Các tính năng kỹ thuật của DirectAccess
trong Windows Server
DirectAccess là một kỹ thuật truy cập từ xa có sẵn nhờ sự kết hợp của Windows
Server 2008 R2 và Windows 7 phiên bản Enterprise hay Ultimate
DirectAccess hứa hẹn cách mạng hóa toàn bộ trải nghiệm truy cập từ xa để mọi nhân viên
có thể làm việc từ bất cứ nơi đâu, bất cứ lúc nào mà không cần ràng buộc với các kỹ thuật
truy cập từ xa truyền thống chẳng hạn như network-level VPN, SSL VPN gateway, và
proxy ngược. Nó cho người dùng trải nghiệm xuyên suốt, cho CNTT khả năng quản lý
tiên tiến. DirectAccess cho phép truy cập bất cứ nơi đâu, thậm chí khi hệ thống máy
khách DirectAccess nằm phía sau tường lửa.
1. Có thể mở rộng mạng công ty với một máy tính được kết nối Internet ở bất cứ
đâu trên thế giới
Mục tiêu của DirectAccess là mở rộng phạm vi mạng công ty đến bất cứ máy khách
DirectAccess nào được kết nối Internet. Máy tính DirectAccess ở đây là một thành viên
miền, được quản lý bởi các cơ chế điều khiển và quản lý như các máy tính nằm phạm vi
bên trong đường biên mạng công ty. Ngoài sự mở rộng tầm kiểm soát của CNTT qua tất
cả các máy tính này, không quan tâm đến vị trí, DirectAccess còn cung cấp một trải
nghiệm truy cập mạng xuyên suốt cho người dùng. Họ không cần phải nhớ sử dụng tên
(name) nào đó khi nằm trong mạng công ty và một tên (name) khác khi không nằm trong
mạng đó; đó là vì họ luôn trên mạng công ty.
Khi máy tính DirectAccess khởi chạy, nó sẽ thiết lập một đường hầm “cơ sở hạ tầng”.
Đường hầm cơ sở này sẽ cho phép các máy khách DirectAccess có thể kết nối đến các tài
nguyên miền, chẳng hạn như domain controller, máy chủ DNS và máy chủ quản lý.
Đường hầm này cũng là đường hầm hai chiều, do đó CNTT có thể khởi tạo các kết nối
đến các máy khách DirectAccess trên Internet (được gọi là các kết nối “manage out”),
cũng trong đường hầm đó, họ có thể kết nối đến các host trên mạng nội bộ.
Sau khi người dùng đăng nhập, một đường hầm thứ hai, đường hầm mạng nội bộ
(intranet tunnel), cho phép người dùng có thể kết nối đến các tài nguyên công ty giống
như cách một host trong mạng nội bộ kết nối đến các tài nguyên đó. Chúng có thể sử
dụng FQDN hoặc tên nhãn để kết nối đến máy chủ file, máy chủ web, máy chủ cơ sở dữ
liệu, mail hoặc bất kỳ máy chủ nào và không cần cấu hình lại các ứng dụng khi rời khỏi

Máy chủ DirectAccess có thể sử dụng ISATAP (Intra-site Automatic Tunnel Addressing
Protocol) cho các gói dữ liệu đường hầm IPv6 bên trong các header IPv4, đây là giao
thức có thể lợi dụng cơ sở hạ tầng định tuyến IPv4 của bạn để chuyển các gói dữ liệu
IPv6 trong mạng. Các máy khách DirectAccess đã kết nối với IPv4 Internet có thể sử
dụng một số các công nghệ chuyển tiếp IPv6 để kết nối đến máy chủ DirectAccess, gồm
có 6to4, Teredo và IP-HTTPS.
4. IPSec bảo vệ sự truyền thông từ đầu đến cuối
Vì sự truyền thông giữa máy khách và máy chủ DirectAccess sẽ qua mạng Internet bên
ngoài, do đó sự an toàn trong truyền thông là một vấn đề cực kỳ quan trọng. DirectAccess
sử dụng giao thức Ipsec để bảo vệ sự an toàn truyền thông giữa máy chủ và khách
DirectAccess. Chế độ đường hầm Ipsec được sử dụng để thiết lập các đường hầm mạng
nội bộ và cơ sở hạ tầng. Thêm vào đó, bạn có thể cấu hình DirectAccess để yêu cầu mã
hóa từ đầu đến cuối (end-to-end) giữa máy khách DirectAccess và máy chủ đích đến trên
mạng công ty nhằm sử dụng chế độ truyền tải Ipsec, từ đó kết nối được mã hóa từ máy
khách đến đích của nó. DirectAccess cũng lợi dụng tính năng AuthIP mới được giới thiệu
đầu tiên trong Vista và Windows Server 2008, làm cho các kết nối được thẩm định thông
qua chứng chỉ người dùng hoặc máy tính thay vì chỉ các chứng chỉ máy tính.
5. Các ứng dụng máy khách phải hiểu không gian địa chỉ IPv6
Tuy mục tiêu là cung cấp một trải nghiệm tin học tương tự như các máy khách được kết
nối trong mạng công ty, nhưng có một số điểm khác biệt chính giữa máy khách trong
mạng công ty và máy khách DirectAccess: máy khách DirectAccess phải và luôn luôn sử
dụng IPv6 để kết nối đến máy chủ DirectAccess. Điều đó có nghĩa rằng ứng dụng máy
khách trên máy khách DirectAccess phải hiểu không gian địa chỉ IPv6. Nếu ứng dụng
máy khách không hiểu không gian địa chỉ IPv6, kết nối sẽ thất bại. Điều này còn đúng
thậm chí khi sử dụng một bộ chuyển đổi IPv6 sang IPv4, đây là bộ chuyển đổi cho phép
các máy khách DirectAccess có thể kết nối đến các máy chủ IPv4 trên mạng công ty.
6. Làm việc với sự hỗ trợ của Active Directory và Group Policy
Một số thay đổi cấu hình máy chủ và máy khách DirectAccess để giúp giải pháp làm
việc. Để tạo các thay đổi này theo một cách hiệu quả nhất, giải pháp mà DirectAccess
đưa ra là sử dụng các đối tượng Active Directory và Active Directory Group Policy. GPO

NLS SSL sẽ thất bại và quá trình phát hiện mạng nội bộ cũng sẽ thất bại.
8. Chứng chỉ, chứng chỉ, chứng chỉ!
Các chứng chỉ được sử dụng ở một số địa điểm trong giải pháp DirectAccess
client/server. Một số nơi mà bạn sẽ thấy các chứng chỉ đó là:
 Máy khách DirectAccess. Mỗi máy khách DirectAccess cần có một chứng chỉ để
thiết lập các kết nối Ipsec đến máy chủ DirectAccess. Các chứng chỉ này được sử
dụng để tạo các kết nối Ipsec và cũng được sử dụng bởi IP-HTTPS, nơi máy chủ
DirectAccess sẽ thực hiện hành động hợp lệ hóa chứng chỉ máy tính trước khi cho
phép kết nối IP-HTTPS diễn ra trên Internet. Các chứng chỉ máy tính được gán tốt
nhất bằng cách sử dụng Microsoft Certificate Server và biện pháp tự động kết nạp
chứng chỉ dựa trên Group Policy.
 IP-HTTPS listener trên máy chủ DirectAccess. IP-HTTPS là một công nghệ
chuyển tiếp IPv6 được sử dụng cho các gói dữ liệu đường hầm IPv6 trên Internet
IPv4. Giao thức này được thiết kế bởi Microsoft nhằm cho phép máy khách
DirectAccess có thể kết nối đến máy chủ DirectAccess, thậm chí nếu máy khách
DirectAccess nằm phía sau tường lửa chỉ cho phép các kết nối HTTP/HTTPS gửi
đi hoặc phía sau Web proxy server. IP-HTTPS listener yêu cầu một chứng chỉ
website, và máy khách DirectAccess phải có khả năng liên lạc với máy chủ đang
chứa CRL cho việc thẩm định chứng chỉ. Nếu quá trình kiểm tra CRL thất bại, kết
nối IP-HTTPS cũng sẽ thất bại. Các chứng chỉ thương mại là giải pháp tốt nhất
cho IP-HTTPS listener, vì CRL của họ có sẵn trên toàn cầu.
 Máy chủ DirectAccess. Máy chủ DirectAccess lưu trữ chứng chỉ website the IP-
HTTPS, tuy nhiên nó cũng yêu cầu một chứng chỉ máy tính để thiết lập các kết
nối Ipsec với các máy khách DirectAccess.
9. Bảng chính sách phân định tên cung cấp các truy vấn DNS theo chính sách
Máy khách DirectAccess sử dụng bảng chính sách phân định tên - Name Resolution
Policy Table (NRPT) để xác định máy chủ DNS nào có thể sử dụng để phân định tên.
Khi máy khách DirectAccess nằm trong mạng công ty, NRPT sẽ tự động được tắt. Khi
máy khách DirectAccess phát hiện rằng nó nằm trên Internet, máy khách DirectAccess sẽ
kích hoạt NRPT và kiểm tra các entry của nó để xem máy chủ DNS nào nên sử dụng để