Direct Access vs. Real VPN
Der Tod von VPN?!
DirectAccess wird auch "der Tod des VPN " genannt und wird als eine der besten verfügbaren Lösungen für unsere VPN Probleme angepriesen. Aber hält DirectAccess auch was es verspricht?
Vor kurzem hat sich der NCP Blog VPNHaus genau mit dieser Frage beschäftigt. Und die Ergebnisse des Artikels waren aufschlussreich: Immer mehr Experten sind der Meinung, dass DirectAccess nicht hält was es verspricht. Obwohl DirectAccess eine flexible und mächtige Funktion ist, die eine Fülle an Verschlüsselungs- und Authentisierungsoptionen bietet, fehlen ihm umfassende Funktionen die es zu einer wahren All-in-One Lösung machen. Abgesehen davon, dass es ausschließlich auf Windows 7 läuft, ist diese "flexible Alternative" bezüglich der Bereitstellung ironischer weise etwas unflexibel. Die Anforderungen ergeben eine ellenlange Liste, die auch zwingend den Einsatz von IPv6 vorschreibt.
Befürworter von DirectAccess sagen, dass es möglich ist, diese "verpflichtende IPv6 Regelung" zu umgehen indem Microsofts Forefront Unified Access Gateway (UAG) über DirectAccess installiert wird, um die VPN Voraussetzungen zu erfüllen. Bei dieser Installation wird dann auch ein Großteil der für DirectAccess benötigten Infrastruktur mit installiert, sowie NAT64 und DNS64.
Dies bereitet natürlich eine ganze Reihe neuer Probleme, insbesondere bezüglich der Flexibilität und des Client Managements.
Wenn Sie sich entschließen für die Nutzung von DirectAccess over IPv4 das UAG zu installieren, wird die eingebaute Firewall deaktiviert und Microsofts Forefront Threat Management Gateway installiert. Damit wird zwar IPv4 vollständig unterstützt, jedoch nicht IPv6.
Wenn Sie aber DirectAccess für den Windows Server 2008 installieren, unterstützt die integrierte Firewall IPv6. Das gravierende Problem daran ist: die Firewall unterstützt nur eingehende oder ausgehende Regeln. In anderen Worten, es wird unmöglich sein IPv6 Traffic über den Server zu leiten.
Egal wie, all diese Optionen können Ihr Netzwerk beträchtlich lähmen oder einschränken; insbesondere wenn sie keine Microsoft Firewall verwenden. Wenn Sie diese verwenden, dann viel Glück bei der Implementierung von DirectAccess - Sie werden es brauchen!
Die Tatsache, dass DirectAccess Windows 7 und den Windows Server 2008 R2 mit PKI zwingend erfordert, ist extrem problematisch für den Einsatz von Geräten, besonders Mobilgeräten, die nicht von Microsoft sind. Denken Sie daran wie schwierig es sein wird sich mit einem Tablet PC oder einem Smartphone über Direct Access mit dem Netzwerk zu verbinden. Sogar Mobilgeräte von Microsoft sind momentan noch inkompatibel. Dies ist eine große Hürde in einer Zeit in der Mobilität als die Zukunft der Unternehmen angesehen wird. Spätestens wenn DirectAccess auf Bring Your Own Device trifft, wird schnell klar dass sich diese beiden nicht verstehen werden.