Windows, как настольная операционная система, обеспечивает работу компьютеров и помогает максимально эффективно использовать современные технологии. Функции Windows 7 поддерживают такие задачи, как сетевые подключения, обеспечивающие доступ настольных систем к Интернету; используются приложения, позволяющие информационным работникам собирать и обмениваться знаниями, анализировать бизнес-данные и общаться с партнерами, клиентами и коллегами в реальном времени.
Windows — это также надежная серверная ОС, составляющая основу множества центров обработки данных. Windows Server предоставляет все нужное, от служб файлов и печати до виртуализации с Hyper-V to для работы веб-сайтов с IIS.
Однако наибольшая польза Windows часто реализуется при объединении функций платформ сервера и клиента для создания полного решения для бизнес-задач. Используя существующие компоненты платформ клиента и сервера Windows, можно создать несколько полных решений. Также доступны ценные ресурсы, помогающие в выполнении процесса создания этих решений.
Эффективное подключение
DirectAccess с Network Access Protection (NAP) предоставляет надежное практическое решение, основанное на интеграции различных компонентов Windows. DirectAccess подключает клиентские компьютеры к ресурсам интрасети без сложностей виртуальной частной сети (VPN). Подключение осуществляется прозрачно; также предоставляется возможность простого и эффективного удаленного подключения, сохраняя необходимую безопасность для защиты внутренних ресурсов.
DirectAccess с NAP также предоставляет средства текущей проверки работоспособности для удаленных компьютеров (не только при установлении подключения к удаленному компьютеру, как в решении VPN). Также до подключения удаленных пользователей обеспечивается соответствие требованиям к работоспособности системы.
По умолчанию клиенты DirectAccess используют сертификат компьютера для одноранговой проверки подлинности IPsec (Internet Protocol security). С DirectAccess и NAP сертификат проверки подлинности для доступа к интрасети является сертификатом работоспособности. Этот сертификат работоспособности проверяет удостоверение клиентского компьютера DirectAccess и удостоверяет, что клиент DirectAccess соответствует требованиям к работоспособности системы.
Решение DirectAccess с NAP использует ряд инфраструктурных компонентов Windows для предоставления этих функций (см. рис. 1). В число компонентов входят следующие.
- Службы доменов Active Directory (AD DS): Предоставляют принадлежность к домену для клиентов и серверов DirectAccess, проверку подлинности компьютера и учетных данных пользователя, а также распространяет параметры групповой политики клиентам DirectAccess
- Инфраструктура открытых ключей (PKI): Распространяет цифровые сертификаты клиентам DirectAccess, серверам DirectAccess и веб-серверам для DirectAccess с NAP, один центр сертификации (CA) выпускает сертификаты компьютеров, а отдельный ЦС на основе Windows, называющийся ЦС NAP, выпускает сертификаты работоспособности
- Сервер DirectAccess: Компьютер под управлением Windows Server 2008 R2 размещает подключения DirectAccess
- Сервер сетевых расположений: Компьютер обычно под управлением Windows Server 2008 или более поздней версии и IIS для размещения безопасного веб-сайта, чтобы клиенты DirectAccess могли определять подключение к интрасети
- Сервер политики работоспособности NAP: Компьютер под управлением Windows Server 2008 или более поздней версии и сервер сетевых политик (NPS) осуществляет ведение журнала и проверку состояния системы
- Центр регистрации работоспособности (HRA): Компьютер под управлением Windows Server 2008 или более поздней версии и IIS, получающий цифровые сертификаты от ЦС NAP для соответствующих требованиям клиентов DirectAccess
- Серверы исправлений: Компьютеры, предоставляющие обновления или ресурсы, необходимые несоответствующим требованиям клиентам DirectAccess для обеспечения соответствия требованиям к работоспособности системы. Примеры включают серверы службы обновления программного обеспечения Windows (WSUS) и серверы распространения сигнатур защиты от вредоносных программ
.jpg)
Рис. 1. Компоненты инфраструктуры решения DirectAccess с NAP.
Учитывая эти компоненты инфраструктуры, кратко рассмотрим работу решения DirectAccess с NAP. При запуске клиент DirectAccess входит в систему домена AD DS и отправляет информацию о текущей работоспособности HRA. Затем HRA отправляет информацию о состоянии работоспособности клиента DirectAccess серверу политики работоспособности NAP.
Сервер политики работоспособности NAP оценивает информацию о состоянии работоспособности клиента DirectAccess, определяет его соответствие требованиям и отправляет результаты HRA. Если клиент DirectAccess не соответствует требованиям, результаты включают инструкции по исправлению состояния.
Если состояние работоспособности соответствует требованиям, HRA получает от PKI сертификат работоспособности и отправляет его клиенту DirectAccess. Теперь клиент DirectAccess может создать туннель интрасети с сервером DirectAccess.
Если состояние работоспособности не соответствует требованиям, HRA не выпустит сертификат работоспособности. Клиент DirectAccess не может создать туннель интрасети с сервером DirectAccess, поэтому доступ эффективно заблокирован. Однако у клиента DirectAccess имеется доступ к серверам исправлений для исправления состояния.
При необходимости клиент DirectAccess обращается к серверам исправлений для получения необходимых обновления для обеспечения соответствия. ПО завершении этого процесса клиент DirectAccess обновляет свою информацию о работоспособности и отправляет ее HRA. HRA отправляет серверу политики работоспособности NAP обновленные сведения о работоспособности. Если установлены все необходимые обновления, сервер политики работоспособности NAP определяет соответствие клиента DirectAccess требованиям и отправляет результаты проверки HRA.
Затем HRA получает сертификат работоспособности от ЦС NAP и отправляет его клиенту DirectAccess. Теперь клиенрт DirectAccess может использовать сертификат работоспособности для проверки подлинности с целью доступа к интрасети, используя сервер DirectAccess.
Результатом, на основе сочетания компонентов Windows, являются мобильные сотрудники. Теперь они могут эффективно получать доступ к внутренним ресурсам, одновременно сохраняя безопасность и целостность внутренней сети.
Дополнительные сведения о решении DirectAccess c NAP см. в полном руководстве по решению, доступном в библиотеке TechNet. Также доступны тестовые руководства по DirectAccess с NAP . В этих тестовых руководствах описаны и задокументированы все необходимые этапы создания рабочей лабораторной среды для демонстрации решения и экспериментов с ней.
Создание интегрированных решений
Также доступны тестовые руководства для ряда других решений инфраструктуры Windows. Например, доступно тестовое руководство по альтернативным конфигурациям решения DirectAccess с NAP, включая использование Forefront Unified Access Gateway с DirectAccess и NAP.
Начните с лаборатории тестирования базовой конфигурации, которая поможет создать базовую конфигурацию, с которой можно экспериментировать с новыми решениями в контролируемой среде. На основе этой базовой конфигурации доступны дополнительные тестовые руководства.
После создания базовой конфигурации можно приступить к изучению других интегрированных решений. В других тестовых лабораториях рассматриваются новые сетевые протоколы IPv6 и DHCPv6. Протокол IPv6 предназначен для решения множества проблем текущей версии протокола Интернета (IPv4), таких как исчерпание адресов, безопасность, автоматическая настройка и расширяемость.
В тестовом руководстве IPv6 демонстрируются следующие сценарии:
- Поведение IPv6 по умолчанию и связь в интрасети только с IPv4
- Подключения в интрасети на основе IPv6 с использованием протокола ISATAP
- Подключения в интрасети на основе IPv6 с использованием собственной адресации IPv6
- Подключение IPv6 в имитируемой интрасети только с IPv4 с использованием 6to4
После ознакомления с IPv6 в расширение лаборатории DHCPv6 рассматривается поэтапный процесс динамического выпуска и управления адресами IPv6.
Тестовые руководства опубликованы на платформе TechNet Social, поэтому они открыты для расширения сообществом. Взгляните на Тестовая лаборатория по удаленному доступу VPN для Windows Server 2008 R2 как пример. Не все организации готовы к развертыванию решения DirectAccess, которое обсуждалось ранее. В этом тестовом руководстве рассматривается развертывание более традиционного подключения VPN, позволяющего удаленным пользователям устанавливать защищенные подключения по запросу к внутренней сети.
Тестовое руководство расширено участниками сообщества для демонстрации использования пакета администрирования диспетчера подключений (CMAK) с решением VPN, использование переподключения VPN и многого другого. Наконец, расширение за пределы решений основано только на основных компонентах инфраструктуры Windows; доступны тестовые руководства для ряда других инфраструктурных продуктов, включая System Center Service Manager 2010, Forefront Identity Manager 2010, SQL Server 2008 R2 и многое другое.
Создание интегрированных решений путем объединения платформ сервера и клиента Windows помогает раскрыть потенциал существующих вложений в технологии. Для получения дополнительных сведений по созданию интегрированных решений Windows посетите блог тестовых руководств по адресу blogs.technet.com/b/tlgs.