находится в локальной корпоративной сети. Сетевые диски остаются доступны под прежними метками, внутренние веб-сайты можно посещать точно так же, как в локальной сети. Благодаря такому удобству DA для конечного пользователя, внедрять эту технологию – одно удовольствие.
Возможности удаленного управления
Удаленные клиенты DA регулярно получают свежие настройки групповой политики домена AD, покуда они подключены к Интернету. Многие средства управления, в том числе Microsoft System Center Configuration Manager (SCCM) и Windows Server Update Services (WSUS), тоже работают с клиентскими системами DA. Для тех, кто внедряет DA, возможность удаленного управления становится приятным сюрпризом, позволяя непрерывно обеспечивать безопасность компьютеров удаленных сотрудников за счет своевременного конфигурирования и обновления. Возможность управлять удаленными системами по всему миру в режиме реального времени с использованием привычных инструментов приносит огромную выгоду практически любой организации.
Удобный, ранний переход на IPv6
Развертывание DirectAccess означает переход на IPv6 в рамках организации. В DNS домена AD появятся записи типа AAAA (записи хоста IPv6). К контроллерам домена и другим ключевым инфраструктурным серверам можно будет получить доступ по IPv6. Пинги и другой сетевой трафик между хостами, поддерживающими IPv6, будут передаваться с использованием IPv6. Администраторы такой сети смогут на полных основаниях утверждать, что они готовы к будущему в том, что касается нового «протокола Интернета версии 6».
Вот, в общих чертах, какие действия нужно проделать, чтобы подключить клиентский компьютер к сети с использованием DA (после развертывания UAG):
1. Все настройки, необходимые клиенту DA, содержит объект групповой политики «UAG DirectAccess: Clients (DA-server-FQDN)». Этот объект применяется к группе безопасности AD, указанной в процессе установки UAG. 2. Добавьте учетные записи будущего клиентского компьютера DA в группу безопасности AD. 3. Подключите клиентский компьютер DA к корпоративной локальной сети (LAN) или через модем к VPN, при условии, что сетевое соединение VPN можно установить до входа в систему. 4. Подключившись к LAN или VPN, получите сертификат компьютера для клиента. 5. Не покидая LAN или VPN, убедитесь, что групповая политика обновлена и вступила в действие для данного компьютера. 6. Теперь компьютер является клиентом DirectAccess. Отсоедините его от домена и выйдите в Интернет или отключитесь от VPN. 7. После этого компьютер должен с успехом пройти тесты на проверку клиента DA – такие, как подключение к общим ресурсам и веб-сайтам во внутренней сети.