Architecting, utrulling og Operating Direct Access (del 3)


Innledning

I de foregående artikler om Direct Access, du lese om Direct Access kjører IPv6 planlegging og adopsjon i bedrifter store og små. Vi dekket dimensjonering og kapasitetsplanlegging for miljøet basert på dine krav, inkludert antall enheter som er DA-aktivert, samt gjennomføringskrav og krypteringstyper som kan konfigureres for tjenesten.


Vi har også berørt på en verdifull del av Direct Access Equation: Forefront Unified Access Gateway 2010 (UAG). Som du planlegger utplassering av Direct Access, er det lurt å ta litt tid til å vurdere UAG, forstår hva det bringer til bordet, og om det er verdt å sette inn i likningen for en Direct Access utplassering i ditt miljø.

Hva er Unified Access Gateway?

Microsoft kjøpte et lite firma som heter Whale Communications i 2006. Whale tilbudt en nisje SSL /VPN produkt som ble konkurrerer med de store nettverksleverandørene (Cisco, Juniper, etc.). Det tilbys en meget rik applikasjon integrasjon for ekstern publisering og en fleksibel vert inspeksjon motoren en anmeldelse systeminnstillinger, for eksempel oppdatert anti-virus, sikkerhetsoppdateringer installert, etc. Denne teknologien utviklet seg til Microsofts Intelligent Application Gateway 2007 (IAG) produkt og senest omdøpt til Forefront Unified Access Gateway 2010 (UAG) utgivelse. UAG installeres på en Windows Server 2008 R2-systemet, er 64-bit og kan enten kjøre på standard servermaskinvare eller kjøpes som en enhet via OEM fra en Microsoft-partner. UAG er designet for å gjøre et par ting veldig bra, som vist i figur 1 og listet opp nedenfor:

  • Publiser programmer eksternt. UAG kan lett brukes til å publisere Exchange-fjerntilgang (f.eks: Outlook Web Access) og Sharepoint eksternt også. UAG har innebygd program-nivå filtrering evner. Denne svært kornete filtrering evne selv kunne stoppe en bruker fra å laste opp innhold via Sharepoint når de er utenfor nettverket, men tillater det når de kommer fra innsiden eller fra en mer pålitelige maskin, for eksempel.
  • Gi en 'ekstern tilgang portal' for en bruker å velge og lansere apps. Du er i stand til å gi en liste over tilgjengelige apps basert på hvem brukeren er, samt hva helsetilstanden deres maskin er. Full IP-tilkobling via en SSL-tunnel er konfigurerbar også.
  • Making Direct Access tilgjengelig via internett. UAG kan fungere som en reverse proxy å akseptere Direct Access tilkoblinger via Internett og legg dem inn i den interne bedriftsnettverket. UAG er også i stand til å gjøre IPv6 < - > IPv4 oversettelse, som gir direkte tilgang tilkobling til 'eldre' enheter internt som kanskje ikke IPv6 adresser


    Figur 1:. Høy arkitektonisk oversikt over UAG evner. (Kilde: technet.microsoft.com)

    UAG er en fin måte å forenkle arkitekturen for direkte tilgang miljø; ved å konsolidere alle eksterne tilkoblinger til noen UAG-servere, er du i stand til å ha en enkelt choke point inn og ut av miljøet til å overvåke klienttilkoblinger. UAG kan ikke erstatte den tradisjonelle SSL /VPN som du har på plass for brukerne i dag, men la oss fokusere på Direct Access publiseringsfunksjonalitet for i forbindelse med denne artikkelen.

    Et siste notat på attraktivitet UAG, spesielt i bedrifts distribusjoner, er UAG lisensiert per server (se ovenfor) og med klientadgangslisenser (CAL) som de fleste Microsoft-produkter. UAG CAL er inkludert i Microsoft Enterprise CAL Suite, som organisasjonen kanskje allerede eier. Dette kan bidra til sizably redusere kostnadene for din Direct Access implementering eller selv bidra til å redusere noen kostnader som du ser til å konsolidere fjerntilgang løsninger. Denne fordelen alene presser mange IT-eksperter for å vurdere hvordan UAG kan være en passe i deres miljø.

    UAG og direkte tilgang

    I et nøtteskall, gjør UAG Direct Access mer fleksibel og gir ekstra søknad evne ved å forenkle noen av oversettelse problemer som kan oppstå flytte fra IPv6 < - > IPv4 innsiden og utsiden av bedriftens nettverk. Et godt eksempel på hvor UAG var i stand til å gi "det bare virker" -funksjonalitet er "peer to peer" type programmer som Microsoft Lync eller Remote Desktop. Den gjør det også for isolering av Direct Access ingress og egress til en 'eksponering' punkt. Fra et sikkerhetsperspektiv, kan organisasjonen være mer komfortabel med en UAG enhet i nettverket kanten kontra en generisk Windows Server 2008 R2. UAG er bygget på toppen av Microsofts Threat Management Gateway (TMG) teknologi, tidligere ISA Server. På et tidspunkt, må Direct Access arkitektur for å være "dual omplassert" med tilkobling til både det eksterne nettverket og bedriftens nettverk; hva bedre sted enn på UAG-enhet? UAG gir også for enkel konfigurasjon av to-faktor autentisering integrert i Direct Access miljø. Smartkort autentisering støttes som er RSA SecurID. Konfigurasjons veivisere og verktøy som er tilgjengelig for UAG virket mye enklere å konfigurere enn noen av de ut av esken konfigurasjonsmuligheter for samme funksjonalitet i Windows Server, som kan sees i Figur 2. UAG og Direct Access funksjonalitet kan sees i Figur 3.


    Figur 2: Direct Access konfigurasjonsveiviseren skjermbilde. (Kilde: blog.konab.com)


    Figur 3: UAG og Direct Access funksjonell dataflyt grafen. (Kilde: blog.concurrency.com)

    lossing godkjennings- og krypterings kravene i Direct infrastruktur tilgang på UAG-enheter er også et attraktivt alternativ. Snarere enn å måtte skalere de enkelte DA servere, kan et robust sett med UAG enhetene støtter kryptering /dekryptering av DA tunneler og utføre autentisering og autorisasjon av endepunktene. En av de mest overbevisende grunn i distribusjon UAG + Direct Access var utvidet tilgang til IPv4-bare ressurser. Med så mange backend-applikasjoner ligger på eldre plattformer uten tvingende grunn til å oppgradere dem, lett å utvide Direct Access uten å begrunne infrastruktur oppgraderinger er en stor fordel

    Distribuere Unified Access Gateway. Uthevet alternativer

    Når de UAG infrastruktur (Windows Server 2008 R2-servere med to fysiske nettverkskort hver) er bygget og programvaren er installert, kan konfigurasjonsmuligheter raskt settes opp på UAG-enheter. Design beslutninger skal gjøres omfatter om ikke å tvinge all trafikk gjennom DA tunnel eller bare internt rutet corpnet trafikk, to-faktor autentisering alternativer, om ikke å aktivere Network Access Protection å håndheve konfigurasjon og klient helse over Direct Access tunnel og flere andre. Hvis du ønsker å bruke IPv4 tilkobling alternativet for servere i ditt miljø, betaler nær oppmerksomhet til IP64 og alternativer DNS64 konfigurasjons (Server Wizard Direct Access - > Manage Direct Access Services - > Identifisere DNS-servere)
    .

    Konfigurering av IPv6-prefiks adresser og godkjenningsalternativer bør også gjennomgås i detalj før du setter UAG foran Direct Access distribusjon. Konfigurerbare alternativer for UAG har rot og midlertidige sertifikater i CA kjeden, IP-HTTPS-sertifikater, helseattester for Network Access Protection, smartkort, og IPsec krypteringsinnstillingarComment.

    Sammendrag

    I korte virker det som UAG er et flott alternativ distribusjon for Direct Access distribusjoner både store og små. Den enkle konfigurasjonen og "wizard" drevet funksjonalitet lov denne anmelderen å raskt utføre de samme oppgavene for Direct Access setup på en mye enklere måte. Hvis organisasjonen eier allerede UAG klientadgangslisenser i Microsoft avtalen, vurdere UAG som en "må ha" for distribusjonen. Som alltid, integrere det inn i planen så tidlig som mulig vil gjøre distribusjonen mer sømløs og unngå avbrudd i DA tunnel service.