F5 e serviços de acesso remoto/DirectAccess do Windows Server 2012

Para o Windows 8 e o Windows Server 2012, a Microsoft pegou duas tecnologias de acesso remoto encontradas em versões anteriores do Windows Server, DirectAccess e VPN Server, e as colocou sob o mesmo guarda-chuva de gerenciamento chamado simplesmente Acesso Remoto. As tecnologias F5 podem ser implantadas para gerenciar tráfego e balancear cargas nesses serviços.

Originalmente introduzido no Windows Server 2008 R2 e no Windows 7, o DirectAccess mudou a tecnologia anterior de acesso remoto. Ao contrário das VPNs tradicionais, nas quais as conexões são iniciadas manualmente no nível do usuário, o DirectAccess utiliza uma conexão contínua no nível do sistema. Isso significa que sistemas remotos associados a um domínio criarão, de forma automática e segura, uma presença na rede corporativa na inicialização.

A VPN, anteriormente conhecida como Serviços de Acesso Remoto (RAS), foi introduzida no Windows NT e inclui as tecnologias tradicionais de VPN do Windows, como IKEv2, SSTP, PPTP e L2TP. Os clientes do Windows Server 2012 podem implantar o DirectAccess, a VPN ou ambos, e geralmente é benéfico implantar ambos. O DirectAccess fornece acesso remoto para clientes Windows 7 (e superiores) ingressados no domínio que receberam as permissões adequadas, enquanto a VPN oferece acesso remoto às máquinas que não ingressaram no domínio ou ainda não executam o Windows 7.

Uma novidade no DirectAccess no Windows Server 2012 é o suporte para balanceamento de carga local e de longa distância. O F5 BIG-IP Local Traffic Manager (LTM) pode ser usado para fornecer balanceamento de carga de área local, e o F5 BIG-IP Global Traffic Manager (GTM) pode fornecer balanceamento de carga de área ampla (também conhecido como global).

Os produtos F5 podem desempenhar um papel significativo em uma implantação de acesso remoto do Windows Server 2012.

• Alta disponibilidade Por meio do conhecimento dos serviços DirectAccess/VPN reais, o BIG-IP LTM pode garantir que os usuários sejam sempre enviados para um servidor DirectAccess/VPN pronto para novas conexões, eliminando situações em que um usuário é enviado para um servidor inativo ou com baixo desempenho. Além disso, o BIG-IP LTM apresenta funcionalidade de persistência entre serviços. Isso é vantajoso ao lidar com tráfego como o protocolo de tunelamento ponto a ponto (PPTP), que é fornecido com todas as versões do cliente Windows desde o Windows 95 R2, proporcionando uma cobertura incrivelmente ampla em computadores clientes. Cada cliente que se conecta ao DirectAccess via PPTP cria dois fluxos independentes, mas necessários: a conexão de controle e a conexão de dados. Durante o balanceamento de carga, ambos os fluxos de cada cliente devem ser enviados ao mesmo servidor PPTP para evitar a interrupção da conexão. O BIG-IP LTM tem a inteligência de enviar ambos os fluxos de um cliente específico para o mesmo servidor, garantindo assim que a conexão permaneça ininterrupta.

• Escalabilidade Ao gerenciar o tráfego de forma inteligente, o BIG-IP LTM pode distribuir a taxa de transferência para um conjunto multisite de servidores DirectAccess/VPN, permitindo que o sistema seja dimensionado para um número muito maior de usuários do que poderia suportar de outra forma.

• Desempenho O BIG-IP LTM pode ajudar no desempenho de várias maneiras, desde otimizações de TCP e descarregamento de SSL até conscientização sobre o desempenho do servidor. O resultado é um acesso mais rápido e a melhor experiência de rede possível para os usuários. Em particular, o descarregamento de criptografia BIG-IP LTM SSL/TLS pode aliviar os servidores DirectAccess/VPN de grandes cargas de trabalho. Ao encerrar a conexão SSL com o cliente e enviar o tráfego não criptografado para os servidores, o BIG-IP LTM libera a CPU do servidor para atender clientes.

• Segurança O mesmo dispositivo BIG-IP LTM que fornece gerenciamento de tráfego para os servidores DirectAccess/VPN é um firewall de rede certificado pela ICSA, atendendo aos padrões de segurança do data center que permitem que as empresas o implantem como um Application Delivery Controller (ADC) de uso duplo e um dispositivo de segurança de perímetro.

A consideração cuidadosa da arquitetura de rede adequada para DirectAccess/VPN é uma etapa crítica no processo de implantação. Muitas opções e topologias podem ser usadas, e o que está aqui não pretende ser uma lista exaustiva abordando todas as implantações, mas apenas uma revisão dos principais critérios de decisão e algumas topologias recomendadas. Os critérios que comumente afetam as topologias de implantação incluem escala, requisitos de segurança, orçamentos e acordos de nível de serviço (SLAs). Como essas considerações geralmente determinam uma determinada arquitetura ou proíbem outras, é melhor consultar as equipes da F5 e da Microsoft antes da implantação.

Para alta disponibilidade, a F5 recomenda fortemente a implantação de dispositivos BIG-IP LTM usando um modelo de implantação ativo/em espera ou um grupo de dois ou mais dispositivos que oferecem suporte ativo um ao outro, o que pode ser chamado de modelo activeN. Ambos os modelos permitem um failover BIG-IP LTM sem qualquer interrupção nas conexões de rede. Nos diagramas a seguir, um único ícone BIG-IP LTM representa um par de failover ou grupo activeN.

Para fornecer entrega de aplicativos e balanceamento de carga para o DirectAccess, as organizações geralmente implantam o BIG-IP LTM na frente de seus servidores DirectAccess/VPN como um front-end formal. Entre outras coisas, este dispositivo BIG-IP se torna responsável por monitorar a disponibilidade dos serviços DirectAccess/VPN e distribuir conexões de clientes de entrada para os servidores.

Farm de servidores DirectAccess do Windows Server 2012

Embora não seja necessário para o balanceamento de carga simples do DirectAccess/VPN, colocar dispositivos BIG-IP LTM entre o farm do DirectAccess e a rede corporativa também oferece benefícios significativos. Especificamente, essa configuração permite um cenário de "gerenciamento externo" no qual clientes ou servidores na rede interna podem iniciar conexões de gerenciamento com clientes DirectAccess conectados remotamente. Além disso, farms internos de servidores de aplicativos podem ter carga balanceada e ser submetidos a outras operações úteis de gerenciamento de tráfego.

Ter um dispositivo BIG-IP LTM na frente do farm DirectAccess/VPN é considerado um requisito para disponibilidade ideal, e outro dispositivo no lado da rede corporativa do farm é altamente recomendado. Isso não requer necessariamente dispositivos BIG-IP LTM separados. O modelo em camadas pode ser facilmente implantado reutilizando o mesmo dispositivo BIG-IP LTM para funções externas e internas. Veja Figura 3.

Rede corporativa BIG-IP do Windows Server 2012 DirectAccess Farm

Além de selecionar uma abordagem front-end ou em camadas, as organizações também devem escolher se desejam implantar seus servidores Direct Access/VPN com uma interface dual homed/network ou um único controlador de interface de rede (NIC).

O DirectAccess oferece suporte a uma configuração de roteamento de interface dupla que segmenta a rede externa da rede corporativa. Esta configuração fornece uma implantação segmentada e é necessária para o uso dos protocolos de acesso Teredo disponíveis no pacote DirectAccess. Projetado para ser leve e seguro, o protocolo Teredo é compatível com tradução de endereços de rede (NAT).

O DirectAccess também oferece suporte a modelos de implantação de interface única nos quais cada servidor DirectAccess tem apenas uma NIC. Rede corporativa.

Implantações com grandes bases de usuários multinacionais ou requisitos de resiliência em nível de site podem optar por uma implantação multisite. Nesse cenário, o F5 BIG-IP GTM pode ser implantado além do BIG-IP LTM para fornecer gerenciamento de tráfego de ampla área e balanceamento de carga com reconhecimento de contexto.

O BIG-IP GTM é um dispositivo global de gerenciamento de tráfego que amplia os benefícios da plataforma BIG-IP monitorando a integridade do site, lidando com o tráfego (incluindo solicitações de clientes remotos) vindo de fora do site e fornecendo recursos de recuperação de desastres no nível do site. Entre os recursos do BIG-IP GTM estão o reconhecimento geográfico e o direcionamento de usuários remotos para o farm DirectAccess geograficamente mais próximo. O BIG-IP GTM também garante failover em nível de site para data centers ativos quando ocorrem interrupções planejadas ou não planejadas.

Independentemente da topologia de configuração mais adequada à arquitetura e às necessidades de uma organização, os produtos F5 podem desempenhar um papel significativo em uma implantação do Windows Server 2012 DirectAccess/VPN. O BIG-IP LTM e o BIG-IP GTM podem trabalhar juntos para fornecer resiliência em nível de servidor e site para DirectAccess e Remote Access Services. Ao gerenciar o tráfego de forma inteligente com serviço, contexto e conscientização do usuário; persistência de serviço; e recursos de transferência inigualáveis, a plataforma BIG-IP maximiza a disponibilidade e garante escalabilidade. Tecnologias sofisticadas de otimização baseadas em hardware e a transferência de criptografia/descriptografia aumentam o desempenho do sistema e a capacidade do servidor, ao mesmo tempo que melhoram a experiência do usuário. Um firewall de rede certificado pela ICSA, bem como um ADC, o BIG-IP LTM também funciona como um dispositivo de segurança de perímetro e pode ser aprimorado com outros módulos de gerenciamento de políticas e segurança da família BIG-IP. Ao implantar produtos BIG-IP com DirectAccess/VPN, as organizações podem maximizar os benefícios gerais e a segurança de seus investimentos em acesso remoto.