DirectAccess/servicios de acceso remoto de Windows Server 2012 y F5

Para Windows 8 y Windows Server 2012, Microsoft tomó dos tecnologías de acceso remoto que se encontraban en versiones anteriores de Windows Server, DirectAccess y VPN Server, y las puso bajo el mismo paraguas de administración llamado simplemente Acceso Remoto. Las tecnologías F5 se pueden implementar para administrar el tráfico y equilibrar las cargas en estos servicios.

Introducido originalmente en Windows Server 2008 R2 y Windows 7, DirectAccess reemplazó la tecnología de acceso remoto anterior. A diferencia de las VPN tradicionales, en las que las conexiones se inician manualmente a nivel de usuario, DirectAccess utiliza una conexión fluida a nivel de sistema. Esto significa que los sistemas remotos unidos a un dominio crearán de manera automática y segura una presencia en la red corporativa al iniciarse.

VPN, anteriormente conocida como Servicios de acceso remoto (RAS), se introdujo en Windows NT e incluye las tecnologías VPN tradicionales de Windows, como IKEv2, SSTP, PPTP y L2TP. Los clientes de Windows Server 2012 pueden implementar DirectAccess, VPN o ambos, y a menudo es beneficioso implementar ambos. DirectAccess proporciona acceso remoto a clientes de Windows 7 (y versiones posteriores) unidos a un dominio a quienes se les han otorgado los permisos adecuados, mientras que VPN ofrece acceso remoto a aquellas máquinas que no están unidas a un dominio o que aún no ejecutan Windows 7.

Una novedad de DirectAccess en Windows Server 2012 es la compatibilidad con el equilibrio de carga de área local y amplia. F5 BIG-IP Local Traffic Manager (LTM) se puede utilizar para proporcionar equilibrio de carga en el área local, y F5 BIG-IP Global Traffic Manager (GTM) puede proporcionar equilibrio de carga en el área amplia (también conocida como global).

Los productos F5 pueden desempeñar un papel importante en una implementación de acceso remoto de Windows Server 2012.

• Alta disponibilidad A través del conocimiento de los servicios DirectAccess/VPN reales, BIG-IP LTM puede garantizar que los usuarios siempre sean enviados a un servidor DirectAccess/VPN que esté listo para nuevas conexiones, eliminando situaciones en las que un usuario es enviado a un servidor inactivo o de bajo rendimiento. Además, BIG-IP LTM cuenta con funcionalidad de persistencia en todos los servicios. Esto resulta ventajoso a la hora de gestionar tráfico como el protocolo de tunelizacion punto a punto (PPTP), que se incluye con todas las versiones de cliente de Windows desde Windows 95 R2, lo que le otorga una cobertura increíblemente amplia en las computadoras cliente. Cada cliente que se conecta a DirectAccess a través de PPTP crea dos flujos independientes pero obligatorios (la conexión de control y la conexión de datos) y, al equilibrar la carga, ambos flujos de cada cliente deben enviarse al mismo servidor PPTP para evitar interrumpir la conexión. BIG-IP LTM tiene la inteligencia para enviar ambos flujos desde un cliente particular al mismo servidor, garantizando así que la conexión permanezca ininterrumpida.

• Escalabilidad Al administrar el tráfico de forma inteligente, BIG-IP LTM puede distribuir el rendimiento a una granja de servidores DirectAccess/VPN de varios sitios, lo que permite que el sistema escale a una cantidad mucho mayor de usuarios de la que podría manejar de otra manera.

• Rendimiento BIG-IP LTM puede ayudar con el rendimiento de diversas maneras, desde optimizaciones de TCP y descarga de SSL hasta conocimiento del rendimiento del servidor. El resultado es un acceso más rápido y la mejor experiencia de red posible para los usuarios. En particular, la descarga de cifrado SSL/TLS de BIG-IP LTM puede aliviar las grandes cargas de trabajo de los servidores DirectAccess/VPN. Al finalizar la conexión SSL con el cliente y enviar el tráfico sin cifrar a los servidores, BIG-IP LTM libera la CPU del servidor para atender a los clientes.

• Seguridad El mismo dispositivo BIG-IP LTM que proporciona administración de tráfico para los servidores DirectAccess/VPN es un firewall de red certificado por ICSA, que cumple con los estándares de seguridad del centro de datos que permiten a las empresas implementarlo como un controlador de entrega de aplicação (ADC) de uso dual y un dispositivo de seguridad perimetral.

La consideración cuidadosa de la arquitectura de red adecuada para DirectAccess/VPN es un paso fundamental en el proceso de implementación. Se pueden utilizar muchas opciones y topologías, y lo que aquí se presenta no pretende ser una lista exhaustiva que aborde todas las implementaciones, sino simplemente una revisión de los principales criterios de decisión y algunas topologías recomendadas. Los criterios que comúnmente afectan las topologías de implementación incluyen la escala, los requisitos de seguridad, los presupuestos y los acuerdos de nivel de servicio (SLA). Dado que estas consideraciones a menudo impulsan una determinada arquitectura o prohíben otras, es mejor consultar con los equipos de F5 y Microsoft antes de la implementación.

Para lograr una alta disponibilidad, F5 recomienda enfáticamente la implementación de dispositivos BIG-IP LTM utilizando un modelo de implementación activo/en espera o un grupo de dos o más dispositivos que se respalden activamente entre sí, lo que puede denominarse modelo activeN. Ambos modelos permiten una conmutación por error de BIG-IP LTM sin interrumpir las conexiones de red. En los siguientes diagramas, un solo ícono de BIG-IP LTM representa un par de conmutación por error o un grupo activeN.

Para proporcionar entrega de aplicação y equilibrio de carga para DirectAccess, las organizaciones a menudo implementan BIG-IP LTM frente a sus servidores DirectAccess/VPN como una interfaz formal. Entre otras cosas, este dispositivo BIG-IP se hace responsable de monitorear la disponibilidad de los servicios DirectAccess/VPN y de distribuir las conexiones entrantes de los clientes a los servidores.

Granja de servidores de DirectAccess de Windows Server 2012

Si bien no es necesario para el equilibrio de carga de DirectAccess/VPN simple, colocar dispositivos BIG-IP LTM entre la granja de DirectAccess y la red corporativa también ofrece beneficios significativos. Específicamente, esta configuración habilita un escenario de "administración externa" en el que los clientes o servidores de la red interna pueden iniciar conexiones de administración con los clientes DirectAccess conectados de forma remota. Además, las granjas internas de servidores de aplicação pueden equilibrarse y someterse a otras operaciones útiles de gestión del tráfico.

Tener un dispositivo BIG-IP LTM frente a la granja DirectAccess/VPN se considera un requisito para una disponibilidad óptima, y es muy recomendable tener otro dispositivo en el lado de la red corporativa de la granja. Esto no requiere necesariamente dispositivos BIG-IP LTM separados. El modelo en capas se puede implementar fácilmente reutilizando el mismo dispositivo BIG-IP LTM para roles internos y externos. Vea la Figura 3.

Granja de acceso directo de Windows Server 2012 Red corporativa BIG-IP

Además de seleccionar un enfoque de interfaz o en capas, las organizaciones también deben elegir si implementarán sus servidores de acceso directo/VPN con una interfaz de red/host dual o un solo controlador de interfaz de red (NIC).

DirectAccess admite una configuración enrutada de interfaz dual que segmenta la red externa de la red corporativa. Esta configuración permite una implementación segmentada y es necesaria para el uso de los protocolos de acceso Teredo disponibles en la suite DirectAccess. Diseñado para ser liviano y seguro, el protocolo Teredo es compatible con la traducción de direcciones de red (NAT).

DirectAccess también admite modelos de implementación de interfaz única en los que cada servidor DirectAccess tiene solo una NIC. Red corporativa.

Las implementaciones con bases de usuarios grandes y multinacionales o con requisitos de resiliencia a nivel de sitio pueden optar por una implementación de múltiples sitios. En tal escenario, se puede implementar F5 BIG-IP GTM además de BIG-IP LTM para proporcionar gestión de tráfico de área amplia y equilibrio de carga consciente del contexto.

BIG-IP GTM es un dispositivo de gestión de tráfico global que amplía los beneficios de la plataforma BIG-IP al monitorear la salud a nivel del sitio, manejar el tráfico (incluidas las solicitudes de clientes remotos) proveniente de fuera del sitio y brindar capacidades de recuperación ante desastres a nivel del sitio. Entre las capacidades de BIG-IP GTM se encuentran el conocimiento geográfico y la dirección de usuarios remotos a la granja de DirectAccess geográficamente más cercana. BIG-IP GTM también garantiza la conmutación por error a nivel de sitio a centros de datos activos cuando ocurren interrupciones planificadas o no planificadas.

Independientemente de la topología de configuración que mejor se adapte a la arquitectura y las necesidades de una organización, los productos F5 pueden desempeñar un papel importante en una implementación de DirectAccess/VPN de Windows Server 2012. BIG-IP LTM y BIG-IP GTM pueden trabajar juntos para proporcionar resiliencia a nivel de servidor y sitio para DirectAccess y servicios de acceso remoto . Al gestionar de forma inteligente el tráfico con conocimiento del servicio, el contexto y el usuario, persistencia del servicio y capacidades de rendimiento inigualables, la plataforma BIG-IP maximiza la disponibilidad y garantiza la escalabilidad. Las sofisticadas tecnologías de optimización basadas en hardware y la descarga de cifrado/descifrado aumentan el rendimiento del sistema y la capacidad del servidor a la vez que mejoran la experiencia del usuario. BIG-IP LTM es un firewall de red certificado por ICSA y también un ADC que funciona como un dispositivo de seguridad perimetral y se puede mejorar aún más con otros módulos de seguridad y gestión de políticas de la familia BIG-IP. Al implementar productos BIG-IP con DirectAccess/VPN, las organizaciones pueden maximizar los beneficios generales y la seguridad de sus inversiones en acceso remoto .