Нюансы внедрения DirectAccess

Posted on 21/12/2009 by sie

 

У меня уже было несколько статей посвященных технологии DirectAccess, в которых я рассматривал работу этой технологии, ее внутреннее устройство и проблематику внедрения http://www.itcommunity.ru/blogs/sie/archive/category/3225.aspx

И вот попался небольшой, но достаточно интересный документ о DirectAccess –  Windows 7 and Windows Server 2008 R2 DirectAccess IT Infrastructure Compatibility.

Тем, кто серьезно настроен внедрять DirectAccess или, как минимум, хочет хорошо понимать механику работы этой технологии, стоит потратить время на изучение этого документа.

В статье рассмотрены некоторые нюансы аутентификации. Например, можно узнать о такой новой возможности AD DS Windows Server 2008 R2 как Authentication Mechanism Assurance (AMA). AMA позволяет назначать права пользователям в зависимости от того, какой механизм аутентификации они использовали для входа в сеть: если Smart Card, то права одни, если пользователь просто ввел доменные имя и пароль, то права другие (учетная запись одна и та же в обоих случаях!).

Также вы найдете ответ на непростой вопрос: почему пользователю приходится в некоторых случаях повторно вводить свой пин код.

Очень полезным будет объяснение, где какие пакеты могут быть отфильтрованы. Вопрос не такой простой как кажется, если принять во внимание, что соединение DirectAccess  образуется как несколько туннелей IPSec, и что может выполняться трансляция IPv6-IPv4.

Интересно для чего вам может понадобиться Microsoft Forefront™ Unified Access Gateway? А вот может! Причем вам без него не обойтись в некоторых конфигурациях. Хотя почему именно UAG? Можете использовать любой продукт, который позволяет делать IPv6/IPv4DNS и IPv6/IPv4NAT, т.е. соответствует стандартам NAT64 и DNS64 (забудьте о старых стандартах RFC 2677 (NAT-PT and DNS-ALG))!

А все дело в совместимости! – чему в основном и посвящена статья. Проблема даже не в том, что bsd-, linux— и macos-подобные системы не поддерживают некоторые стандарты (ISATAP, IKEv2), а в том, что стандарты IPv6 еще не достигли зрелости.

Еще немало интересных моментов можно найти в статье – читаем! J

 

 

 

 

Реклама

Filed under: Direct Access | Leave a comment »