fbpx

Blog: Mijn toegang is direct (deel 2).

Al vele jaren hebben we de mogelijkheid te verbinden met ons bedrijfsnetwerk zonder fysiek aan dit netwerk verbonden te zijn. Deze manier van verbinden is bekend als een VPN. Zowel een netwerk (bijvoorbeeld eVPN) als een client (bijvoorbeeld een laptop) kunnen op deze manier met een netwerk worden verbonden. In deel 1 hebben we het gehad over de grondbeginselen van de oplossing. In deel 2 gaan we door de diepte in.

Door Christian Scheel

Hoe werkt het?

Direct Access maakt twee verschillende verbindingen naar het bedrijfsnetwerk. De eerste verbinding zet het apparaat zoals een laptop buiten het bedrijfsnetwerk zelf op zonder dat er een gebruiker is ingelogd. De client doet dit door middel van een detectie om te achterhalen of deze zich binnen of buiten het bedrijfsnetwerk bevindt. Hiervoor is een internet verbinding nodig; het kan zowel via WIFI op het apparaat als een verbinding via een kabel welke is aangesloten aan het apparaat dat een verbinding wil maken zoals een laptop. Binnen deze eerste verbinding is er enkel communicatie mogelijk met voor gedefinieerde servers binnen de backend zoals domain controllers. Ook de verbinding met een System Center Configuration Manager (SCCM) server is in deze eerste verbinding mogelijk. Hierdoor kan ook patch management en remote managent plaatsvinden vanuit de SCCM oplossing zonder dat de gebruiker is ingelogd. Met remote management is het onder andere voor de beheer of support organisatie mogelijk scherm weergave over te nemen waardoor gebruikers ondersteuning mogelijk wordt. Dit tot op het login moment van de gebruiker. Dit is handig om ook bij gebruikers login problematieken ondersteuning te verlenen.

De tweede verbinding die wordt opgezet is nadat de gebruiker heeft ingelogd. Na deze login heeft de gebruiker bekend gemaakt wie het is en kan de gebruiker resources bereiken binnen het netwerk. Dit kan bijvoorbeeld een fileserver, mailserver of remote desktop zijn. Eigenlijk heeft de gebruiker een volledig verbinding met het bedrijfsnetwerk waarbij zijn login rechten worden doorgezet richting de backend. 

blog_mijn_toegang_is_direct_dl2-client-verbinding-na-detectie-LAN-of-WAN

Techniek

Direct Access maakt gebruik van IPv6 welke een uitbreiding is op de bestaande IPv4 adressen. Bedrijfsnetwerken maken intern veelal nog steeds gebruik van IPv4. Direct Access is geschikt bij de keuze van IPv4 bij interne netwerken. Dit komt doordat de Direct Access oplossing translatie tussen IPv4 en IPv6 kan doen. Verkeer vanaf de client met IPv6 wordt omgezet naar IPv4. De Direct Access server verzorgt deze translatie. Ieder verkeer op basis van een DNS naam welke volgens het principe Fully Qualified Domain Name (FQDN) zal door de Direct Access verbinding naar de server worden gestuurd waarna de translatie zal plaatsvinden van IPv6 naar IPv4 verkeer. Zie het in deze een beetje als een soort proxy.

Wat heb ik nodig?

Voor een goed werkende oplossing is het Windows 8.1 besturingssysteem in combinatie met Server OS 2012 R2 een wens maar geen eis. Voorgaande versies van het client besturingssysteem zoals Windows 7 en 8 is mogelijk mits voorzien van de juiste patches. Server 2012 R2 als server besturingssysteem is wel de uitgang. Deze kan bestaan in voorgaande domein principes zoals domeinen welke gebaseerd zijn op de active directory op basis van Windows server 2008. Verder is het van belang deze Direct Access server oplossing hoog beschikbaar te maken. Het is immers niet wenselijk dat de mogelijkheid van verbinden niet mogelijk is. Dit kan op twee manieren worden ingevuld:

  • Network Load Balancing (NLB);
    • Een oplossing wat niet direct tot extra kosten zal leiden maar onwenselijk is in high end omgevingen. Daarnaast dient deze oplossing enige afstemming op een virtualisatie platform als VMWare en networking in combinatie met een netwerk infrastructuur.
  • Hardware load balancer.
    • Meer zekerheid maar brengt extra kosten met zich mee. Hier is een oplossing als een Citrix Netscaler een welkome aanvulling.

Daarnaast is het van belang er voor te zorgen dat een client de wetenschap heeft dat deze zich binnen het bedrijfsnetwerk bevindt. Dit wordt gedaan doormiddel van een detectie die de client doet. Deze detectie kan op basis van een https adres die de client binnen het netwerk probeert te bereiken. Hierdoor weet de client dat de Direct Access verbinding niet opgezet hoeft te worden. Ook deze controle vanaf de client wordt bij voorkeur hoog beschikbaar uitgevoerd op dezelfde manier als de Direct Access server oplossing zelf. Dit dus met NLB of een hardware load balancer. Er bestaat de mogelijkheid deze detectie via dezelfde Direct Access Servers te doen.

Verder is het bij voorkeur van belang te beschikken over een Private Key Infrastuctuur (PKI). Deze zorgt er voor dat de client de eerste verbinding kan maken. In feite heeft de client hiermee een vertrouwens relatie met het bedrijfsnetwerk. Het maakt zich hier mee bekend welke client het is. Sinds server 2012 icm. Windows 8 is een PKI niet verplicht maar wel wenselijk.

Ook zijn er een aantal policy’s nodig binnen Active Directory. Een deel hiervan worden vanuit de configuratie van Direct Acces gezet. Een andere policy is om er voor te zorgen dat het certificaat vanuit de PKI oplossing automatisch wordt uitgerold naar de clients en de Direct Access servers. De uitrol van certificaten wordt bereikt doormiddel van templates binnen de certificaten server en groep lidmaatschap binnen Active Directory of lidmaatschap binnen een Organizational Unit (OU) binnen Active Directory.

Wat kan ResultaatGroep voor u betekenen?

ResultaatGroep heeft expertise in huis om naast een ontwerp ook de Direct Access oplossing te implementeren. Zo biedt u uw gebruikers de mogelijkheid tot een ‘verlenging’ van het bedrijfsnetwerk, op een gecontroleerde manier én met gebruiksgemak. Zowel de gebruiker als het device blijft volledig gemanaged. Het geeft de gebruiker de mogelijkheid te werken alsof deze zich binnen het bedrijfsnetwerk bevindt waarbij beheer de volledige controle behoudt en ondersteuning kan worden verleent. De oplossing is veilig en flexibel. Goede oplossing toch?

Meer weten over Direct Access?

Bent u geïnteresseerd in de mogelijkheden voor een Direct Access oplossing binnen uw organisatie? Dan helpen wij je graag met het maken van de juiste keuzes. Neem gerust eens contact met ons op voor het plannen van een vrijblijvend oriëntatiegesprek.