Remote Access trên Windows Server 2012 (Phần 1)

Ngày nay, trong thời buổi công nghệ, giới doanh nghiệp thường làm việc từ xa, Windows Server 2012 mang đến cho chúng ta nhiều trãi nghiệm mới và giải pháp truy cập từ xa cho mọi mô hình doanh nghiệp. Trong Windows Server 2008 R2, chúng ta đã thấy các vai trò của máy chủ DirectAccess, nhờ đó bạn có thể cho phép tất cả các tên miền tham gia vào máy chủ tự động kết nối với mạng công ty mà không yêu cầu người sử dụng để thiết lập kết nối VPN. Tuy nhiên, một vấn đề với DirectAccess trong Windows Server 2008 R2, nó chủ yếu là một giải pháp doanh nghiệp vì nhiều yêu cầu và độ phức tạp của nó. Doanh nghiệp vừa và nhỏ thì rất khó triển khai. Ngoài ra, nếu bạn thực sự muốn triển khai một giải pháp DirectAccess từ xa, các phiên bản Windows Server khác thì không khả thi với của DirectAccess. Do đó, bạn phải triển khai DirectAccess sử dụng Microsoft Unified Access Gateway hoặc UAG điều này làm tăng thêm độ phức tạp và chi phí.

Một sự thiếu sót rõ ràng khi Microsoft tập trung vào TMG (phụ thuộc vào UAG) và chính UAG, sẽ không có ý nghĩa gì nhiều khi tiếp tục yêu DirectAccess phải phụ thuộc vào ứng dụng khác trên server. Tin tốt lành là những tính năng mới và được cải tiến, điều mà người dùng mong đợi từ DirectAccess đã được tích hợp vào trong Windows Server 2012. Một vài tính năng có sẵn trong UAG DirectAccess thì bây giờ đã bao gồm trong Windows Server. Ngoài ra, Windows Server 2012 DirectAccess đã được điều chỉnh để tất cả các doanh nghiệp, lớn và nhỏ, có thể chọn tùy chọn triển khai phù hợp với mức độ tinh tế của hệ thống mạng.

Tuy nhiên, giải pháp remote access của Windows Server 2012 không chỉ là DirectAccess. Nó chỉ đơn giãn là mang DirecAccess vào chương trình quản lý truy cập từ xa (remote access management) và tích hợp nó vào một phần của giải pháp Routing and Remote Access trong Windows Server 2012. Có nghĩa là Remote Access VPN, Site-to-Site VPN, và DirectAccess bây giờ tất cả đều là một phần của role mới được gọi là Remote Access Server.

Chức năng mới

Một vài điều thú vị bạn sẽ tìm thấy trong Remote Access Server Role trong Windows Server 2012  bao gồm:

  • Tích hợp quản lý DirectAccess và RRAS. Bạn có thể quản lý DirectAccess và những dịch vụ VPN cơ bản khác dựa trên các dịch vụ truy cập từ xa từ một giao diện.
  • Đơn giản hóa quản lý DirectAccess cho các tổ chức vừa và nhỏ. Đơn giản hóa quản lý DirectAccess cho các tổ chức vừa và nhỏ. DirectAccess là một thứ phức tạp và khó sử dụng như phiên bản trong Windows Server 2008 R2. Yêu cầu đối với hai địa chỉ IP liên tiếp, yêu cầu IPv6 và các yêu cầu khác đã làm cho nó không thực tế cho hầu hết các công ty nhỏ khi triển khai DirectAccess.Những yêu cầu này đã được loại bỏ trong phiên bản Server 2012 và bây giờ bất cứ ai những người được kết nối với Internet thông qua một máy tính mà có thể cho phép các kết nối gửi đến cổng TCP 443 có thể tậng hưởng được lợi ích từ DirectAccess.
  • Loại bỏ các triển khai PKI như là một điều kiện tiên quyết cho DirectAccess. PKI và các yêu cầu cấu chứng chỉ cho triển khai Windows Server 2008 R2 DirectAccess thì phức và khó hiểu – và họ phải kèm theo các bài tập xử lý sự cố lâu dài và khó khăn. Với Windows Server 2012 DirectAccess, bạn không nhất thiết cần giấy chứng nhận hoặc PKI, nhờ vào khả năng sử dụng ràng buộc Kerberos.
  • Xây dựng NAT64 và DNS64 hỗ trợ truy cập vào tài nguyên chỉ IPv4. Trong phiên bản Windows Server 2008 R2 DirectAccess, bạn phải có một mạng nội bộ IPv6 có để có được nhiều kết nối DirectAccess. Vấn đề này đã được thay đổi khi triển khai UAG vì nó có dịch vụ NAT64/DNS64, trong đó loại bỏ đòi hỏi bạn phải có một mạng IPv6 có mạng nội bộ . Với Windows Server 2012, hai dịch vụ chính được thực hiện như là một phần của nền tảng Windows 2012, do đó bạn không cần phải thêm bất kỳ sản phẩm nào khác để có được DirectAccess làm việc duy nhất của bạn trên mạng IPv4.
  • Hỗ trợ các máy chủ DirectAccess sau thiết bị NAT. Một khó khăn khi triển khai cho danh nghiệp lớn và vừa đó là không thể triển khai DirectAccess nằm sau thiết bị NAT. Những doanh nghiệp lớn thường yêu cầu DirectAccess nằm sau một Firewall, những doanh nghiệp nhỏ thì lại không đủ IP public cho giải pháp này. Với Window Server 2012 DirectAccess, bạn hoàn toàn có thể đặt DirectAccess nằm sau thiết bị NAT, do đó loại bỏ được những phiền hà khi triển khai DirectAccess.
  • Đơn giản hóa chính sách an ninh mạng. Giải pháp Windows Server 2008 R2 DirectAccess sử dụng một tập hợp rất phức tạp của các quy tắc bảo mật với IPsec để tạo ra nhiều loại kết nối IPsec phục vụ các mục đích khác nhau. Làm cho DirectAccess khó khăn để triển khai và thậm chí còn khó khăn hơn để khắc phục sự cố khi một cái gì đó đã đi sai. Windows Server 2012 DirectAccess đơn giản hóa rất nhiều các chính sách an ninh mạng, mà làm cho nó dễ dàng hơn để triển khai và khắc phục sự cố.
  • Hỗ trợ load balancing. High availability là một yêu cầu quan trọng đối với bất kỳ giải pháp truy cập từ xa. Lý do là thường các giải pháp truy cập từ xa sẽ được sử dụng rất nhiều khi có một số sự kiện ngăn người dùng vào văn phòng. Trong trường hợp đó, nếu các giải pháp truy cập từ xa không phải là High availability, người sử dụng sẽ không thể nhận được bất kỳ kết nối nào, và tất nhiên đó là một tình huống không được ưa chuộng! Trong Windows Server 2008 R2 DirectAccess, để hỗ trợ High availability không phải là dễ. Để có được High availability với DirectAccess tại thời điểm đó, bạn phải triển khai UAG. Bây giờ với các giải pháp DirectAccess của Windows Server 2012, Network Load Balancing hỗ trợ cho các máy chủ DirectAccess được High availability.
  • Hỗ trợ multiple domains. Trong khi multiple domain đã được tích hợp sẵn trong Windows Server 2008 R2 DirectAccess, nó thì hơi khó khăn để triển khai. Khi triển khai Windows Server 2012 DirectAccess,hỗ trợ tốt cho multiple domains dễ dàng cài đặt và khắc phục sự cố.
  • Tích hợp NAP. Network Access Protection (NAP) là kỹ thuật điều khiển truy cập mạng yêu cầu các máy client phải thỏa mãn tình trạng an ninh trước khi truy cập mạng. Nếu client không thỏa mãn yêu cầu an ninh, chúng sẽ không được chấp nhận kết nối thông qua DirectAccess. NAP được tích hợp với DirectAccess không phải chỉ có trên phiên bản Windows có UAG mới làm việc được. Bây giờ với DirectAccess Windows Server 2012, bạn sẽ có được hỗ trợ NAP một cách nhanh chóng và tiện lợi.
  • Hỗ trợ cho OTP (chứng thực thông qua token). OTP (one-time password) bằng cách sử dụng OAuth phép bạn yêu cầu người sử dụng mật khẩu một lần để xác thực với máy chủ DirectAccess. Chức năng này trước đây chưa có sẵn trong phiên bản Windows Server, vì vậy bạn phải thêm UAG để được hỗ trợ OTP. Với Windows Server 2012, bạn sẽ có được hỗ trợ cho OTP mà không cần phải thêm cái gì hết.
  • Hỗ trợ tự động cho force tunneling. Force tunneling là một lựa chọn cấu hình trong DirectAccess, theo đó bạn có thể buộc tất cả các kết nối mạng để đi thông qua kết nối DirectAccess. Nếu DirectAccess client cần kết nối vào tài nguyên của công ty, những kết nối có phải đi qua các đường hầm DirectAccess. Nếu DirectAccess khách hàng muốn kết nối với Internet, sau đó những yêu cầu cũng phải đi qua các đường hầm DirectAccess. Force tunneling là trái ngược với split tunneling, nhờ đó mà bạn cho phép các máy khách sử dụng kết nối DirectAccess để kết nối với tài nguyên doanh nghiệp và khi các máy khách DirectAccess muốn kết nối tới tài nguyên Internet, họ kết nối trực tiếp thông qua kết nối Internet bất cứ điều gì họ có thể đã có. Vấn đề split tunneling là một mối quan tâm vào cuối năm 1990 và đầu giữa những năm 2000, nhưng ít hơn nhiều của một mối quan tâm ngày hôm nay. Cấu hình mặc định cho DirectAccess trong Windows Server 2008 R2 cho phép phân chia đường hầm, và điều này đã dẫn đến một cuộc nổi dậy nhỏ trong số các quản trị viên truy cập từ xa. Do đó, hướng dẫn được tạo ra để cho phép hiệu lực đường hầm trên phiên bản duy nhất của Windows DirectAccess, nhưng hướng dẫn là phức tạp và khó theo dõi. UAG thực hiện các quá trình rất đơn giản và đơn giản đó là một tính năng UAG hiện đã được tích hợp vào thực hiện DirectAccess của Windows Server 2012.
  • Khả năng tương tác và cải tiến hiệu suất trong IP-HTTPS. IP-HTTP là một giao thức chuyển tiếp IPv6 cho phép các máy khách DirectAccess trên Internet IPv4 để kết nối đến máy chủ DirectAccess. Các vấn đề với các phiên bản trước của giao thức IP-HTTPS là thực hiện các kết nối IPsec trong một vận chuyển TLS, tăng đáng kể trên không mã hóa cho các kết nối IP-HTTPS. Đó là lý do một số người gọi IP-HTTPS như các giao thức chuyển tiếp IPv6 cuối cùng. Tuy nhiên, các giao thức IP-HTTPS là phương pháp ưa thích cho các quản trị viên, vì nó chỉ yêu cầu rằng cổng TCP 443 được mở từ đầu đến cuối giữa máy chủ và máy khách DirectAccess. Microsoft nhận ra sự thay đổi này và thực hiện giao thức IP-HTTPS để nó sẽ có hiệu suất tốt hơn và dễ dàng hơn để quản lý.
  • Hỗ trợ Manage-out Manage-out đề cập đến khả năng kết nối với máy khách DirectAccess từ máy chủ trên mạng công ty. Điều này cho phép các nhân viên Help Desk kết nối với các máy khách DirectAccess để có thể thực hiện thay đổi cần thiết. Ngoài ra, Manage-out cho phép công ty CNTT quản lý tất cả các máy ở tất cả các điểm, dù có hoặc không nằm trên mạng công ty. Trong thực tế, nhiều tổ chức CNTT thấy rằng Manage-out là giá trị chính DirectAccess và chỉ cho phép tính năng này, và không cho phép các kết nối gửi vào mạng nội bộ thông qua DirectAccess. Manage-out đã được cải thiện và đơn giản hóa trong các giải pháp DirectAccess của Windows Server 2012.

Tổng Kết

Trong bài này, tôi bắt đầu giới thiệu sơ bộ tính năng Remote Access Server Role trong Windows Server 2012. Chúng ta cũng đã thảo luận một số các tính năng mới có trong truy cập từ xa của Windows Server 2012, tập trung vào các tính năng mới và cải tiến trong DirectAccess. Bài tiếp theo, chúng ta sẽ đào sâu hơn vào một trong những tính năng trên. Hẹn gặp lại các bạn.
Advertisements

About Argron Nguyen's Blog

Vietnamese. Photographer. Writer. Illustrator. IT-er. All to some extent.

Posted on 16.11.2012, in Windows Server 2012. Bookmark the permalink. Để lại phản hồi.

Trả lời

Mời bạn điền thông tin vào ô dưới đây hoặc kích vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Log Out / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Log Out / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Log Out / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Log Out / Thay đổi )

Connecting to %s

%d bloggers like this: