ATEA Specialister i it-infrastruktur
Abonnér på RSS feed   Atea på Facebook
  Søg
Om Atea  Produkter, Løsninger & Services  Referencer  Job i Atea  Presse & Investor  Support  Kontakt 
AV Solutions
Cloud Solutions
Communication
Datacenter Solutions
Finansiering
Flexible Benefits
Grøn it
It-integrationsløsninger
 Core Infrastructure
 Windows 7
 IO-analyse
 Virtual Infrastructure
 Delivery Infrastructure
 Kompetencer
It-produkter
It-sikkerhed
It-supplies
Mobility
Office 365 Concept
Outsourcing
Print & Kopi
Project & It Management
Sikring
Software & Licenser
Teknisk Service
Uddannelse
Videokonference
Seminarer
Snigpremiere på System Center 2012, Windows Server 8 og Atea Jumpstart
Virtualiseret Storage, færre licenser & smartere it, Aarhus
Virtualiseret Storage, færre licenser & smartere it, Lyngby
Se flere her   

DirectAccess


Enden for VPN-forbindelser?

Af Ilja-Otis Godau, Atea


DirectAccess er en ny funktionalitet i Windows 7 og Windows Server 2008 R2 operativsystemerne som giver brugerne oplevelsen af at være transparent forbundet til virksomhedens netværk bare de har en internet forbindelse. Med DirectAccess er det muligt for brugerne at tilgå virksomhedens ressourcer og data (fx e-mail, mapper, drev og intranet sider) på en sikker måde – vel og mærke uden brug af VPN!

Fantastisk og som tysker glæder det jo ens hjerte at DirectAccess er som et Kinderæg – hele 3 ting i én:
 
Øget produktivitet for den mobile arbejdsstyrke
DirectAccess tilbyder øget produktivitet for den mobile arbejdsstyrke ved at tilbyde samme forbindelse til virksomhedens ressourcer, både internt og eksternt i forhold til virksomhedens netværk. Direct-Access er tændt så længe brugeren har en internet-forbindelse kørende – det værende på farten, derhjemme eller med mobilt bredbånd.

Forbedret håndtering af fjernmedarbejdere og deres pc-udstyr
Uden brug af DirectAccess kan en pc kun blive ’managed’ når den enten er koblet på virksomhedens interne netværk eller via VPN. Med DirectAccess er det muligt at håndtere pc’er bare de har en internet forbindelse. Det betyder i praksis at fx GPO’er, sikkerhedsopdateringer og programmer kan pushes ud til den enkelte pc som om den sad internt på netværket – ingen forskel her. Det vil hjælpe med at forbedre stabiliteten og effektiviteten af pc-platformen, da det nu er muligt altid at have fuldt ud opdaterede pc’er – selvom medarbejderen måske kun er inde på kontoret med ugers mellemrum.

Forbedret sikkerhed og besparelser
DirectAccess bruger IPsec for godkendelse og kryptering og alternativt er det muligt at bruge smart cards til formålet. Samtidig er det muligt at integrere DirectAccess med NAP (Network Access Protection) som gør det muligt at kontrollere, om DirectAccess klienten overholder visse sikkerhedsmæssige krav i forhold til at tilgå virksomhedens it-ressourcer – og hvis klienten ikke gør, så opdateres den. Alt sammen indbygget i operativsystemerne, hvormed det ikke længere er nødvendigt at vedligeholde en VPN-infrastruktur – hverken i datacentret eller på klienten – hvilket igen sparer penge.

Som skrevet, er det jo fantastisk. Men er det nu også det når det kommer til stykket? Og er det så lige ud ad landevejen?


DirectAccess komponenter
Kigger man skematisk på Direct-Access, så kan det illustreres i nærværende grafik. Windows 7 klienten kobler som sædvanligt på internettet og fuldstændig transparent for brugeren vil den tage fat i virksomhedens DirectAccess server. Hvis alt er som det skal være – fx kontrol via NAP – etableres forbindelsen til virksomhedens netværk og brugeren arbejder helt almindeligt med sin pc som om intet var hændt og som om han/hun sad på det interne netværk – fx vil mappede drev og printere være tilgængelige. Mere simpelt kan det vel ikke gøres for den almindelige bruger?

Den opmærksomme læser vil med det med samme lægge mærke til én ting i grafikken og det er IPv6. Det sammenholdt med PKI (Public Key Infrastructure) - som også er en forudsætning - gør at DirectAccess teknologien ikke just hører til de mest simple funktioner i Windows 7 og Windows Server 2008 R2 at designe og implementere. Det gælder om at holde tungen lige i munden og begynde et sted – fx opbygning af PKI, som er, som en sidebemærkning, en ganske fornuftig teknologi at have implementeret i mange andre sammenhænge også – fx sikkerhed i forbindelse med trådløse netværk.

Microsoft har frigivet en ganske fornuftig step-by-step guide på hvordan man kan sætte DirectAccess op i et demomiljø – for link se infoboks. Med den i hånden burde det være rimeligt let at få et fungerende test-miljø og se teknologien så at sige in action. Undertegnede har afprøvet det med en præ-RTM version af Windows 7 og Windows Server 2008 R2 – noget skulle sommerferien jo bruges på – og man skal være velkommen til at bede om en demonstration og nærmere dialog vedrørende DirectAccess.

"Fully managed" overalt
Der hvor DirectAccess virkelig viser sin styrke er i forbindelse med håndtering af pc’er, der ikke dagligt sidder på virksomhedens netværk.

Det har altid været besværligt at have ’fully managed’ klienter, hvis ens medarbejdere ikke så godt som dagligt sidder på virksomhedens netværk, hvor det så fx er muligt at distribuere nye applikationer, opdateringer til applikationer, operativsystem opdateringer og/eller politikker (GPO’er). Så snart medarbejderen var ude at rejse eller fx arbejdede hjemme fra, var disse ting enten ikke muligt eller også kun i begrænset omfang.

Som det fremgår af figuren er det fremadrettet en saga blot. Det er via DirectAccess muligt, at have ’fully managed’ klienter, selv når de ikke er koblet direkte på virksomhedens interne netværk. Herved opnår man ikke kun mere tilfredse brugere, da det er muligt regelmæssigt at opdatere pc’erne, men også færre driftsomkostninger grundet en langt mere stabil driftsplatform.

Eller sagt med andre ord, en win-win-win situation hele vejen rundt. For brugerne med en mere enkel opkobling til firmaets it-ressourcer, for it-afdelingen med en mere stabil driftsplatform og for budgettet med færre driftsomkostninger grundet den øgede stabilitet og eventuelt endda det ikke at skulle vedligeholde en VPN-infrastruktur.

Er det besværet værd og er DirectAccess enden på traditionelle VPN-løsninger?
Svaret på det første spørgsmål er et klart og rungende ja.
Det kan godt være at både IPv6 og PKI sammenholdt med nye operativsystemer kan virke som en stor faglig udfordring, men som med alt andet, er det bare et spørgsmål om at have prøvet det før – og hvem elsker ikke en faglig udfordring.

Sammenholder man indsatsen med de fordele, DirectAccess giver både for ens brugere, it-afdelingen og budgettet (læs: færre driftsomkostninger), så er DirectAccess så afgjort vejen frem og burde indgå i planerne for enhver virksomhed, der overvejer at implementere Windows 7 på deres pc’er.


Kan DirectAccess så 100% erstatte traditionelle VPN-løsninger?
For den helt almindelige mobile bruger er svaret et ja, da vedkommende vil opleve en langt mere smidig arbejdsdag uafhængigt af hvor vedkommende arbejder henne. Og det er jo for brugernes og deres daglige arbejdes skyld, at nye løsninger og teknologier bliver implementeret. Men, der er situationer hvor DirectAccess ikke slår til. Tag fx en konsulent, der via fjernadgang skal udføre et stykke arbejde på din it-installation. Med mindre vedkommendes pc er meldt ind i dit domæne – en forudsætning for DirectAcccess – vil vedkommende ikke kunne gøre brug af denne teknologi. Men, så er der jo heldigvis andre teknologier der kan bruges, fx webadgang, Netop Remote, VDI, Citrix XenApp og Remote Desktop Services.

Mere information 

DirectAccess
Step-By-Step Guide:
http://tinyurl.com/ateada


Et fornuftigt sted at starte vedrørende IPv6 informationer:
http://www.ipv6.com/ 

BALLERUP ● ESBJERG ● KOLDING ● AALBORG ● ÅRHUS ● AULUM ● TLF. +45 7025 2550 0