10 thứ bạn cần biết về DirectAccess DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp của
Windows Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate.
DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọi
nhân viên có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràng
buộc với các kỹ thuật truy cập từ xa truyền thống chẳng hạn như network-level
VPN, SSL VPN gateway, và proxy ngược. Nó cho người dùng trải nghiệm xuyên
suốt, cho CNTT khả năng quản lý tiên tiến. DirectAccess cho phép truy cập bất
cứ nơi đâu, thậm chí khi hệ thống máy khách DirectAccess nằm phía sau tường
lửa.
1. Có thể mở rộng mạng công ty với một máy tính được kết nối Internet ở bất cứ
đâu trên thế giới
Mục tiêu của DirectAccess là mở rộng phạm vi mạng công ty đến bất cứ máy
khách DirectAccess nào được kết nối Internet. Máy tính DirectAccess ở đây là một
thành viên miền, được quản lý bởi các cơ chế điều khiển và quản lý như các máy tính
nằm phạm vi bên trong đường biên mạng công ty. Ngoài sự mở rộng tầm kiểm soát
của CNTT qua tất cả các máy tính này, không quan tâm đến vị trí, DirectAccess còn
cung cấp một trải nghiệm truy cập mạng xuyên suốt cho người dùng. Họ không cần
phải nhớ sử dụng tên (name) nào đó khi nằm trong mạng công ty và một tên (name)
khác khi không nằm trong mạng đó; đó là vì họ luôn trên mạng công ty.
Khi máy tính DirectAccess khởi chạy, nó sẽ thiết lập một đường hầm “
cơ sở hạ
tầng
”. Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess có thể kết nối
đến các tài nguyên miền, chẳng hạn như domain controller, máy chủ DNS và máy chủ
quản lý. Đường hầm này cũng là đường hầm hai chiều, do đó CNTT có thể khởi tạo
các kết nối đến các máy khách DirectAccess trên Internet (được gọi là các kết nối
“
manage out”), cũng trong đường hầm đó, họ có thể kết nối đến các host trên mạng

• Máy chủ DirectAccess phải có hai adapter giao diện mạng.
3. IPv6 là nền tảng trong truyền thông DirectAccess
Máy khách DirectAccess luôn sử dụng không gian địa chỉ IPv6 để truyền thông
với máy chủ DirectAccess. Máy chủ DirectAccess sẽ chuyển tiếp các kết nối này đến
các thiết bị IPv6 trên mạng công ty. Mạng công ty có thể sử dụng cơ sở hạ tầng IPv6
(nói như vậy là tất cả router, switch, hệ điều hành và các ứng dụng đều có khả năng hỗ
trợ IPv6) hoặc nó có thể sử dụng các kỹ thuật chuyển tiếp IPv6 để kết nối đến các tài
nguyên IPv6 trên mạng công ty.
Máy chủ DirectAccess có thể sử dụng ISATAP (Intra-site Automatic Tunnel
Addressing Protocol) cho các gói dữ liệu đường hầm IPv6 bên trong các header IPv4,
đây là giao thức có thể lợi dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển các
gói dữ liệu IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internet
có thể sử dụng một số các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủ
DirectAccess, gồm có 6to4, Teredo và IP-HTTPS.
4. IPSec bảo vệ sự truyền thông từ đầu đến cuối
Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạng
Internet bên ngoài, do đó sự an toàn trong truyền thông là một vấn đề cực kỳ quan
trọng. DirectAccess sử dụng giao thức Ipsec để bảo vệ sự an toàn truyền thông giữa
máy chủ và khách DirectAccess. Chế độ đường hầm Ipsec được sử dụng để thiết lập
các đường hầm mạng nội bộ và cơ sở hạ tầng. Thêm vào đó, bạn có thể cấu hình
DirectAccess để yêu cầu mã hóa từ đầu đến cuối (
end-to-end) giữa máy khách
DirectAccess và máy chủ đích đến trên mạng công ty nhằm sử dụng chế độ truyền tải
Ipsec, từ đó kết nối được mã hóa từ máy khách đến đích của nó. DirectAccess cũng lợi
dụng tính năng AuthIP mới được giới thiệu đầu tiên trong Vista và Windows Server
2008, làm cho các kết nối được thẩm định thông qua chứng chỉ người dùng hoặc máy
tính thay vì chỉ các chứng chỉ máy tính.
5. Các ứng dụng máy khách phải hiểu không gian địa chỉ IPv6
Tuy mục tiêu là cung cấp một trải nghiệm tin học tương tự như các máy khách
được kết nối trong mạng công ty, nhưng có một số điểm khác biệt chính giữa máy

(
agent) của máy khách DirectAccess có thể kết nối đến máy chủ của chúng để cập nhật
các nâng cấp, các thông tin cấu hình cần thiết, các thiết lập bảo mật và bất cứ thứ gì
cần thiết để bảo đảm cho máy khách DirectAccess tuân thủ đúng các chính sách bảo
mật và cấu hình mạng.
Để làm cho quá trình trở nên trong suốt, phải có một cơ chế mà ở đó các thành
phần của máy khách DirectAccess biết lúc nào chúng cần bật, lúc nào cần tắt. Đó
chính là Network Location Server. Network Location Server (NLS) là một Web server
cho phép các kết nối SSL gửi đến. Bạn có thể cho phép thẩm định tích hợp hoặc nặc
danh đến máy chủ NLS. Khi máy khách DirectAccess kết nối đến NLS, nó sẽ biết rằng
nó đang nằm trên mạng công ty, và sẽ tắt các thành phần máy khách DirectAccess.
Nếu máy khách DirectAccess không thể liên lạc được máy chủ NLS, khi đó nó biết
rằng nó đang nằm ngoài mạng công ty và sẽ tự động bật các thành phần máy khách
DirectAccess để thiết lập các đường hầm Ipsec đến máy chủ DirectAccess qua
Internet. Máy khách DirectAccess sẽ thực hiện một hành động kiểm tra chứng chỉ NLS
Web server trên danh sách chứng chỉ bị thu hồi - Certificate Revocation List, vì vậy
CRL phải có sẵn. Bằng không kết nối đến website NLS SSL sẽ thất bại và quá trình
phát hiện mạng nội bộ cũng sẽ thất bại.
8. Chứng chỉ, chứng chỉ, chứng chỉ!
Các chứng chỉ được sử dụng ở một số địa điểm trong giải pháp DirectAccess
client/server. Một số nơi mà bạn sẽ thấy các chứng chỉ đó là:
• Máy khách DirectAccess. Mỗi máy khách DirectAccess cần có một chứng chỉ
để thiết lập các kết nối Ipsec đến máy chủ DirectAccess. Các chứng chỉ này
được sử dụng để tạo các kết nối Ipsec và cũng được sử dụng bởi IP-HTTPS, nơi
máy chủ DirectAccess sẽ thực hiện hành động hợp lệ hóa chứng chỉ máy tính
trước khi cho phép kết nối IP-HTTPS diễn ra trên Internet. Các chứng chỉ máy
tính được gán tốt nhất bằng cách sử dụng Microsoft Certificate Server và biện
pháp tự động kết nạp chứng chỉ dựa trên Group Policy.
• IP-HTTPS listener trên máy chủ DirectAccess. IP-HTTPS là một công nghệ
chuyển tiếp IPv6 được sử dụng cho các gói dữ liệu đường hầm IPv6 trên

khách DirectAccess. Quan trọng hơn, khi kết nối đến mạng công ty qua kết nối
DirectAccess, các máy khách DirectAccess không nghĩ rằng nó được kết nối đến mạng
công ty bởi việc phân định tên của NLS server.
10. DirectAccess cho phép khả năng “manage out”
Như đã đề cập ở trên, CNTT có thể lợi dụng khả năng “manage out” bởi đường
hầm cơ sở hạ tầng để kết nối đến các máy khách DirectAccess trên Internet. Mặc dù
vậy, bạn vẫn cần cấu hình các rule tường lửa trong Windows Firewall with Advanced
Security (WFAS) để cho phép các kết nối này cho các máy khách Teredo. Khi tạo các
rule này, bảo đảm rằng chúng đã bật tính năng Edge Traversal cho Firewall Rule. Máy
khách DirectAccess là Teredo khi chúng nằm phía sau NAT để kết nối đến Internet và
máy chủ DirectAccess, lúc này thiết bị NAT cho phép gửi đi trên cổng UDP 3544.