Комментарии 25
У меня тупой вопрос. Системный администратор легко поднимет IPv6 на своих интерфейсах. А как… пользователю обьяснить что и у него должен быть IPv6? Я говорю про абсолютно девственную машину за пределами корпоративной сети! Каково ваша «безгеморойное» решение данной проблемы?)
Так прямо в статье написано:
Клиент DirectAccess устанавливает туннель на сервер DirectAccess, используя IPv6. Если между ними находится сеть IPv4, то клиент использует протокол Teredo или 6to4 для инкапсуляции IPv6 в IPv4, либо попытается подключиться с помощью протокола IP-HTTPS.
Я уже представляю, как «менеджер» в другом городе сидит с телефоном у уха и записывает на бумажку: Так, что он там сказал, «тореодор шесть на четыре в капсулах?»
Прочитайте внимательно. Подразумевается заранее подготовленное доменное устройство. Или заранее подготовленная загрузочная флешка. Никакие не доменные гаджеты и личные устройства не подразумеваются. И это правильно.
Я то внимательно читал. Edinorog задал вопрос про девственную машину за пределами сети. Ни о каком заранее подготовленном устройстве речи не шло. И если сотрудник сидит очень далеко от Вас, и местных сисадминов нет, или что еще более реально, сотрудник тупо работает на дому на другом конце страны, начинаются проблемы с взаимопониманием. Если накатить wtg на флешку — ерунда, либо сам справится, либо любой шарящий школьник разберется методом тыка и подскажет, то настройка туннеля задача нетривиальная.
Все эти протоколы уже встроены в систему. От менеджеров на местах максимум потребуется запустить powershell скрипт который подключит систему в удаленный домен.
криво в статье написано, звучит будто тоннель поднимается исключительно поверх IPv6
Пользователю и администратору в этом случае ничего не надо настраивать, клиентская часть DirrectAccess все сделает сам. В статье есть описание протоколов инкапсуляции IPv6 в IPv4.
Промахнулся, см. ниже.
При этом не важно какое ПО установлено на компьютере. В статье описывается возможность подключения к домену вне зависимости от расположения удаленного компьютера и наличия на нем какого-либо ПО. Это может быть даже машина без жесткого диска.
Загрузка ОС осуществляется с USB-носителя. Все необходимое ПО и настройки находятся там же.
Загрузка ОС осуществляется с USB-носителя. Все необходимое ПО и настройки находятся там же.
Есть возможность добавить нативную поддержку двухфакторной аутентификации с использованием одноразовых паролей (OTP). Для VPN такой встроенной поддержки нет, требуется использовать дополнительное ПО сторонних производителей.
Что-то не вижу в доке этой фичи, как у всех OTP-сервер подключается через RADIUS.
В статье в качестве клиента DA рассматривается машина на Windows 8.1. Для Windows 10 всё описанное справедливо или есть нюансы?
Очень жду "практической" части.
Очень инересная тема.
Вообще, инетересно, как реализовать подключене к произвольной сети перед загурзкой системы / групповых политик. Особенно, если у пользователя статический IP4 адрес.
Вообще, инетересно, как реализовать подключене к произвольной сети перед загурзкой системы / групповых политик. Особенно, если у пользователя статический IP4 адрес.
Zscaler тоже интересное решение.
Спасибо за хорошую статью.
Интересно почитать о практической реализации и какие подводные камни могут быть.
Интересно почитать о практической реализации и какие подводные камни могут быть.
Такой вопрос: версия Enterprise имеет триал в 3 месяца, насколько я помню. Так вот, если из-под этой триальной версии создать wtg, то в каком виде будет ее лицензирование? Тоже триал на 3 месяца, а потом тыква?
Технология замечательная, только некоторые прикладные программы до неё ещё не доросли, к сожалению. Точнее, многие программы просто не умеют работать по IPv6, а именно так, с точки зрения прикладных программ, происходят все сетевые подключения. Причем, простые программы могут о IPv6 и не знать, они подключаются к servername.contoso.com и знать не знают, что для системы этот адрес — IPv6. А вот с теми, которые «умничают» — беда.
Самый яркий пример — система удалённых рабочих столов VMware Horizon. Там IPv4 разработчиками «прибит гвоздями». Много лет они честно говорили, что IPv6 просто не поддерживается, в последних версиях «для галочки» поддержку добавили: вам «всего лишь» нужно построить всю инфраструктуру заново на чистом IPv6…
Таким образом, приходится разворачивать и DirectAccess и традиционный VPN, если пользователей таких «особых» IPv4-only программ относительно немного. Причём, на одном и том же RRAS-сервере это делать не рекомендуется, так как работать-то оно будет, но DirectAccess-соединение будет шифроваться дважды с соответствующей бесполезной тратой ресурсов.
Самый яркий пример — система удалённых рабочих столов VMware Horizon. Там IPv4 разработчиками «прибит гвоздями». Много лет они честно говорили, что IPv6 просто не поддерживается, в последних версиях «для галочки» поддержку добавили: вам «всего лишь» нужно построить всю инфраструктуру заново на чистом IPv6…
Таким образом, приходится разворачивать и DirectAccess и традиционный VPN, если пользователей таких «особых» IPv4-only программ относительно немного. Причём, на одном и том же RRAS-сервере это делать не рекомендуется, так как работать-то оно будет, но DirectAccess-соединение будет шифроваться дважды с соответствующей бесполезной тратой ресурсов.
Рассматривать имеет смысл наиболее актуальную версию на базе Microsoft Windows Server 2012 R2 и клиентской операционной систем Windows 8.1.
Это некропостинг?
Актуальные версии и сервера, и клиента более другие.
Ваш КО
Это некропостинг?
Актуальные версии и сервера, и клиента более другие.
Ваш КО
Согласен, поэтому практику буду делать на новых ОС.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасный доступ из любой точки мира средствами Microsoft DirectAccess и Windows To Go. Часть первая – теория