Обзор мастера упрощенного DirectAccess для Windows Server 2012 (часть 1)

Когда речь идет о решениях для обеспечения безопасности удаленного доступа, трудно найти решение лучше, чем Microsoft DirectAccess. DirectAccess решает самые важные проблемы, с которыми мы сталкивались в прошлом, когда речь идет о безопасном, прозрачном и надежном соединении для доступа внешних пользователей к внутренним сетевым ресурсам. Однако добраться туда было довольно сложно.

Если бы вы впервые попробовали DirectAccess в Windows Server 2008 R2, вы могли бы почувствовать себя ребенком, который пошел в цирк, чтобы увидеть «голую даму». Вы видели картины за пределами циркового шатра и вам не терпелось, наконец, увидеть ее лично — пока вы действительно не вошли в шатер и не обнаружили, что вещи не всегда такие, какими их раскручивали. Именно так вы могли себя чувствовать после того, как попытались заставить работать функцию DA в Windows Server 2008 R2. Это звучало здорово, но было так много ограничений и так много сложных ручных требований, что вы покидали опыт, чувствуя себя жертвой игры «приманка и подмена».

Возможно, вы начали свой путь DirectAccess с решения UAG DirectAccess. Если бы это было так, вы могли бы быть более оптимистичными в отношении решения DirectAccess. Мастер UAG DirectAccess упростил развертывание DirectAccess и выполнил большую часть тяжелой работы, необходимой для обеспечения работы DirectAccess. Однако по-прежнему существовало множество фоновых служб, которые необходимо было поддерживать, и существовали некоторые ограничения и «подводные камни», которые частично снижали затраты на DirectAccess и снижали то, что вы считали положительной рентабельностью инвестиций. Не говоря уже о том, что UAG сильно отнял у вас бюджет.

Проблемы развертывания прямого доступа

До Windows Server 2012 существовало несколько препятствий для развертывания решения DirectAccess. Давайте сейчас рассмотрим некоторые из них.

Общедоступные IP-адреса

Одним из самых проблематичных требований для DA до Windows Server 2012 был тот факт, что вам нужно было использовать два последовательных общедоступных IP-адреса на внешнем интерфейсе сервера DirectAccess. Учитывая, что общедоступные IP-адреса (или, по крайней мере, общедоступные IP-адреса IPv4) в наши дни становятся дефицитными, это может быть обременительным требованием, особенно для небольших предприятий. Для крупных организаций проблема заключалась не в доступе к общедоступным адресам, а в том, что специалисты по сетевой безопасности не хотели, чтобы сервер DirectAccess имел эти общедоступные адреса из соображений безопасности.

Проблема PKI

Еще одна проблема как для малых, так и для крупных организаций заключалась в том, что для развертывания DirectAccess требовалось развертывание собственной PKI. Может показаться забавным думать о создании PKI как о проблеме в наше время для бизнеса любого размера, но факт заключается в том, что PKI должны быть тщательно спроектированы и требуют больших административных затрат. Несмотря на то, что «эксперты» уже более десяти лет твердят о том, что инфраструктура открытого ключа станет важной частью сетевой безопасности в будущем, организации всех размеров продолжают тянуть время.

Microsoft, несмотря на свою сильную поддержку PKI в общем решении для обеспечения безопасности, признала тот факт, что PKI не будут универсальными и что те, кто не установил ее сейчас, вряд ли создадут ее в ближайшем будущем. и что должен быть способ разместить этих клиентов. Вот почему вы видите все большее число решений Microsoft, которые обеспечивают развертывание без PKI. Windows Server 2012 DirectAccess является одним из них.

Ушел, чтобы увидеть Волшебника

Это подводит нас к теме этой статьи — упрощенному мастеру DirectAccess. Этот новый мастер предназначен в первую очередь для тех организаций, которые довольны упрощенным развертыванием, которое вводит несколько (но важно учитывать) ограничений. Упрощенный мастер DirectAccess характеризуется следующими преимуществами и ограничениями:

• Требования к PKI отсутствуют. Мастер DirectAccess создаст самозаверяющий сертификат, которому клиенты DirectAccess будут доверять при установке подключения DirectAccess.
• Имеется поддержка конфигурации с одной сетевой картой. Раньше на сервере DirectAccess требовалось как минимум два сетевых адаптера. С помощью нового упрощенного мастера DirectAccess вы можете настроить сервер DirectAccess с одним сетевым адаптером во внутренней сети.
• Общедоступные IP-адреса не требуются. В отличие от «полнофункциональной» версии DirectAccess упрощенная конфигурация DirectAccess позволяет использовать частные адреса на сервере DirectAccess. Это позволяет развернуть сервер DirectAccess за устройством NAT.
• Улучшена производительность соединений IP-HTTPS. Одной из проблем с протоколом IP-HTTPS в прошлом была проблема двойного шифрования и связанные с этим накладные расходы на обработку. В Windows Server 2012 протокол IP-HTTPS использует SSL с нулевым шифрованием. Это позволяет выполнять аутентификацию сервера без необходимости иметь дело с накладными расходами на шифрование TLS. Учетные данные защищены внутри туннеля IPsec, поэтому риски безопасности из-за открытого обмена учетными данными отсутствуют.
• У вас есть сервер сетевого расположения прямо из коробки. При полноценном развертывании DirectAccess вам необходимо развернуть сервер сетевого расположения на каком-либо другом сервере в корпоративной сети. Сервер сетевых расположений используется клиентами DirectAccess для определения того, находятся ли они в данный момент в корпоративной сети. При запуске упрощенного мастера DirectAccess мастер настроит сам сервер DirectAccess в качестве сервера сетевых расположений. Клиенты будут подключаться к серверу сетевого расположения через настраиваемый номер порта TCP, порт TCP 62000.
• Встроенная поддержка NAT64/DNS64. Сервер Windows Server 2008 R2 DirectAccess не включал решение NAT64/DNS64, поэтому вам пришлось настроить внутреннюю сеть, чтобы обеспечить какую-то родную поддержку IPv6. Эта поддержка может включать введение сервера ISATAP, но на самом деле ISATAP не был рассчитан на долгосрочное решение. Решение UAG DirectAccess включало встроенную поддержку ISATAP, но также включало решение NAT64/DNS64, так что вам не требовалась поддержка IPv6 в корпоративной сети. Упрощенное решение DirectAccess не устанавливает сервер ISATAP на сервере DirectAccess. Вместо этого он полагается на NAT64/DNS64, чтобы обеспечить доступ клиента DirectAccess к ресурсам только IPv4.
• Он обеспечивает поддержку только IP-HTTPS. Чтобы использовать альтернативные протоколы перехода IPv6, необходимо как минимум два адреса на сервере DirectAccess, чтобы клиент мог определить, за каким типом устройства NAT он находится. С упрощенным сервером DirectAccess вы можете использовать один IP-адрес на сетевой карте, которая принимает входящие запросы на подключение клиента DirectAccess, но из-за этого поддерживается только протокол перехода IP-HTTPS IPv6.
• Нет поддержки массивов серверов DirectAccess. Для обеспечения высокой доступности обычно требуется настроить массив серверов DirectAccess, где вы настраиваете элементы массива с помощью центральной политики, которая применяется ко всем членам массива. Так это было сделано с решением UAG DirectAccess, но Simplified Wizard не поддерживает это.

Как видите, упрощенная установка немного отличается от полного развертывания DirectAccess. Для крупных организаций основным недостатком является отсутствие высокой доступности, встроенной в решение. Конечно, для этого есть обходные пути, такие как те же, которые вы использовали с решением Windows Server 2008 R2, благодаря чему вы могли настроить серверы DirectAccess как виртуальные машины, а резервные серверы DirectAccess могли работать как холодные резервные серверы.. Это не элегантное решение, но оно работает, хотя и не обеспечивает прозрачного аварийного переключения.

Подготовка лаборатории тестирования упрощенного сервера DirectAccess

В нашей семье мы большие поклонники Test Lab Guides. Том Шиндер и Джо Дэвис несколько лет назад выдвинули идею руководств по лаборатории тестирования, и теперь Microsoft выпускает руководства по лаборатории тестирования для большого количества своих продуктов и технологий. Руководства Test Lab отлично подходят для изучения новых технологий, поскольку все они основаны на общей «Базовой конфигурации», которую вы можете сделать и использовать повторно; это ускоряет процесс тестирования, поскольку вам не нужно создавать специальные лаборатории каждый раз, когда вы хотите протестировать новый продукт или технологию.

Microsoft подготовила ряд руководств по тестированию для Windows Server 2012, и вы можете найти их список здесь. На этой странице даже есть Руководство по лаборатории тестирования, в котором показано, как настроить упрощенное решение DirectAccess. Однако в этом руководстве есть некоторые существенные проблемы, из-за которых мне стоит приложить усилия для написания этой статьи (и для вас, чтобы прочитать ее, прежде чем рисковать), поскольку упрощенное руководство по лаборатории тестирования мастера DirectAccess на самом деле не выделяет основные значения упрощенной конфигурации.

Позвольте мне объяснить, что я имею в виду. Я считаю, что упрощенный мастер DirectAccess предлагает два важных преимущества для малого и среднего бизнеса (и, в некоторой степени, и для более крупных организаций). Это:

• Возможность развертывания решения за устройством NAT
• Возможность развертывания решения с одной сетевой картой

Проблема с упрощенным лабораторным руководством Microsoft по тестированию DirectAccess заключается в том, что оно основано на базовой конфигурации без внесения изменений, необходимых для более реалистичной демонстрации этих значений упрощенного мастера DirectAccess. На рисунке ниже показана сетевая конфигурация, на которой основана упрощенная конфигурация Microsoft DirectAccess.

фигура 1

Как видите, топология сети в Test Lab Guide предназначена в первую очередь для поддержки полноценного развертывания сервера DirectAccess. Вы можете видеть, что на сервере DirectAccess (EDGE1) есть два сетевых интерфейса, а внешний интерфейс EDGE1 имеет два общедоступных IP-адреса. Мне кажется, что это полностью игнорирует дух и философию упрощенной конфигурации DirectAccess.

Вместо этого, чтобы продемонстрировать преимущества упрощенной конфигурации, перед сервером DirectAccess должно быть какое-либо устройство NAT, а сервер DirectAccess (EDGE1) должен быть переконфигурирован для использования одной сетевой карты. Топология сети такой конфигурации будет выглядеть так, как показано на рисунке ниже.

фигура 2

Как вы можете видеть на втором рисунке, есть «пограничное» устройство, которое является устройством NAT (EDGE4). В этой статье я использовал компьютер с Windows Server 2008 R2 в качестве сервера RRAS NAT, выполняющего обратный NAT. Сервер был настроен на переадресацию всех подключений TCP 443 к серверу на IP-адрес EDGE1. Подробнее о том, как настроить Windows Server 2008 R2 в качестве сервера обратного NAT, см. в моей статье о том, как это сделать.

Еще одно изменение, которое необходимо внести в базовую конфигурацию, чтобы это работало, — настроить адрес шлюза по умолчанию в DHCP и на отдельных серверах так, чтобы он был IP-адресом на внутреннем интерфейсе сервера RRAS NAT (EDGE4). Причина этого в том, что EDGE4 теперь является адресом шлюза в Интернет, и даже EDGE1, который представляет собой упрощенный сервер DirectAccess с одной сетевой картой, настроен на использование EDGE4 в качестве шлюза по умолчанию. Это может показаться неправильным, но я гарантирую, что это сработает — как я продемонстрирую во второй части этой серии статей.

С этими небольшими изменениями в базовой конфигурации вы сможете получить полное ощущение и реалистичное представление ценности и операций упрощенной конфигурации DirectAccess, и этим мы займемся в следующий раз.

Резюме

В этой статье мы обсудили некоторые изменения в мастере DirectAccess, которые были включены в Windows Server 2012. Затем мы обсудили некоторые конкретные характеристики — как преимущества, так и ограничения — нового мастера Simplified DirectAccess и способы его использования для поддерживать упрощенную версию DirectAccess. Мы закончили описанием изменений, которые необходимо внести в базовую конфигурацию, если вы хотите получить максимальную отдачу от тестирования упрощенного мастера DirectAccess. Эти изменения в базовой конфигурации позволят вам выполнить шаги, которые я опишу в последующих статьях этой серии. Тогда увидимся! – Деб.