F5 und Windows Server 2012 DirectAccess/Remote Access-Dienste

Einführung

Für Windows 8 und Windows Server 2012 hat Microsoft zwei Fernzugriffstechnologien aus früheren Versionen von Windows Server – DirectAccess und VPN Server – übernommen und unter demselben Verwaltungsbegriff zusammengefasst, der einfach Remote Access heißt. Zur Verwaltung des Datenverkehrs und zum Lastenausgleich dieser Dienste können F5-Technologien eingesetzt werden.

DirectAccess wurde ursprünglich in Windows Server 2008 R2 und Windows 7 eingeführt und ersetzte die bisherige Remotezugriffstechnologie. Im Gegensatz zu herkömmlichen VPNs, bei denen Verbindungen manuell auf Benutzerebene initiiert werden, verwendet DirectAccess eine nahtlose Verbindung auf Systemebene. Dies bedeutet, dass Remotesysteme, die einer Domäne angehören, beim Booten automatisch und sicher eine Präsenz im Unternehmensnetzwerk aufbauen.

VPN, früher bekannt als Remote Access Services (RAS), wurde in Windows NT eingeführt und umfasst die traditionellen Windows-VPN-Technologien, darunter IKEv2, SSTP, PPTP und L2TP. Kunden von Windows Server 2012 können DirectAccess, VPN oder beides einsetzen und es ist oft von Vorteil, beides einzusetzen. DirectAccess ermöglicht den Fernzugriff für in die Domäne eingebundene Windows 7-Clients (und höher), denen die entsprechenden Berechtigungen erteilt wurden, während VPN den Fernzugriff auf jene Rechner ermöglicht, die nicht in die Domäne eingebunden sind oder auf denen Windows 7 noch nicht läuft.

Neu bei DirectAccess in Windows Server 2012 ist die Unterstützung sowohl für lokalen als auch für weiträumigen Lastenausgleich. Mit F5 BIG-IP Local Traffic Manager (LTM) lässt sich ein lokaler Lastenausgleich bereitstellen, und mit F5 BIG-IP Global Traffic Manager (GTM) lässt sich ein weiträumiger (auch globaler) Lastenausgleich bereitstellen.

Vorteile der Verwendung von F5-Produkten mit DirectAccess und VPN

F5-Produkte können bei der Bereitstellung eines Windows Server 2012 Remote Access eine wichtige Rolle spielen.

  • Hohe Verfügbarkeit: Durch die Kenntnis der tatsächlichen DirectAccess-/VPN-Dienste kann BIG-IP LTM sicherstellen, dass Benutzer immer zu einem DirectAccess-/VPN-Server weitergeleitet werden, der für neue Verbindungen bereit ist. So wird vermieden, dass Benutzer zu einem ausgefallenen oder leistungsschwachen Server weitergeleitet werden. Darüber hinaus verfügt BIG-IP LTM über eine Persistenzfunktion für alle Dienste. Dies ist von Vorteil bei der Verarbeitung von Datenverkehr wie beispielsweise dem Point-to-Point Tunneling Protocol (PPTP), das seit Windows 95 R2 mit jeder Version des Windows-Clients ausgeliefert wird und daher eine unglaublich breite Abdeckung auf Client-Computern bietet. Jeder Client, der sich über PPTP mit DirectAccess verbindet, erstellt zwei unabhängige, aber erforderliche Flows – die Steuerverbindung und die Datenverbindung – und beim Lastenausgleich müssen beide Flows von jedem Client an denselben PPTP-Server gesendet werden, um eine Unterbrechung der Verbindung zu vermeiden. BIG-IP LTM verfügt über die Intelligenz, beide Flows von einem bestimmten Client an denselben Server zu senden und stellt so sicher, dass die Verbindung nicht unterbrochen wird.

  • Skalierbarkeit Durch intelligentes Datenverkehrsmanagement kann BIG-IP LTM den Durchsatz auf eine Multisite-Farm aus DirectAccess/VPN-Servern verteilen, sodass das System auf eine weitaus größere Anzahl von Benutzern skaliert werden kann, als es andernfalls bewältigen könnte.

  • Leistung BIG-IP LTM kann die Leistung auf verschiedene Weise verbessern, von TCP-Optimierungen und SSL-Offloading bis hin zur Erkennung der Serverleistung. Das Ergebnis ist ein schnellerer Zugriff und das bestmögliche Netzwerkerlebnis für die Benutzer. Insbesondere das Offloading der BIG-IP LTM SSL/TLS-Verschlüsselung kann die DirectAccess/VPN-Server von großen Arbeitslasten entlasten. Indem BIG-IP LTM die SSL-Verbindung mit dem Client beendet und den Datenverkehr unverschlüsselt an die Server sendet, gibt es die CPU-Leistung des Servers für die Bedienung der Clients frei.

  • Sicherheit Dasselbe BIG-IP LTM-Gerät, das das Verkehrsmanagement für die DirectAccess/VPN-Server bereitstellt, ist eine ICSA-zertifizierte Netzwerk-Firewall, die die Sicherheitsstandards für Rechenzentren erfüllt, sodass Unternehmen sie als Application Delivery Controller (ADC) mit doppeltem Verwendungszweck und als Perimeter-Sicherheitsgerät einsetzen können.

Architektur

Die sorgfältige Berücksichtigung der geeigneten Netzwerkarchitektur für DirectAccess/VPN ist ein entscheidender Schritt im Bereitstellungsprozess. Es können zahlreiche Optionen und Topologien verwendet werden. Dies hier stellt keine erschöpfende Liste dar, die alle Bereitstellungen abdeckt, sondern lediglich einen Überblick über die wichtigsten Entscheidungskriterien und einige empfohlene Topologien. Zu den Kriterien, die sich üblicherweise auf Bereitstellungstopologien auswirken, gehören Umfang, Sicherheitsanforderungen, Budgets und Service Level Agreements (SLAs). Da diese Überlegungen häufig eine bestimmte Architektur vorantreiben oder andere verhindern, empfiehlt es sich, vor der Bereitstellung die Teams von F5 und Microsoft zu konsultieren.

Um eine hohe Verfügbarkeit zu gewährleisten, empfiehlt F5 dringend die Bereitstellung von BIG-IP LTM-Geräten entweder mithilfe eines Aktiv/Standby-Bereitstellungsmodells oder einer Gruppe aus zwei oder mehr Geräten, die sich gegenseitig aktiv unterstützen (was als ActiveN-Modell bezeichnet werden kann). Beide Modelle ermöglichen ein BIG-IP LTM-Failover ohne Unterbrechung der Netzwerkverbindungen. In den folgenden Diagrammen stellt ein einzelnes BIG-IP LTM-Symbol ein Failover-Paar oder eine ActiveN-Gruppe dar.

Ein DirectAccess/VPN-Server-Frontend

Um Anwendungsbereitstellung und Lastausgleich für DirectAccess zu ermöglichen, setzen Unternehmen BIG-IP LTM häufig als formelles Front-End vor ihren DirectAccess-/VPN-Servern ein. Dieses BIG-IP-Gerät ist unter anderem dafür verantwortlich, die Verfügbarkeit der DirectAccess/VPN-Dienste zu überwachen und eingehende Client-Verbindungen an die Server zu verteilen.

BIG-IP LTM als Frontend für ein DirectAccess-System
Abbildung 1: BIG-IP LTM als Frontend für ein DirectAccess-System

Windows Server 2012 DirectAccess-Serverfarm

Ein mehrschichtiger Ansatz mit DirectAccess/VPN-Servern

Obwohl es für einen einfachen DirectAccess/VPN-Lastausgleich nicht erforderlich ist, bietet die Platzierung von BIG-IP LTM-Geräten zwischen der DirectAccess-Farm und dem Unternehmensnetzwerk auch erhebliche Vorteile. Insbesondere ermöglicht diese Konfiguration ein „Manage Out“-Szenario, in dem Clients oder Server im internen Netzwerk Verwaltungsverbindungen zu den remote verbundenen DirectAccess-Clients initiieren können. Darüber hinaus kann die Last interner Farmen von Anwendungsservern ausgeglichen und sie können anderen nützlichen Vorgängen im Verkehrsmanagement unterzogen werden.

Externe und interne BIG-IP LTM-Geräte in einem geschichteten Ansatz
Abbildung 2: Externe und interne BIG-IP LTM-Geräte in einem geschichteten Ansatz
Duale vs. einzelne (gepaarte) BIG-IP LTM-Gerätebereitstellungen

Für optimale Verfügbarkeit gilt es als Voraussetzung, vor der DirectAccess/VPN-Farm ein BIG-IP LTM-Gerät zu haben. Ein weiteres Gerät auf der Unternehmensnetzwerkseite der Farm wird dringend empfohlen. Dies erfordert nicht unbedingt separate BIG-IP LTM-Geräte. Das Schichtenmodell kann einfach bereitgestellt werden, indem dasselbe BIG-IP LTM-Gerät sowohl für externe als auch für interne Rollen wiederverwendet wird. Siehe Abbildung 3.

Ein einzelnes BIG-IP LTM-Gerät in einer geschichteten Bereitstellung
Abbildung 3: Ein einzelnes BIG-IP LTM-Gerät in einer geschichteten Bereitstellung

Windows Server 2012 DirectAccess Farm BIG-IP Unternehmensnetzwerk

Dual-Interface vs. Bereitstellungen mit einer einzigen Schnittstelle für DirectAccess/VPN

Neben der Auswahl eines Front-End- oder mehrschichtigen Ansatzes müssen Unternehmen auch entscheiden, ob sie ihre Direct Access/VPN-Server mit einer dualen Homed/Network-Schnittstelle oder einem einzelnen Netzwerkschnittstellen-Controller (NIC) bereitstellen.

Dual-Interface-Bereitstellung

DirectAccess unterstützt eine geroutete Konfiguration mit zwei Schnittstellen, die das externe Netzwerk vom Unternehmensnetzwerk trennt. Diese Konfiguration ermöglicht eine segmentierte Bereitstellung und ist für die Verwendung der in der DirectAccess-Suite verfügbaren Teredo-Zugriffsprotokolle erforderlich. Das Teredo-Protokoll ist auf einfache Handhabung und Sicherheit ausgelegt und unterstützt die Netzwerkadressübersetzung (Network Address Translation, NAT).

Eine mehrschichtige Bereitstellung mit Dual-Interface-Routing
Abbildung 4: Eine mehrschichtige Bereitstellung mit Dual-Interface-Routing
Bereitstellung mit einer einzigen Schnittstelle

DirectAccess unterstützt auch Bereitstellungsmodelle mit einer einzigen Schnittstelle, bei denen jeder DirectAccess-Server nur über eine Netzwerkkarte verfügt. Unternehmensnetzwerk.

Eine einzige Schnittstellenbereitstellung mit zwei BIG-IP LTM-Geräten
Abbildung 5: Eine einzige Schnittstellenbereitstellung mit zwei BIG-IP LTM-Geräten
Eine einzelne Schnittstellenbereitstellung mit BIG-IP LTM in einer geschichteten Konfiguration
Abbildung 6: Eine einzelne Schnittstellenbereitstellung mit BIG-IP LTM in einer geschichteten Konfiguration
Einzelsite vs. Multisite-Bereitstellung

Bei Bereitstellungen mit großen, multinationalen Benutzerbasen oder Anforderungen an die Ausfallsicherheit auf Site-Ebene kann die Entscheidung für eine Bereitstellung an mehreren Sites sinnvoll sein. In einem solchen Szenario kann F5 BIG-IP GTM zusätzlich zu BIG-IP LTM eingesetzt werden, um ein weiträumiges Verkehrsmanagement und kontextabhängigen Lastausgleich zu ermöglichen.

BIG-IP GTM ist ein globales Verkehrsmanagementgerät, das die Vorteile der BIG-IP-Plattform erweitert, indem es die Integrität auf Site-Ebene überwacht, von außerhalb der Site kommenden Datenverkehr (einschließlich Remote-Client-Anfragen) verarbeitet und Notfallwiederherstellungsfunktionen auf Site-Ebene bereitstellt. Zu den Funktionen von BIG-IP GTM gehören die geografische Erkennung und die Weiterleitung von Remotebenutzern zur geografisch nächstgelegenen DirectAccess-Farm. BIG-IP GTM gewährleistet außerdem ein Failover auf Standortebene zu aktiven Rechenzentren, wenn geplante oder ungeplante Ausfälle auftreten.

Eine großflächige DirectAccess/VPN-Bereitstellung
Abbildung 7: Eine großflächige DirectAccess/VPN-Bereitstellung
Abschluss

Unabhängig von der Konfigurationstopologie, die für die Architektur und Anforderungen einer Organisation am besten geeignet ist, können F5-Produkte bei der Bereitstellung von Windows Server 2012 DirectAccess/VPN eine wichtige Rolle spielen. BIG-IP LTM und BIG-IP GTM können zusammenarbeiten, um Ausfallsicherheit sowohl auf Server- als auch auf Site-Ebene für DirectAccess- und Remote Access-Dienste bereitzustellen. Durch intelligentes Datenverkehrsmanagement mit Service-, Kontext- und Benutzerbewusstsein, Servicepersistenz und unübertroffenen Durchsatzfunktionen maximiert die BIG-IP-Plattform die Verfügbarkeit und gewährleistet Skalierbarkeit. Ausgefeilte, hardwarebasierte Optimierungstechnologien und das Offloading von Verschlüsselung/Entschlüsselung steigern die Systemleistung und Serverkapazität und verbessern gleichzeitig das Benutzererlebnis. BIG-IP LTM ist eine ICSA-zertifizierte Netzwerk-Firewall und ein ADC. Außerdem fungiert es als Perimeter-Sicherheitsgerät und kann mit anderen Richtlinienverwaltungs- und Sicherheitsmodulen der BIG-IP-Familie weiter verbessert werden. Durch die Bereitstellung von BIG-IP-Produkten mit DirectAccess/VPN können Unternehmen den Gesamtnutzen und die Sicherheit ihrer Remote-Access-Investitionen maximieren.

Veröffentlicht am 05. September 2012
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.