Windows Server 2008 R2 RC: тестируем DirectAccess и смотрим, что нас ждёт осенью
RC Windows Server 2008 R2 вышел в июне. Подняли стенд, разобрали DirectAccess - технология интересная, но требует IPv6 и PKI. Для большинства клиентов это не этот год.
Release Candidate Windows Server 2008 R2 вышел в июне 2009; финальный релиз запланирован на октябрь одновременно с Windows 7
Microsoft выкатила Release Candidate Windows Server 2008 R2 в конце июня. Финальный релиз обещан на октябрь - одновременно с Windows 7, что выглядит логично: R2 и Win7 построены на одном ядре NT 6.1 и позиционируются как пара. Мы подняли RC на тестовом стенде и первые две недели потратили на то, что нас интересовало сильнее всего, - DirectAccess.
Что такое DirectAccess и почему мы за него взялись
Идея простая: корпоративный ноутбук подключается к ресурсам компании автоматически, как только попадает в интернет, - без явного запуска VPN-клиента, без ввода логина и пароля, прозрачно для пользователя. DirectAccess использует IPsec поверх IPv6 для тоннелирования трафика; для работы через IPv4-сети применяется протокол 6to4 или Teredo - в зависимости от того, что видит клиент на внешнем интерфейсе.
Звучит хорошо. Мы периодически получаем вопросы от клиентов насчёт «нормального удалённого доступа» - чтобы у менеджера за домашним ноутбуком всё работало без плясок с VPN-клиентом. DirectAccess выглядит ответом на этот запрос.
Как поднимали стенд
Для тестирования взяли три машины: сервер с Windows Server 2008 R2 RC в роли DirectAccess-сервера, контроллер домена на той же версии и клиентский ноутбук с Windows 7 RC. Вот здесь первый момент, который надо понимать сразу: DirectAccess работает только с Windows 7 в качестве клиента. Никакого Vista, тем более XP. Это не оговорка в документации, это архитектурное решение.
Дальше начались требования, которые нужно выполнить все и сразу:
- IPv6 на сервере DirectAccess - он должен смотреть в интернет с публичным IPv6-адресом (два, если точнее - для резервирования). Либо через NAT64/DNS64, но это усложняет схему.
- PKI - инфраструктура открытых ключей. DirectAccess использует сертификаты для аутентификации как сервера, так и клиентских машин. Нужен Certification Authority, нужны выданные сертификаты на каждый ноутбук через autoenrollment или вручную.
- Active Directory - обязательно, без него никак.
- Network Location Server - отдельный веб-сервер, по которому клиент понимает, находится ли он внутри корпоративной сети или снаружи. Если NLS недоступен - значит, клиент снаружи, начинаем строить тоннель.
На тестовом стенде всё это удалось поднять часа за четыре. В продакшне с реальной PKI-инфраструктурой, грамотно разделёнными ролями и нормальными IPv6-адресами - это минимум несколько дней работы.
Что работало, что нет
Когда всё встало, DirectAccess действительно работает так, как описано. Берём ноутбук, выходим из корпоративной сети, подключаемся к интернету через тестовую точку доступа - через несколько секунд клиент сам поднимает тоннель, сетевые диски маппятся, групповые политики применяются. Никаких диалоговых окон, никакого VPN-клиента на панели задач.
Административная сторона тоже интересная: клиентский ноутбук остаётся под управлением AD даже когда физически находится вне офиса. GPO прилетают, можно удалённо запустить проверку обновлений через WSUS, NAP (Network Access Protection) работает прозрачно. Для сопровождения инфраструктуры - отдельный плюс: сейчас часть задач по выездным сотрудникам требует либо явного VPN, либо физического присутствия в офисе.
Что не понравилось - или, точнее, что вызвало вопросы:
- IPv6 у провайдеров. Наш тестовый стенд имел IPv6-connectivity, потому что мы специально это обеспечили. Реальный клиентский офис с бюджетным провайдером - большой вопрос. Teredo и 6to4 работают как fallback, но добавляют слой, который надо дополнительно отлаживать.
- PKI как предусловие. У большинства наших клиентов нет развёрнутого CA. Поднять его «просто для DirectAccess» - не оптимальная история. PKI тащит за собой процессы: выдача сертификатов, отзыв, обновление, шаблоны. Это инфраструктура, которую надо обслуживать.
- Только Windows 7 на клиенте. Пока у большинства клиентов XP, это академический интерес.
Что с этим делать
RC ведёт себя стабильно для тестового окружения - крашей не было, откровенных багов не поймали. Но RC есть RC, в продакшн его никто не понесёт.
Финальный релиз в октябре мы встретим с уже готовым пониманием архитектуры. Для клиентов, где есть задача организовать прозрачный удалённый доступ и где параллельно идёт переход на Windows 7, - DirectAccess попадёт в список опций. Но реалистично: это не разговор этого года. Сначала нужен CA, потом нужен IPv6, потом нужен переезд клиентов на Win7. Если хотя бы один из этих пунктов не готов - традиционный VPN остаётся рабочим решением без лишних зависимостей.
Hyper-V R2 мы смотрели весной и там оценка была проще: взяли, протестировали, видим понятный путь к применению. С DirectAccess сложнее - технология выглядит сильно, но порог входа высокий, и предпосылки для большинства окружений ещё не созрели.