Hvad er forskellen mellem DirectAccess og Always On VPN?
On december 17, 2021 by admin
DirectAccess har eksisteret i mange år, og nu hvor Microsoft bevæger sig i retning af Always On VPN, bliver jeg ofte spurgt: “Hvad er forskellen mellem DirectAccess og Always On VPN?” Grundlæggende giver de begge sømløs og gennemsigtig, altid på fjernadgang. Always On VPN har dog en række fordele i forhold til DirectAccess med hensyn til sikkerhed, autentificering og administration, ydeevne og supportmuligheder.
Sikkerhed
DirectAccess giver fuld netværksforbindelse, når en klient er tilsluttet eksternt. Der mangler ingen indbyggede funktioner til at styre adgangen på et granulært grundlag. Det er muligt at begrænse adgangen til interne ressourcer ved at placere en firewall mellem DirectAccess-serveren og LAN’et, men politikken ville gælde for alle tilsluttede klienter.
Windows 10 Always On VPN indeholder understøttelse af granulær trafikfiltrering. Hvor DirectAccess giver adgang til alle interne ressourcer, når der er forbindelse, giver Always On VPN administratorer mulighed for at begrænse klienternes adgang til interne ressourcer på en række forskellige måder. Desuden kan trafikfilterpolitikker anvendes på bruger- eller gruppebasis. F.eks. kan brugere i regnskabsafdelingen kun få adgang til deres afdelingsservere. Det samme kan gøres for HR, finans, IT og andre.
Autentifikation og administration
DirectAccess omfatter understøttelse af stærk brugergodkendelse med smart cards og OTP-løsninger (one-time password). Der er dog ingen mulighed for at give adgang baseret på enhedens konfiguration eller tilstand, da denne funktion blev fjernet i Windows Server 2016 og Windows 10. Desuden kræver DirectAccess, at klienter og servere er tilknyttet et domæne, da alle konfigurationsindstillinger administreres ved hjælp af Active Directory-gruppepolitik.
Windows 10 Always On VPN indeholder understøttelse af moderne godkendelse og administration, hvilket resulterer i en bedre samlet sikkerhed. Always On VPN-klienter kan tilknyttes et Azure Active Directory, og der kan også aktiveres betinget adgang. Understøttelse af moderne autentificering ved hjælp af Azure MFA og Windows Hello for Business understøttes også. Always On VPN administreres ved hjælp af MDM-løsninger (Mobile Device Management) som f.eks. Microsoft Intune.
Performance
DirectAccess bruger IPsec med IPv6, som skal indkapsles i TLS for at blive dirigeret over det offentlige IPv4-internet. IPv6-trafikken oversættes derefter til IPv4 på DirectAccess-serveren. DirectAccess-ydelsen er ofte acceptabel, når klienterne har pålidelige internetforbindelser af høj kvalitet. Men hvis forbindelseskvaliteten er rimelig til dårlig, giver DirectAccess’ høje protokoloverhead med de mange lag af indkapsling og oversættelse ofte dårlig ydelse.
Den foretrukne protokol til Windows 10 Always On VPN-implementeringer er IKEv2. Den giver den bedste sikkerhed og ydeevne sammenlignet med TLS-baserede protokoller. Desuden er Always On VPN ikke udelukkende afhængig af IPv6, som DirectAccess er det. Dette reducerer de mange indkapslingslag og eliminerer behovet for komplekse IPv6-overgangs- og oversættelsesteknologier, hvilket forbedrer ydeevnen yderligere i forhold til DirectAccess.
Supportabilitet
DirectAccess er en Microsoft-proprietær løsning, der skal implementeres ved hjælp af Windows Server og Active Directory. Den kræver også en Network Location Server (NLS) for at klienterne kan afgøre, om de befinder sig inden for eller uden for netværket. NLS’ens tilgængelighed er afgørende, og det kan være en udfordring at sikre, at den altid kan nås af interne klienter, især i meget store organisationer.
Windows 10 Always On VPN-understøttende infrastruktur er langt mindre kompleks end DirectAccess. Der er ikke noget krav om en NLS, hvilket betyder færre servere, der skal tilvejebringes, administreres og overvåges. Desuden er Always On VPN fuldstændig uafhængig af infrastrukturen og kan implementeres ved hjælp af VPN-servere fra tredjeparter som Cisco, Checkpoint, SonicWALL, Palo Alto m.fl.
Summary
Windows 10 Always On VPN er fremtidens vej. Den giver en bedre generel sikkerhed end DirectAccess, den yder bedre, og den er nemmere at administrere og supportere.
Her er en hurtig oversigt over nogle vigtige aspekter af VPN, DirectAccess og Windows 10 Always On VPN.
| Traditionel VPN | DirectAccess | Always On VPN | ||
| Sømløst og gennemskueligt | Nej | Ja | Ja | |
| Automatiske forbindelsesindstillinger | Ingen | Altid tændt | Altid tændt, app udløst | |
| Understøttelse af protokoller | IPv4 og IPv6 | Kun IPv6 | IPv6 | IPv4 og IPv6 |
| Trafikfiltrering | Nej | Nej | Ja | |
| Azure AD-integration | Nej | Nej | Nej | Ja |
| Moderne administration | Ja | Nej (kun gruppepolitik) | Ja (MDM) | |
| Klienter skal være domæne-tilknyttet? | Nej | Ja | Nej | |
| Kræver Microsoft Infrastructure | Nej | Ja | Nej | |
| Understøtter Windows 7 | Ja | Ja | Kun Windows 10 |
Altid på VPN-hånd-On Training
Hvis du er interesseret i at lære mere om Windows 10 Always On VPN, så overvej at tilmelde dig en af mine praktiske kurser. Flere oplysninger her.
Skriv et svar