Voor de mensen die nog niet helemaal op de hoogte zijn van de nieuwe mogelijkheden van Windows 7, zal ik het nog even herhalen. DirectAccess is een manier voor Windows 7 clients om veilig te verbinden met het bedrijfsnetwerk, vanaf elke locatie en zonder traditionele VPN. Het verzorgt een versleutelde verbinding tussen het bedrijfsdomein en het clientapparaat voordat de gebruiker op het systeem inlogt, waardoor systeembeheerders in staat worden gesteld om de remote machine via Group Policy en dergelijke te beheren, alsof die gewoon op het netwerk zit. De verbinding staat altijd aan, zodat gebruikers er niet aan hoeven te denken om de VPN client op te starten. Bovendien staan hun applicaties, zoals Outlook en instant messaging, altijd in contact met het bedrijfsnetwerk.

Benodigdheden

Vanuit dit standpunt gezien is DirectAccess fantastisch. Als beheerder vind ik het geweldig dat ik altijd toegang heb tot de apparaten buiten de deur, waardoor ik me ervan kan verzekeren dat de virusdefinities en updates op hun plek staan en dat de systemen altijd voldoen aan mijn Group Policy. Ook vind ik het prettig dat ik geen hele batterij aan VPN policies hoef bij te houden, terwijl mijn gebruikers toch gewoon bij hun e-mail en intranetsites kunnen, zonder extra applicaties.

Maar meer functionaliteit betekent ook dat er meer wordt verwacht van de hardware en de software. Hier volgt een lijst van wat je nodig hebt voor DirectAccess, die rechtstreeks afkomstig is van Microsoft TechNet:

* Een of meer DirectAccess servers draaien Windows Server 2008 R2 met twee network adapters: een daarvan is direct verbonden met internet, en een tweede is verbonden met het intranet.

* Op de DirectAccess server zijn minstens twee opeenvolgende IPv4 adressen toegewezen aan de netwerk adapter die is verbonden met het internet.

* DirectAccess clients draaien Windows 7.

* Minstens één domain controller en DNS server draaien Windows Server 2008 SP2 of Windows Server 2008 R2.

* Een public key infrastructuur (PKI) voor het uitdelen van computer certificaten, smart card certificaten en, voor NAP, health certificaten.

* IPsec policies om de bescherming van verkeer te specificeren.

* IPv6 transition technologieën die beschikbaar zijn voor het gebruik op de DirectAccess server: ISATAP, Teredo en 6to4

* Optioneel is een third party NAT-PT apparaat om DirectAccess clients toegang te verlenen tot IPv4-only bronnen.

Dat is een nogal forse lijst. Het betekent dat ik zowat alles aan de rand van mijn netwerk moet veranderen, vervangen of upgraden als ik DirectAccess wil implementeren. En naast het onderhouden van een firewall voor internettoegang, moet ik ook nog een direct-to-internet server inzetten, die dienst doet als DirectAccess termination point. Omdat mijn servers over het algemeen zijn vervangen en geüpdatet, zie ik op mijn netwerk het licht aan het eind van de tunnel. Maar voor de meeste van ons zal deze lijst van voorwaarden onoverkomelijk zijn.

De uitrol

Vanuit het perspectief van de uitrol zijn er een aantal problemen. Ten eerste draait DirectAccess over IPv6 en verbindt het alleen naar Windows Server 2008 R2 of Windows Server 2008 SP2. Maar het internet hangt over het algemeen nog aan elkaar met IPv4. Om DirectAccess goed te laten werken over internet, moeten er dus bridging protocollen worden gebruikt zoals 6to4 of Teredo, om de IPv6 pakketten over IPv4-media of -netwerkapparaten te krijgen. Deze technologieën zijn al een paar jaar beschikbaar, dus op zichzelf is dat geen probleem. Alleen dachten we dat we onze remote toegang versimpeld zou worden doordat we geen VPN management meer nodig hebben. En nu blijkt dat we aan de andere kant weer een protocol toevoegen aan het aroma.

Windows Server 2003

Omdat andere releases van Windows Server geen dual-layer IP ondersteunen, kan DirectAccess niet zomaar met ze praten. Als je bedrijf een paar Windows Server 2003 machines heeft staan die niet snel een upgrade zullen krijgen, dan is de data in die silo niet direct toegankelijk met DirectAccess.

Natuurlijk zijn er manieren om gebruikers toegang te geven tot die legacy servers, door middel van een NAT-PT (Network Address translation/Protocol Translation) appliance, zoals Forefront Unified Access Gateway van Microsoft. Door zo’n NAT-PT gateway in te zetten wordt DirectAccess clients toegestaan om te verbinden met IPv4-gebaseerde servers en bronnen. Dat werkt prima, maar daarmee voegen we opnieuw een systeem toe aan het netwerk.

Struikelblok

DirectAccess is een van die mooie nieuwe functies waarbij Windows 7 en Windows Server 2008 hand in hand gaan en waar ik echt enthousiast over was. En ik denk nog steeds dat het de toekomst is van veilige en beheersbare remote toegang voor Windowsgebruikers. Maar jammer genoeg zie ik het niet gebeuren dat veel kleine of middelgrote netwerken de gigantische upgrade krijgen die nodig is voor deze nieuwe functionaliteit. De kosten en de moeite zijn gewoon niet te rechtvaardigen als er al een VPN in het netwerk draait, keurig afbetaald en geïnstalleerd.

Bron: Techworld