Kết quả 1 đến 2 của 2
  1. #1
    Ngày tham gia
    Sep 2015
    Bài viết
    0

    Giới thiệu về UAG DirectAccess

    – Trong bài viết này chúng tôi sẽ cung cấp một kiến thức tổng quan về những gì DirectAccess có thể thực hiện và những giá trị mà nó cung cấp cho cả quản trị viên lẫn người dùng. DirectAccess là một kỹ thuật truy cập từ xa mới có trong Windows 7 và Windows Server 2008 R2, kỹ thuật này cho phép người dùng có thể kết nối với mạng công ty bất cứ thời điểm nào. Từ quan điểm của người dùng, trải nghiệm họ có được là hoàn toàn giống nhau mà không bị phụ thuộc vào địa điểm kết nối. Người dùng có thể di chuyển từ mạng công ty sang mạng của một khách sạn, một quán cà phê hay trung tâm hội thảo nào đó có cung cấp kết nối không dây. Chỉ cần được kết nối Internet, họ có thể truy cập được các tài nguyên trong mạng nội bộ, như thể đang truy cập trực tiếp đến các tài nguyên đó thông qua kết nối Ethernet hoặc kết nối không dây 802.11. Khía cạnh “always-on” của DirectAccess được cho là phần quan trọng nhất của giải pháp này. Người dùng không cần khởi tạo kết nối VPN; họ không cần nhớ URL của SSL VPN gateway (thậm chí SSL VPN gateway là một UAG server). Họ không cần thực hiện bất cứ thứ gì – chỉ cần kích các liên kết trong email hoặc trên desktop hay đánh vào tên máy chủ muốn sử dụng, sau đó thực hiện kết nối. Một kết nối xuyên suốt như vậy chắc chắn sẽ tạo năng suất cho công việc. Mặc dù vậy, DirectAccess còn cung cấp nhiều hơn như những gì được giới thiệu ở trên. Do kết nối DirectAccess là liên kết hai chiều, bạn – quản trị viên mạng – sẽ có khả năng kết nối với các máy khách DirectAccess qua Internet. Bất cứ khi nào một máy khách DirectAccess được bật, bạn đều có thể kết nối và quản lý máy khách này. Người dùng không cần phải đăng nhập để bạn có thể kết nối với các máy khách DirectAccess từ bên trong mạng công ty. Điều này có nghĩa rằng, cơ sở hạ tầng quản lý mà bạn sử dụng để điều khiển và cấu hình các host trên mạng công ty lúc này sẽ luôn trong tình trạng sẵn có (available) đối với việc quản lý các máy tính được kết nối thông qua DirectAccess.
    DirectAccess làm việc như thế nào

    Cùng với DirectAccess, người dùng Windows 7 và Windows Server 2008 R2 sẽ gặp một số công nghệ mới của các hệ điều hành này. Một số công nghệ này có thể mới có, một số có thể đã được biết đến từ lâu. Mặc dù vậy, dù đang làm việc với công nghệ cũ hay mới thì tất cả chúng đều không quá phức tạp. Cần tránh một số quan điểm cho rằng DirectAccess không đáng với những gì phức tạp mà người dùng nó phải nỗ lực vượt qua. Nhận thức này là vì trước khi UAG 2010 được phát hành, chỉ có một cách duy nhất có thể triển khai DirectAccess là sử dụng giải pháp Windows DirectAccess đi kèm. Giải pháp này tồn tại một số hạn chế so với giải pháp của UAG DirectAccess:
    • Windows DirectAccess hỗ trợ hạn chế khả năng sẵn có cao, cơ chế thường dùng liên quan đến việc sử dụng Hyper-V và Windows failover cluster nhằm cung cấp khả năng stand-by tốt. Bên cạnh đó cũng không có sự hỗ trợ cho việc cân bằng tải trọng trong mạng (Network Load Balancing).
    • Windows DirectAccess không hỗ trợ các mảng DirectAccess. Nếu muốn thiết lập nhiều máy chủ Windows DirectAccess, bạn cần cấu hình và quản lý chúng một cách riêng biệt. Trái ngược lại, các máy chủ UAG DirectAccess lại có thể được cấu hình theo mảng.
    • Máy chủ Windows DirectAccess không hỗ trợ các máy chủ chỉ hỗ trợ IPv4 (IPv4 only). Máy khách DirectAccess trên Internet cũng không thể kết nối với các máy chủ dạng này. Điều đó có nghĩa rằng, nếu muốn sử dụng giải pháp Windows DirectAccess, bạn cần nâng cấp các máy chủ của mình lên Windows Server 2008 hoặc mới hơn. Ngược lại, giải pháp UAG DirectAccess lại hỗ trợ đầy đủ các máy chủ IPv4 trong mạng công ty.
    Nếu có kế hoạch triển khai DirectAccess trong mạng công ty của mình, cách tốt nhất để thực hiện điều đó là sử dụng giải pháp UAG DirectAccess. Kết nối máy khách DirectAccess

    IPv6 chính là vẫn đề cốt lõi của giải pháp DirectAccess, đây là một trong những lý do khiến nhiều quản trị viên có cảm giác không thể triển khai giải pháp vào thời điểm này. IPv6 rõ ràng phức tạp hơn và với sự cắt giảm kinh phí lẫn nhân lực CNTT thì đây quả thực là một trở ngại. Mặc dù vậy, với UAG, bạn không cần phải trở thành một chuyên gia IPv6, giải pháp UAG DirectAccess sẽ tự động triển khai cơ sở hạ tầng IPv6 cần thiết. Khi máy khách DirectAccess được kết nối với Internet, nó sẽ cố gắng thiết lập hai tunnel Ipsec đến máy chủ UAG DirectAccess. Hai tunnel này sẽ sử dụng chế độ IPsec tunnel và giao thức Encapsulating Security Payload (ESP) cùng mã hóa AES 192bit để bảo vệ sự riêng tư. Hai kiểu tunnel ở đây là:
    • Infrastructure tunnel: Infrastructure tunnel bắt đầu khi máy tính khởi động nhưng trước lúc người dùng đăng nhập. Máy tính DirectAccess luôn là một thành viên miền và tài khoản của nó được sử dụng để đăng nhập thông qua chứng chỉ máy tính và xác thực NTLMv2. Thêm vào đó, nó phải thuộc nhóm bảo mật dành riêng cho các máy khách DirectAccess. tunnel này có kết nối hai chiều và các tác nhân quản lý trên máy khách có thể gọi đến máy chủ quản lý trên mạng công ty. Máy chủ quản lý có thể khởi tạo các kết nối đến máy khách DirectAccess khi tunnel Infrastructure tunnel được thiết lập. Máy khách DirectAccess chỉ có thể kết nối thông qua tunnel này để truy cập các máy chủ mà bạn chỉ định. tunnel này không cho phép truy cập mở đối với toàn bộ mạng nội bộ.
    • Intranet tunnel: Intranet tunnel được thiết lập sau khi người dùng đăng nhập. tunnel này cũng được mã hóa bằng ESP và AES 192. Việc xác thực được thực hiện bằng chứng chỉ máy tính (giống infrastructure tunnel) và xác thực Kerberos cho tài khoản người dùng. Intranet tunnel cho phép người dùng có thể truy cập tới bất cứ tài nguyên nào nằm trong mạng nội bộ mà họ có thẩm quyền.
    Có hai kiểu truy nhập bạn có thể sử dụng khi kích hoạt các máy khách DirectAccess để kết nối đến mạng nội bộ. Bạn có thể chọn “end to edge” hoặc “end to end” tùy ý. Chúng ta hãy đi xem xét hai kiểu này:
    • End to Edge: Khi sử dụng kiểu kết nối “end to edge”, máy khách DirectAccess sẽ thiết lập một liên kết ở chế độ IPsec tunnel xác thực đến máy chủ UAG DirectAccess. Sau khi hoàn thành kết nối Ipsec tại máy chủ DirectAccess, việc chuyển rời lưu lượng từ máy chủ DirectAccess đến các máy chủ trong mạng nội bộ được xác thực hoặc được mã hóa ở mức mạng.
    • End to End: Kiểu bảo mật mạng “end to end” cho phép bảo mật các kết nối với Ipsec một cách xuyên suốt. Kết nối giữa máy khách và máy chủ DirectAccess sẽ được mã hóa và được xác thực bằng chế độ IPsec tunnel. Sau khi lưu lượng rời máy chủ DirectAccess để đến máy chủ khác trong mạng nội bộ, kết nối đó sẽ được chuyển qua mạng nội bộ bằng chế độ IPsec transport. Mặc dù vậy, thiết lập mặc định chỉ xác thực cho điểm kết cuối; kết nối ở chế độ transport không được mã hóa để IDS mạng và các thiết bị bảo mật khác có thể đánh giá chúng trên mạng. Điều này sẽ làm giảm một số xử lý không đáng có (overhead) liên quan đến kết nối Ipsec.
    Ngoài chứng chỉ máy tính, tài khoản máy tính (NTLMv2) và xác thực tài khoản người dùng được sử dụng trong quá trình tạo các tunnel DirectAccess, bạn cũng có tùy chọn buộc người dùng phải sử dụng xác thực Smart Card để thiết lập intranet tunnel, nâng cao khả năng bảo mật cho giải pháp. Nếu xác thực bằng thẻ thông minh không đủ an toàn so với yêu cầu, bạn có thể thực thi một số chính sách trên máy khách DirectAccess bằng NAP, lúc này máy khách không đủ điều kiện sẽ bị cách ly trước khi cho phép thiết lập các tunnel infrastructure tunnel và intranet tunnel. Một điều quan trọng cần lưu ý ở đây là kết nối End to Edge hỗ trợ tất cả các mạng, điều này không bắt buộc bạn phải có các host hỗ trợ IPv6 trong mạng nội bộ. Mặc dù vậy, nếu muốn triển khai bảo mật “end to end” với chế độ IPsec tunnel và IPsec transport thì bạn cần phải có các máy chủ Windows Server 2008 phía sau máy chủ DirectAccess. Ngoài ra, bạn có thể sử dụng lẫn các kiểu kết nối End to EdgeEnd to End; chúng không loại trừ lẫn nhau. Tất cả lưu lượng di chuyển giữa máy khách và máy chủ DirectAccess đều là lưu lượng IPv6. Ngụ ý ở đây là rằng, dù các máy chủ phía sau UAG DirectAccess không nhận biết IPv6 (IPv6 aware) thì các ứng dụng máy khách phải hỗ trợ giao thức này. Để đáp ứng điều đó, bạn cần đảm bảo các ứng dụng máy khách tương thích IPv6 trước khi triển khai DirectAccess. Lưu ý: Chúng ta cần làm rõ các thuật ngữ như “IPv6 aware”, “IPv6 capable”, “IPv6 only” và “native IPv6”. Khi nói đến các mạng “native IPv6”, chúng ta cần hiểu rằng tất cả cơ sở hạ tầng mạng ở đây (routers, DNS, DHCP,…) cũng như các máy khách và máy chủ hỗ trợ IPv6 một cách hoàn chỉnh. Ngược lại, thuật ngữ “IPv6 aware” nói đến việc không sử dụng IPv6 một cách xuyên suốt, chỉ có các ứng dụng máy khách và máy chủ có thể lợi dụng ưu điểm của các kỹ thuật chuyển tiếp IPv6 để có thể làm việc trên các mạng IPv4. Trong khi đó các mạng “IPv6 capable” có các host hỗ trợ the Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) để các tin nhắn IPv6 có thể được gửi qua mạng IPv6. Khi cài đặt UAG làm máy chủ DirectAccess, nó sẽ tự cấu hình một ISATAP router để các tin nhắn IPv6 được chuyển đi bên trong một header Ipv4 qua mạng IPv4, chính vì vậy không cần nâng cấp router và switch DNS cũng như DHCP server để làm việc với kết nối IPv6. Kết luận

    Trong phần một của loạt bài này, chúng tôi đã cung cấp cho các bạn kiến thức tổng quan về những gì DirectAccess có thể thực hiện, những giá trị nó có thể cung cấp cho cả bạn và người dùng. Chúng ta đã thấy cách DirectAccess thiết lập hai tunnel, intranet tunnel và infrastructure tunnel. Thêm vào đó là hai chế độ triển khai: end to edge và end to end. Trong phần tiếp theo của loạt bài, chúng tôi sẽ giới thiệu một số thông tin chi tiết về kỹ thuật chuyển tiếp IPv6 được sử dụng bởi UAG DirectAccess.
    (Theo Windowsnetworking)

  2. #2
    Ngày tham gia
    Sep 2015
    Bài viết
    0
    Giới thiệu về UAG DirectAccess – Phần 2: Kỹ thuật chuyển đổi IPv6 và NRPT

    Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số kỹ thuật chuyển đổi IPv6 được sử dụng bởi máy chủ và máy khách DirectAccess nhằm cho phép dữ liệu IPv6 có thể luân chuyển được trong mạng IPv4. Chúng ta hiện đang sử dụng các mạng IPv4 và chắc chắn một điều là các mạng này sẽ vẫn sử dụng trong một thời gian dài nữa. Mặc dù hiện đã có một số mạng bước đầu chuyển sang sử dụng IPv6 nhưng việc triển khai, nâng cấp các giao thức này diễn ra rất chậm và đôi khi không được chuyển đổi một cách hoàn chỉnh. Thêm vào đó, có rất ít máy tính có thể truy cập Internet IPv6, chính vì vậy có thể nói quá trình chuyển đổi sang IPv6 sẽ còn rất dài. Các kỹ thuật chuyển đổi sang IPv6

    Do máy khách DirectAccess sử dụng IPv6 để kết nối đến máy chủ DirectAccess và có thể đến máy chủ nằm trong mạng công ty, nên cần phải có phương pháp để cho phép dữ liệu IPv6 này di chuyển trong mạng IPv4. DirectAccess giải quyết vấn đề này bằng cách sử dụng một số kỹ thuật chuyển đổi IPv6 khác nhau, giúp dữ liệu IPv6 được đóng gói trong các IPv4 header và vì vậy có thể di chuyển trong các mạng “IPv4-only” ngày nay. Các kỹ thuật được sử dụng ở đây là:
    • Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)

      ISATAP được sử dụng trên các mạng nội bộ để các host truyền thông với nhau bằng IPv6. Cách thực hiện là sử dụng một adapter ISATAP tunnel có gán địa chỉ IPv6 và sau đó đóng gói dữ liệu truyền thông trong ISATAP này bên trong IPv4 header và gửi đi trong cơ sở hạ tầng mạng nội bộ. Khi các dữ liệu này đến được máy chủ đích của nó, IPv4 header sẽ được tháo gỡ ra và lộ diện các IPv6 header lẫn tải trọng. ISATAP cho phép bạn có thể sử dụng tất cả các ưu việt của IPv6 mà không yêu cầu nâng cấp các thiết bị mạng cũng như cơ sở hạ tầng.
    • 6to4 Protocol

      Giao thức 6to4 được sử dụng bởi máy khách DirectAccess khi máy khách này được gán public IP. Cũng như ISATAP, một adapter 6to4 tunnel sẽ tự động được cấu hình trên máy khách DirectAccess có địa chỉ IPv6. Dữ liệu IPv6 của máy khách DirectAccess sẽ được gửi ra từ adapter này và sau đó được đóng gói trong IPv4 header để di chuyển trong mạng IPv4-only đến máy chủ DirectAccess. UAG DirectAccess Wizard sẽ tự động cấu hình máy chủ UAG DirectAccess như một 6to4 router cho tổ chức do đó mà bạn không cần phải biết bất cứ thứ gì về 6to4. 6to4 yêu cầu tất cả thiết bị được đặt giữa máy khách và máy chủ DirectAccess cho phép giao thức IPv4.
    • Teredo Protocol

      Giao thức Teredo là một kỹ thuật chuyển đổi IPv6 khác mà máy khách DirectAccess sử dụng để kết nối với máy chủ UAG DirectAccess qua mạng IPv4 Internet. Teredo được sử dụng khi máy khách DirectAccess được gán địa chỉ IP riêng và có truy cập outbound đến cổng UDP 3544 trên máy chủ UAG DirectAccess. Với Teredo, dữ liệu IPv6 sẽ được gửi thông qua adapter Teredo (tự động được cấu hình trên máy khách DirectAccess) và sau đó được đóng gói bên trong một IPv6 header, sau đó tiếp tục được đóng gói trong UDP header. Hai địa chỉ public IP phải được gán cho giao diện bên ngoài của máy chủ UAG DirectAccess; Chúng được sử dụng để xác định kiểu thiết bị NAT mà máy khách DirectAccess nằm phía sau. Thêm vào đó, tất cả thiết bị cần cho phép ping để máy khách Teredo có thể kết nối đến chúng.
    • IP-HTTPS Protocol

      IP-HTTPS là một giao thức hoàn toàn mới được phát triển bởi Microsoft, giao thức này cho phép các máy khách DirectAccess có thể kết nối với máy chủ UAG DirectAccess chỉ khi cổng outbound TCP 443 được cho phép truyền thông với máy khách. Cách thức này được sử dụng trong trường hợp các tường lửa được thiết lập ở mức rất hạn chế hoặc khi tổ chức mà máy khách DirectAccess chỉ cho phép truy cập outbound thông qua thiết bị Web proxy. Với IP-HTTPS, máy khách DirectAccess sẽ thiết lập một adapter IP-HTTPS tunnel và gửi dữ liệu của nó qua đó. Sau đó dữ liệu này sẽ được đóng gói bên trong IPv4 header, tiếp đó được đóng gói trong HTTP header và mã hóa bằng SSL (TLS). Như những gì có thể hình dung, nếu các overhead trong mỗi giao thức càng cao thì sự ảnh hưởng đến hiệu suất càng lớn.
    Chính vì điều này mà nên tránh cấu hình IP-HTTPS nếu có thể. Máy khách DirectAccess, khi được gán địa chỉ IP riêng (private IP) sẽ cố sử dụng giao thức Teredo, đây là giao thức cho hiệu suất khá tốt. Chỉ khi Teredo không thể sử dụng, máy khách DirectAccess sẽ chuyển sang sử dụng sang giao thức IP-HTTPS. Thoạt nhìn chúng ta có thể cho rằng các công nghệ chuyển đổi IPv6 rất khó hiểu và khó nhớ nhưng UAG DirectAccess Wizard sẽ làm tất cả các công việc cần làm cho bạn. Nó sẽ cấu hình máy chủ UAG DirectAccess làm 6to4 router, Teredo router và IP-HTTPS gateway mà bạn không cần biết nhiều về các giao thức làm cho DirectAccess làm việc. Tất cả các kỹ thuật này đều hoạt động ở phía dưới và cho phép kết nối xuyên suốt đối với các máy khách DirectAccess. Trong các tổ chức, sự phân phối các kết nối máy khách DirectAccess khá khác nhau. Sự phân phối này có thể thay đổi phụ thuộc vào việc vô hiệu hóa split tunneling.

    Hình 1
    Mặc định, máy khách DirectAccess sử dụng split tunneling để cho phép người dùng truy cập Internet trực tiếp mà không bắt buộc các kết nối sử dụng gateway mạng nội bộ. Chúng ta có thể sử dụng DirectAccess “Force Tunneling”, có thể vô hiệu hóa tính năng split tunneling cho các kết nối máy khách DirectAccess và buộc chúng phải sử dụng cổng Internet trên mạng công ty để kết nối Internet. Nhược điểm của tùy chọn Force Tunneling này là máy khách DirectAccess phải sử dụng IP-HTTPS, điều đó dẫn đến tình trạng kém về mặt hiệu suất. Force Tunneling và split tunneling sẽ được thảo luận một cách chi tiết hơn trong phần tiếp dưới đây. Name Resolution Policy Table (NRPT)

    Name Resolution Policy Table (NRPT) được sử dụng bởi máy khách DirectAccess để nó xác định nên sử dụng máy chủ DNS nào, vấn đề này hoàn toàn phụ thuộc vào tên miền hoặc FQDN của đích mà nó cố gắng kết nối đến. Với sự trợ giúp của NRPT, máy khách DirectAccess sẽ gửi các truy vấn DNS đến máy chủ UAG DirectAccess để phân giải tên khi tên miền này nằm bên trong mạng nội bộ, và gửi các truy vấn DNS đối với tên miền nằm bên ngoài tổ chức đến địa chỉ máy chủ DNS được cấu hình trên NIC của máy khách DirectAccess. Cho ví dụ, giả sử tổ chức của bạn có nhiều miền con nằm trong miền gốc contoso.com. Các miền này có thể nằm trong cùng forest hay các forest khác nhau; về mặt phân giải tên miền thì điều này không hề có vấn đề. Khi cấu hình NRPT, bạn thiết lập nó với một entry tuyên bố tất cả các yêu cầu về miền có dạng *.contoso.com sẽ được gửi đến địa chỉ IP của máy chủ UAG DirectAccess. Lý do các yêu cầu phân giải tên miền được gửi đến địa chỉ IP của máy chủ UAG DirectAccess là UAG lấy địa chỉ của máy chủ DNS mạng nội bộ bằng cách cài đặt DNS proxy của chính nó. DNS proxy trên máy chủ UAG sẽ sử dụng các máy chủ DNS được cấu hình trên giao diện ngoài để phân giải tên miền được yêu cầu bởi máy khách DirectAccess. Vậy điều gì sẽ xảy ra đối với các tên miền không có trong NRPT? Trong trường hợp này, máy khách DirectAccess sẽ gửi các yêu cầu truy vấn tên miền đến địa chỉ máy chủ DNS được cấu hình trên NIC của nó. Khi máy khách DirectAccess kết nối với mạng, không quan tâm đến việc nằm phía sau thiết bị NAT hay được gán public IP, nó sẽ nhận từ DHCP một địa chỉ máy chủ DNS. Đây chính là địa chỉ mà máy khách DirectAccess sẽ sử dụng để phân định tất cả các tên miền không có trong tổ chức. Kiểu định tuyến DNS hay chuyển tiếp DNS có điều kiện đưa đến cấu hình máy khách DirectAccess mặc định có kích hoạt split tunneling. Lý do chúng ta chọn split tunneling làm cấu hình mặc định là vì nó cải thiện đáng kể hiệu suất cho máy khách DirectAccess và các host trong mạng nội bộ khi chúng cần kết nối đến tài nguyên Internet. Nếu split tunneling bị vô hiệu hóa (“Force Tunneling” trong cách nói của DirectAccess) thì tất cả lưu lượng sẽ chuyển rời thông qua các đường hầm IPsec; gồm có cả các lưu lượng cho mạng nội bộ lẫn lưu lượng Internet. Một số người có thể lo ngại về split tunneling vì có ai đó cho rằng split tunneling không tốt. Quan điểm này có thể đúng với các máy khách VPN trong những năm 90, còn các hệ điều hành Windows gần đây không cho phép kẻ tấn công có thể định tuyến thông qua máy khách VPN để kết nói đến mạng công ty. Tình huống thậm chí còn an toàn hơn với DirectAccess, vì nếu một kẻ tấn công nào đó tìm ra cách định tuyến các kết nối từ Internet thông qua máy khách DirectAccess thì các kết nối sẽ bị thất bại vì IPsec yêu cầu việc bảo mật trong đường hầm phải dựa trên địa chỉ IP của máy khách DirectAccess, thêm vào đó là chứng chỉ máy tính, tài khoản máy tính, tài khoản người dùng,.. thẻ thông minh cũng được yêu cầu để thiết lập kết nối. Các vấn đề bảo mật tồn tại với split tunneling không áp dụng đối với máy khách DirectAccess nên không có lý do gì phải lo lắng về vấn đề này trong kịch bản DirectAccess. NRPT cũng được sử dụng để ngăn chặn máy khách DirectAccess phân giải một số tên miền cụ thể để truy vấn DNS về các tên miền đó không bao giờ được gửi đến máy chủ DNS trong mạng nội bộ (một trường hợp của UAG DirectAccess là DNS proxy trên máy chủ UAG DirectAccess). Một ví dụ quan trọng trong tình huống này là tên miền của Network Location Server (NLS). Máy khách DirectAccess sử dụng NLS để xác định xem nó có nằm trên mạng công ty hay không. Nếu máy khách DirectAccess có thể kết nối đến NLS thì nó biết rằng nó đang nằm trong mạng công ty và tắt NRPT. Nếu không, NRPT được kích hoạt. Nếu NRPT đã được cấu hình để máy khách DirectAccess có thể phân giải tên miền của NLS thì máy khách DirectAccess trên mạng Internet sẽ nghĩ rằng nó đang nằm trong mạng công ty và sẽ tắt NRPT. Nếu máy khách DirectAccess nằm trong mạng Internet và đã tắt NRPT, nó sẽ không gửi các truy vấn DNS đối với tên miền của mạng công ty đến DNS proxy của máy chủ UAG DirectAccess và do đó sẽ không thể phân giải các tên miền của mạng nội bộ. Để giải quyết vấn đề này, NRPT cần được cấu hình với một rule ngoại lệ để tránh máy khách DirectAccess trên mạng Internet phân giải tên miền của NLS. Cho ví dụ, nếu NRPT được cấu hình để gửi tất cả các truy vấn phù hợp với chuỗi *.contoso.com đến DNS proxy trên máy chủ UAG DirectAccess thì nó sẽ có cả truy vấn tên miền nls.contoso.com, đây là tên miền của NLS trên mạng công ty. Tuy nhiên nếu chúng ta tạo một ngoại lệ đối với tên miền nls.contoso.com trong NRPT, dù tên miền này vẫn nằm trong phạm vi *.contoso.com, nhưng truy vấn sẽ không được gửi đến DNS proxy trên máy chủ UAG DirectAccess mà thay vào đó sẽ được gửi đến DNS server được cấu hình trên NIC của máy khách UAG DirectAccess. Do không thể phân giải tên miền này nên máy khách DirectAccess trên mạng Internet sẽ thừa nhận rằng nó nằm ngoài mạng công ty và sẽ kích hoạt NRPT. Kết luận

    Trong phần này, chúng tôi đã giới thiệu cho các bạn được các kỹ thuật chuyển đổi giao thức IPv6 được sử dụng bởi máy khách và máy chủ DirectAccess nhằm cho phép dữ liệu IPv6 được truyền tải trên mạng Internet hoặc mạng nội bộ. Chúng tôi sẽ giới thiệu về chức năng và những giá trị của Name Resolution Policy Table, được DirectAccess sử dụng nhằm xác định máy chủ DNS mà nó sẽ gửi yêu cầu truy vấn tên miền cụ thể. Trong phần ba của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về các tính năng của NAT64/DNS64 có trong máy chủ UAG DirectAccess.
    (Theo Windowsnetworking)

 

 

Quyền viết bài

  • Bạn Không thể gửi Chủ đề mới
  • Bạn Không thể Gửi trả lời
  • Bạn Không thể Gửi file đính kèm
  • Bạn Không thể Sửa bài viết của mình
  •