10 thứ bạn cần biết về DirectAccess


DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp của
Windows Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate.
DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọi
nhân viên có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràng
buộc với các kỹ thuật truy cập từ xa truyền thống chẳng hạn như network-level
VPN, SSL VPN gateway, và proxy ngược. Nó cho người dùng trải nghiệm xuyên
suốt, cho CNTT khả năng quản lý tiên tiến. DirectAccess cho phép truy cập bất
cứ nơi đâu, thậm chí khi hệ thống máy khách DirectAccess nằm phía sau tường
lửa.
1. Có thể mở rộng mạng công ty với một máy tính được kết nối Internet ở bất cứ
đâu trên thế giới
Mục tiêu của DirectAccess là mở rộng phạm vi mạng công ty đến bất cứ máy
khách DirectAccess nào được kết nối Internet. Máy tính DirectAccess ở đây là một
thành viên miền, được quản lý bởi các cơ chế điều khiển và quản lý như các máy tính
nằm phạm vi bên trong đường biên mạng công ty. Ngoài sự mở rộng tầm kiểm soát
của CNTT qua tất cả các máy tính này, không quan tâm đến vị trí, DirectAccess còn
cung cấp một trải nghiệm truy cập mạng xuyên suốt cho người dùng. Họ không cần
phải nhớ sử dụng tên (name) nào đó khi nằm trong mạng công ty và một tên (name)
khác khi không nằm trong mạng đó; đó là vì họ luôn trên mạng công ty.
Khi máy tính DirectAccess khởi chạy, nó sẽ thiết lập một đường hầm “
cơ sở hạ
tầng
”. Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess có thể kết nối
đến các tài nguyên miền, chẳng hạn như domain controller, máy chủ DNS và máy chủ
quản lý. Đường hầm này cũng là đường hầm hai chiều, do đó CNTT có thể khởi tạo
các kết nối đến các máy khách DirectAccess trên Internet (được gọi là các kết nối
“
manage out”), cũng trong đường hầm đó, họ có thể kết nối đến các host trên mạng

nội bộ.
Sau khi người dùng đăng nhập, một đường hầm thứ hai, đường hầm mạng nội
bộ (
intranet tunnel), cho phép người dùng có thể kết nối đến các tài nguyên công ty
giống như cách một host trong mạng nội bộ kết nối đến các tài nguyên đó. Chúng có
thể sử dụng FQDN hoặc tên nhãn để kết nối đến máy chủ file, máy chủ web, máy chủ
cơ sở dữ liệu, mail hoặc bất kỳ máy chủ nào và không cần cấu hình lại các ứng dụng
khi rời khỏi mạng công ty. Người dùng DirectAccess luôn nằm trong mạng công ty,
không quan tâm tới vị trí họ đang ở đâu.

2. Cần có đủ các yêu cầu DirectAccess
Bạn phải có đủ các yêu cầu trước khi bắt đầu triển khai DirectAccess. Để bắt đầu, bạn
cần:
• Tối thiểu một domain controller chạy Windows Server 2003 hoặc phiên bản cao
hơn.
• Một PKI bên trong để gán các chứng chỉ cho các máy khách và máy chủ
DirectAccess.
• Một PKI private hoặc public để gán các chứng chỉ website cho bộ lắng nghe IP-
HTTPS listener và Network Location Server (sẽ được thảo luận ở bên dưới).
Thêm vào đó bạn cần có các yêu cầu khác:
• Máy chủ DirectAccess phải là Windows Server 2008 R2 Standard, Enterprise
hoặc phiên bản cao hơn.
• IPv6 phải được kích hoạt, các công nghệ chuyển tiếp không gian địa chỉ IPv6
cũng phải bị vô hiệu hóa.
• Các máy khách DirectAccess phải chạy Windows 7 Enterprise hoặc Ultimate.
• Các máy khách DirectAccess phải là thành viên của một miền Active Directory.
• Network Location Server (Web server) khả năng có sẵn cao phải nằm trong
mạng công ty.
• Nếu có nhiều tường lửa phía trước hoặc phía sau máy chủ DirectAccess, các bộ
lọc dữ liệu phải được kích hoạt để cho phép lưu lượng cần thiết.

• Máy chủ DirectAccess phải có hai adapter giao diện mạng.
3. IPv6 là nền tảng trong truyền thông DirectAccess
Máy khách DirectAccess luôn sử dụng không gian địa chỉ IPv6 để truyền thông
với máy chủ DirectAccess. Máy chủ DirectAccess sẽ chuyển tiếp các kết nối này đến
các thiết bị IPv6 trên mạng công ty. Mạng công ty có thể sử dụng cơ sở hạ tầng IPv6
(nói như vậy là tất cả router, switch, hệ điều hành và các ứng dụng đều có khả năng hỗ
trợ IPv6) hoặc nó có thể sử dụng các kỹ thuật chuyển tiếp IPv6 để kết nối đến các tài
nguyên IPv6 trên mạng công ty.
Máy chủ DirectAccess có thể sử dụng ISATAP (Intra-site Automatic Tunnel
Addressing Protocol) cho các gói dữ liệu đường hầm IPv6 bên trong các header IPv4,
đây là giao thức có thể lợi dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển các
gói dữ liệu IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internet
có thể sử dụng một số các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủ
DirectAccess, gồm có 6to4, Teredo và IP-HTTPS.
4. IPSec bảo vệ sự truyền thông từ đầu đến cuối
Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạng
Internet bên ngoài, do đó sự an toàn trong truyền thông là một vấn đề cực kỳ quan
trọng. DirectAccess sử dụng giao thức Ipsec để bảo vệ sự an toàn truyền thông giữa
máy chủ và khách DirectAccess. Chế độ đường hầm Ipsec được sử dụng để thiết lập
các đường hầm mạng nội bộ và cơ sở hạ tầng. Thêm vào đó, bạn có thể cấu hình
DirectAccess để yêu cầu mã hóa từ đầu đến cuối (
end-to-end) giữa máy khách
DirectAccess và máy chủ đích đến trên mạng công ty nhằm sử dụng chế độ truyền tải
Ipsec, từ đó kết nối được mã hóa từ máy khách đến đích của nó. DirectAccess cũng lợi
dụng tính năng AuthIP mới được giới thiệu đầu tiên trong Vista và Windows Server
2008, làm cho các kết nối được thẩm định thông qua chứng chỉ người dùng hoặc máy
tính thay vì chỉ các chứng chỉ máy tính.
5. Các ứng dụng máy khách phải hiểu không gian địa chỉ IPv6
Tuy mục tiêu là cung cấp một trải nghiệm tin học tương tự như các máy khách
được kết nối trong mạng công ty, nhưng có một số điểm khác biệt chính giữa máy

khách trong mạng công ty và máy khách DirectAccess: máy khách
DirectAccess
phải và luôn luôn sử dụng IPv6 để kết nối đến máy chủ DirectAccess.
Điều đó có nghĩa rằng ứng dụng máy khách trên máy khách DirectAccess phải hiểu
không gian địa chỉ IPv6. Nếu ứng dụng máy khách không hiểu không gian địa chỉ
IPv6, kết nối sẽ thất bại. Điều này còn đúng thậm chí khi sử dụng một bộ chuyển đổi
IPv6 sang IPv4, đây là bộ chuyển đổi cho phép các máy khách DirectAccess có thể kết
nối đến các máy chủ IPv4 trên mạng công ty.
6. Làm việc với sự hỗ trợ của Active Directory và Group Policy
Một số thay đổi cấu hình máy chủ và máy khách DirectAccess để giúp giải
pháp làm việc. Để tạo các thay đổi này theo một cách hiệu quả nhất, giải pháp mà
DirectAccess đưa ra là sử dụng các đối tượng Active Directory và Active Directory
Group Policy. GPO được gán cho máy chủ và máy khách DirectAccess. Thêm vào đó,
Active Directory được yêu cầu cho việc thẩm định xác thực. Đường hầm cơ sở hạ tầng
sử dụng thẩm định NTLMv2 để thẩm định tài khoản máy tính kết nối với máy chủ
DirectAccess, tài khoản máy tính đó phải nằm trong miền Active Directory. Đường
hầm mạng nội bộ sử dụng thẩm định Kerberos cho người dùng đã đăng nhập để tạo
đường hầm thứ hai.
Mặc dù Active Directory và GPO được yêu cầu nhưng máy chủ DirectAccess
không cần thiết phải là một thành viên của miền. Miễn là có sự tin cậy hai chiều giữa
miền máy chủ DirectAccess và domains/forest tài nguyên, giải pháp sẽ làm việc.
7. Các máy chủ mạng nội bộ cho phép các máy khách DirectAccess biết khi nào
chúng nằm trong mạng công ty
DirectAccess được thiết kế để làm việc tự động và hoạt động trong chế độ
background. Người dùng không phải thực hiện bất cứ thứ gì để khởi tạo (
turn on) kết
nối DirectAccess. Tất cả những gì mà họ cần thực hiện là bật (
turn on) máy tính của
mình. Trong thực tế, người dùng thậm chí còn không cần đăng nhập! Trước khi đăng
nhập, đường hầm cơ sở hạ tầng được thiết lập một cách tự động, và các thành phần

(
agent) của máy khách DirectAccess có thể kết nối đến máy chủ của chúng để cập nhật
các nâng cấp, các thông tin cấu hình cần thiết, các thiết lập bảo mật và bất cứ thứ gì
cần thiết để bảo đảm cho máy khách DirectAccess tuân thủ đúng các chính sách bảo
mật và cấu hình mạng.
Để làm cho quá trình trở nên trong suốt, phải có một cơ chế mà ở đó các thành
phần của máy khách DirectAccess biết lúc nào chúng cần bật, lúc nào cần tắt. Đó
chính là Network Location Server. Network Location Server (NLS) là một Web server
cho phép các kết nối SSL gửi đến. Bạn có thể cho phép thẩm định tích hợp hoặc nặc
danh đến máy chủ NLS. Khi máy khách DirectAccess kết nối đến NLS, nó sẽ biết rằng
nó đang nằm trên mạng công ty, và sẽ tắt các thành phần máy khách DirectAccess.
Nếu máy khách DirectAccess không thể liên lạc được máy chủ NLS, khi đó nó biết
rằng nó đang nằm ngoài mạng công ty và sẽ tự động bật các thành phần máy khách
DirectAccess để thiết lập các đường hầm Ipsec đến máy chủ DirectAccess qua
Internet. Máy khách DirectAccess sẽ thực hiện một hành động kiểm tra chứng chỉ NLS
Web server trên danh sách chứng chỉ bị thu hồi - Certificate Revocation List, vì vậy
CRL phải có sẵn. Bằng không kết nối đến website NLS SSL sẽ thất bại và quá trình
phát hiện mạng nội bộ cũng sẽ thất bại.
8. Chứng chỉ, chứng chỉ, chứng chỉ!
Các chứng chỉ được sử dụng ở một số địa điểm trong giải pháp DirectAccess
client/server. Một số nơi mà bạn sẽ thấy các chứng chỉ đó là:
• Máy khách DirectAccess. Mỗi máy khách DirectAccess cần có một chứng chỉ
để thiết lập các kết nối Ipsec đến máy chủ DirectAccess. Các chứng chỉ này
được sử dụng để tạo các kết nối Ipsec và cũng được sử dụng bởi IP-HTTPS, nơi
máy chủ DirectAccess sẽ thực hiện hành động hợp lệ hóa chứng chỉ máy tính
trước khi cho phép kết nối IP-HTTPS diễn ra trên Internet. Các chứng chỉ máy
tính được gán tốt nhất bằng cách sử dụng Microsoft Certificate Server và biện
pháp tự động kết nạp chứng chỉ dựa trên Group Policy.
• IP-HTTPS listener trên máy chủ DirectAccess. IP-HTTPS là một công nghệ
chuyển tiếp IPv6 được sử dụng cho các gói dữ liệu đường hầm IPv6 trên

Internet IPv4. Giao thức này được thiết kế bởi Microsoft nhằm cho phép máy
khách DirectAccess có thể kết nối đến máy chủ DirectAccess, thậm chí nếu
máy khách DirectAccess nằm phía sau tường lửa chỉ cho phép các kết nối
HTTP/HTTPS gửi đi hoặc phía sau Web proxy server. IP-HTTPS listener yêu
cầu một chứng chỉ website, và máy khách DirectAccess phải có khả năng liên
lạc với máy chủ đang chứa CRL cho việc thẩm định chứng chỉ. Nếu quá trình
kiểm tra CRL thất bại, kết nối IP-HTTPS cũng sẽ thất bại. Các chứng chỉ
thương mại là giải pháp tốt nhất cho IP-HTTPS listener, vì CRL của họ có sẵn
trên toàn cầu.
• Máy chủ DirectAccess. Máy chủ DirectAccess lưu trữ chứng chỉ website the
IP-HTTPS, tuy nhiên nó cũng yêu cầu một chứng chỉ máy tính để thiết lập các
kết nối Ipsec với các máy khách DirectAccess.
9. Bảng chính sách phân định tên cung cấp các truy vấn DNS theo chính sách
Máy khách DirectAccess sử dụng bảng chính sách phân định tên - Name
Resolution Policy Table (NRPT) để xác định máy chủ DNS nào có thể sử dụng để
phân định tên. Khi máy khách DirectAccess nằm trong mạng công ty, NRPT sẽ tự
động được tắt. Khi máy khách DirectAccess phát hiện rằng nó nằm trên Internet, máy
khách DirectAccess sẽ kích hoạt NRPT và kiểm tra các entry của nó để xem máy chủ
DNS nào nên sử dụng để kết nối đến tài nguyên. Bạn đặt tên miền bên trong của mình
và các máy chủ có thể trên NRPT và cấu hình nó để sử dụng máy chủ DNS bên trong
cho việc phân định tên.
Khi máy khách DirectAccess nằm trên Internet cần kết nối đến tài nguyên bằng
FQDN, nó sẽ kiểm tra NRPT. Nếu tên này nằm trong đó, truy vấn sẽ được gửi đến
máy chủ DNS trong mạng nội bộ. Nếu không có trong NRPT, máy khách
DirectAccess sẽ gửi một truy vấn đến máy chủ DNS đã được cấu hình trên NIC của
nó, đó là Internet DNS server. Tên của NLS server cũng được đặt trên NRPT, tuy
nhiên nó được nhóm vào danh sách bãi miễn – có nghĩa rằng máy khách DirectAccess
không bao giờ sử dụng máy chủ mạng nội bộ để phân định tên của máy chủ NLS. Do
đó máy khách DirectAccess trên Internet sẽ không thể phân định tên của máy chủ NLS
và vì vậy sẽ biết rằng nó đang nằm trên Internet để từ đó bật các thành phần máy

khách DirectAccess. Quan trọng hơn, khi kết nối đến mạng công ty qua kết nối
DirectAccess, các máy khách DirectAccess không nghĩ rằng nó được kết nối đến mạng
công ty bởi việc phân định tên của NLS server.
10. DirectAccess cho phép khả năng “manage out”
Như đã đề cập ở trên, CNTT có thể lợi dụng khả năng “manage out” bởi đường
hầm cơ sở hạ tầng để kết nối đến các máy khách DirectAccess trên Internet. Mặc dù
vậy, bạn vẫn cần cấu hình các rule tường lửa trong Windows Firewall with Advanced
Security (WFAS) để cho phép các kết nối này cho các máy khách Teredo. Khi tạo các
rule này, bảo đảm rằng chúng đã bật tính năng Edge Traversal cho Firewall Rule. Máy
khách DirectAccess là Teredo khi chúng nằm phía sau NAT để kết nối đến Internet và
máy chủ DirectAccess, lúc này thiết bị NAT cho phép gửi đi trên cổng UDP 3544.