Architecting, utrulling og Operating Direct Access (del 1)


Innledning

I forrige artikkel i denne kolonnen, du leste om direkte tilgang fra Microsoft og hvordan den er å kjøre IPv6 planlegging og adopsjon i enkelte bedrifter. Mens absolutt Direct Access er en av de mer dynamiske og spill skiftende teknologier for å bli integrert i Windows i nyere minne, er det også et komplekst prosjekt som krever planlegging, design, arkitektur og noen rigor i utrulling og drift også. I de neste par artikler vil vi gå gjennom det viktigste på DA og tips og triks for å huske på når du planlegger for fremtiden nettverkstilstand. I denne artikkelen vil vi dekke forutsetning er å planlegge, forberede, planlegge og omfang miljøet av den nye DA utplassering


Planlegging:. Mål to ganger, kuttet en gang

Det første trinnet i prosessen er å sitte ned med nettverk, sikkerhet og andre IT-driftsteam (herunder forretningsenhet representanter som samarbeide med IT) for å vurdere om "for å bruke DA eller ikke å bruke DA". Vanlige spørsmål å stille i bedriften inkluderer:

  • Direct Access gir sømløs tilgang til intranett ressurser for brukerne uavhengig av nettverksplassering; er dette noe som er akseptabelt å din organisasjon fra en risiko vs belønning perspektiv? IT-sikkerhet vil ønske å veie i.
  • Hva med fra et systemadministrasjon perspektiv? Å kunne styre og eksternt "touch" enheter uavhengig av nettverksplassering er veldig fristende fra en IT-drift perspektiv, men hva betyr det nettverk teamet har å si om at ingress og egress trafikken på omkretsen nettverket? En generell god praksis er å krype før du går før du kjører - det er, kanskje din første tilnærming her er å redefinere hva ekstern tilgang betyr for din bedrift og som "verktøy" passer inn i verktøyet brystet for å oppnå det.
  • Er din nåværende VPN løsning å møte brukernes behov? Er en direkte tilgang migrasjon kommer til å øke brukertilfredsheten, redusere helpdesk tilfeller øke sikkerheten eller hva andre mål du prøver å oppnå? Kvantifiserbare beregninger som dette vil hjelpe deg å gjøre business case til ledelsen for Direct Access og de ressursene som kreves for å bruke den. Kanskje de første 6-12 månedene av planen innebærer modernisering din nåværende VPN-løsning (krypende) og gjennomføre noe sånt Internet Based Client Management i System Center Configuration Manager (walking) å kontrollere og administrere IT-ressurser utenfor bedriftens nettverk før distribusjon av Direct Access ( løping).

    Forutsetninger for Direct Access

    OK, du har gjort pre-arbeid og du har satt sammen en arbeidsgruppe med representanter fra ulike deler av organisasjonen - hva er forutsetninger for Direct Access og hva trenger du for å komme i gang? La oss starte med klientsiden; en stor selger punkt for Direct Access er at klienten er fullt integrert i operativsystemet Windows - ikke mer tredjeparts klienter til å administrere eller distribuere, og ingen flere bekymringer om 64-bit vs 32-bits avhengigheter. Imidlertid er direkte tilgang på en liste over "premium" funksjoner som BitLocker Drive Encryption og AppLocker, begge disse krever Windows 7 Enterprise. Pass på at du har riktig versjon av Windows 7 til å distribuere Direct Access. Sørg også for å sjekke med din stasjonære bildebehandling team for å bekrefte at de er distribusjon av Windows 7 Enterprise. Siden Direct Access krever kundene for å ha IPv6 aktivert; sjekk for å være sikker på at ingen bygge prosesser eller konfigurasjonsverktøy deaktiverer eller fjerner IPv6 stabelen fra gullet ditt image.

    Fra en server side, er Direct Access regnes som en "rolle" i et Windows Server 2008 R2 Enterprise utplassering. Du må kanskje en server, eller du kan trenge flere (mer om det senere under kapasitetsplanlegging), men hver Direct Access server rollen er nødvendig for å være domene sluttet å bedriftens Active Directory-miljøet. Serverne må ha:

    • Minst to fysiske nettverkskort installert
    • De kan ikke være bak en Network Address Translation (NAT) enhet (f.eks: en ruter eller brannmur utfører NAT)
    • De må ha fortløpende adressert statiske IP-adresser.


      Figur 1

      Vær oppmerksom på, forutsetter dette Windows Server konfigurasjon som du skal utplassere Direct Access i en "innfødt" IPv6-modus; hvis du strekker direkte tilgang til servere eller andre ressurser som ikke er adressert med IPv6 eller nås via Teredo (IPv6 innkapsling), kan du kreve eller ønsker å distribuere Forefront Unified Access Gateway (UAG) i miljøet. Vi vil dekke UAG i en fremtidig artikkel, men de fleste stor organisasjon (1.000 enheter +) distribuerer eller planlegger å distribuere direkte tilgang med UAG.

      Andre infrastrukturkrav eller forutsetninger er:

      • En sunn Active Directory med Group Policy arbeider jevnt (dette er nødvendig for komponenter som IPSec Policy Management)
      • En Microsoft DNS miljø,
      • En riktig innstilt Public Key Infrastructure (nødvendig å utstede data sertifikater for gjensidig godkjenning prosessen i Direct Access),
      • Det viktigste er aktivert IPv6 på dine servere og klienter som skal delta i DA.


        Hva er Scope?

        Neste, planlegge distribusjon og omfanget av miljøet. I første omgang vil du ønsker å gjøre en pilot for DA. En god tommelfingerregel er å oppsøke mer avanserte brukere i både IT og forretningsenhetene i organisasjonen til å delta i en "pilot program". Dette pilot kan du begynne i det små og deretter slik at brukerne noen på et tidspunkt da de migrere til Windows 7. Dette har vært et mye mer vellykket tilnærming til distribusjon av DA. Selvfølgelig, mobile enheter er i hovedsak i omfang, men organisasjoner som har utplassert stasjonære til telecommuting arbeidere kan være i omfang også. Har en solid forståelse av alle dine eiendeler og din Windows 7 planlegging før scoping arkitekturen på serversiden.

        Forstå de ulike tilgangs Modeller

        Planlegging for tilgang modell som passer best til ditt miljø er kritisk for dimensjonering miljøet. Det er tre tilgangs modeller for direkte tilgang: fullt intranett tilgang, valgte servertilgang og ende-til-ende-tilgang.

        Full intranett-tilgang er nærmest an til en tradisjonell "klientbasert VPN" løsning som mange organisasjoner har utplassert i dag. Selv om denne modellen krever ikke at serverne får tilgang kjøre Windows Server 2008 eller Windows Server 2008 R2, betyr det sette hele Direct Access oppsigelse belastningen på Direct Access-servere selv; dette kan kreve å skalere opp eller skalere ut serverfarmen for distribusjon.

        Valgt Server Access skyver IP Sec kryptering og autentisering ned til servere blir åpnet seg; peer-godkjenning i enkelte konfigurasjoner kan kreve Windows Server 2008 R2 eller senere, though.

        ende-til-ende-tilgang modell tillater gjensidig godkjenning mellom både klienter og servere og krypterer trafikken også, men gir ikke tilgang til IPv4-bare ressurser på bedriftens nettverk. Hvis du har mye av klient til klient aktivitet i miljøet, bør du vurdere denne modellen.

        Sammendrag

        Som du kan se, har hver modell fordeler og ulemper. Det er klokt å konsultere Direct Access design guide på TechNet å forstå hver av modellene og bestemme hva som fungerer best i ditt miljø.

        Nå som vi har dekket de forutsetninger for Direct Access, scoping, organisatorisk justering og tilgangs modeller, vil vi komme inn i dimensjonering og utforming av infrastrukturen i neste artikkel.