Giới thiệu về UAG DirectAccess – Phần 1
Trong bài viết này chúng tôi sẽ cung cấp một kiến thức tổng quan về những gì
DirectAccess có thể thực hiện và những giá trị mà nó cung cấp cho cả quản trị viên
lẫn người dùng.
DirectAccess là một kỹ thuật truy cập từ xa mới có trong Windows 7 và Windows Server
2008 R2, kỹ thuật này cho phép người dùng có thể kết nối với mạng công ty bất cứ thời
điểm nào. Từ quan điểm của người dùng, trải nghiệm họ có được là hoàn toàn giống nhau
mà không bị phụ thuộc vào địa điểm kết nối. Người dùng có thể di chuyển từ mạng công
ty sang mạng của một khách sạn, một quán cà phê hay trung tâm hội thảo nào đó có cung
cấp kết nối không dây. Chỉ cần được kết nối Internet, họ có thể truy cập được các tài
nguyên trong mạng nội bộ, như thể đang truy cập trực tiếp đến các tài nguyên đó thông
qua kết nối Ethernet hoặc kết nối không dây 802.11.
Khía cạnh “always-on” của DirectAccess được cho là phần quan trọng nhất của giải pháp
này. Người dùng không cần khởi tạo kết nối VPN; họ không cần nhớ URL của SSL VPN
gateway (thậm chí SSL VPN gateway là một UAG server). Họ không cần thực hiện bất
cứ thứ gì – chỉ cần kích các liên kết trong email hoặc trên desktop hay đánh vào tên máy
chủ muốn sử dụng, sau đó thực hiện kết nối. Một kết nối xuyên suốt như vậy chắc chắn
sẽ tạo năng suất cho công việc.
Mặc dù vậy, DirectAccess còn cung cấp nhiều hơn như những gì được giới thiệu ở trên.
Do kết nối DirectAccess là liên kết hai chiều, bạn – quản trị viên mạng – sẽ có khả năng
kết nối với các máy khách DirectAccess qua Internet. Bất cứ khi nào một máy khách
DirectAccess được bật, bạn đều có thể kết nối và quản lý máy khách này. Người dùng
không cần phải đăng nhập để bạn có thể kết nối với các máy khách DirectAccess từ bên
trong mạng công ty. Điều này có nghĩa rằng, cơ sở hạ tầng quản lý mà bạn sử dụng để
điều khiển và cấu hình các host trên mạng công ty lúc này sẽ luôn trong tình trạng sẵn có
(available) đối với việc quản lý các máy tính được kết nối thông qua DirecDtAccess.

DirectAccess làm việc như thế nào
Cùng với DirectAccess, người dùng Windows 7 và Windows Server 2008 R2 sẽ gặp một
số công nghệ mới của các hệ điều hành này. Một số công nghệ này có thể mới có, một số
có thể đã được biết đến từ lâu. Mặc dù vậy, dù đang làm việc với công nghệ cũ hay mới

Hai kiểu tunnel ở đây là:
 Infrastructure tunnel: Infrastructure tunnel bắt đầu khi máy tính khởi động
nhưng trước lúc người dùng đăng nhập. Máy tính DirectAccess luôn là một thành viên
miền và tài khoản của nó được sử dụng để đăng nhập thông qua chứng chỉ máy tính và
xác thực NTLMv2. Thêm vào đó, nó phải thuộc nhóm bảo mật dành riêng cho các máy
khách DirectAccess. tunnel này có kết nối hai chiều và các tác nhân quản lý trên máy
khách có thể gọi đến máy chủ quản lý trên mạng công ty. Máy chủ quản lý có thể khởi
tạo các kết nối đến máy khách DirectAccess khi tunnel Infrastructure tunnel được thiết
lập. Máy khách DirectAccess chỉ có thể kết nối thông qua tunnel này để truy cập các máy
chủ mà bạn chỉ định. tunnel này không cho phép truy cập mở đối với toàn bộ mạng nội
bộ.
 Intranet tunnel: Intranet tunnel được thiết lập sau khi người dùng đăng nhập.
tunnel này cũng được mã hóa bằng ESP và AES 192. Việc xác thực được thực hiện bằng
chứng chỉ máy tính (giống infrastructure tunnel) và xác thực Kerberos cho tài khoản
người dùng. Intranet tunnel cho phép người dùng có thể truy cập tới bất cứ tài nguyên
nào nằm trong mạng nội bộ mà họ có thẩm quyền.
Có hai kiểu truy nhập bạn có thể sử dụng khi kích hoạt các máy khách DirectAccess để
kết nối đến mạng nội bộ. Bạn có thể chọn “end to edge” hoặc “end to end” tùy ý. Chúng
ta hãy đi xem xét hai kiểu này:
 End to Edge: Khi sử dụng kiểu kết nối “end to edge”, máy khách DirectAccess sẽ
thiết lập một liên kết ở chế độ IPsec tunnel xác thực đến máy chủ UAG DirectAccess.
Sau khi hoàn thành kết nối Ipsec tại máy chủ DirectAccess, việc chuyển rời lưu lượng từ
máy chủ DirectAccess đến các máy chủ trong mạng nội bộ được xác thực hoặc được mã
hóa ở mức mạng.
 End to End: Kiểu bảo mật mạng “end to end” cho phép bảo mật các kết nối với
Ipsec một cách xuyên suốt. Kết nối giữa máy khách và máy chủ DirectAccess sẽ được mã
hóa và được xác thực bằng chế độ IPsec tunnel. Sau khi lưu lượng rời máy chủ
DirectAccess để đến máy chủ khác trong mạng nội bộ, kết nối đó sẽ được chuyển qua
mạng nội bộ bằng chế độ IPsec transport. Mặc dù vậy, thiết lập mặc định chỉ xác thực
cho điểm kết cuối; kết nối ở chế độ transport không được mã hóa để IDS mạng và các

nhắn IPv6 được chuyển đi bên trong một header Ipv4 qua mạng IPv4, chính vì vậy không
cần nâng cấp router và switch DNS cũng như DHCP server để làm việc với kết nối IPv6.
Kết luận
Trong phần một của loạt bài này, chúng tôi đã cung cấp cho các bạn kiến thức tổng quan
về những gì DirectAccess có thể thực hiện, những giá trị nó có thể cung cấp cho cả bạn
và người dùng. Chúng ta đã thấy cách DirectAccess thiết lập hai tunnel, intranet tunnel và
infrastructure tunnel. Thêm vào đó là hai chế độ triển khai: end to edge và end to end.
Trong phần tiếp theo của loạt bài, chúng tôi sẽ giới thiệu một số thông tin chi tiết về kỹ
thuật chuyển tiếp IPv6 được sử dụng bởi UAG DirectAccess.