Was ist der Unterschied zwischen DirectAccess und Always On VPN?
On Dezember 17, 2021 by admin
DirectAccess gibt es schon seit vielen Jahren, und da Microsoft jetzt in Richtung Always On VPN geht, werde ich oft gefragt: „Was ist der Unterschied zwischen DirectAccess und Always On VPN?“ Grundsätzlich bieten beide einen nahtlosen und transparenten Fernzugriff, der immer verfügbar ist. Always On VPN hat jedoch eine Reihe von Vorteilen gegenüber DirectAccess in Bezug auf Sicherheit, Authentifizierung und Management, Leistung und Supportfähigkeit.
Sicherheit
DirectAccess bietet volle Netzwerkkonnektivität, wenn ein Client aus der Ferne verbunden ist. Es fehlt an nativen Funktionen, um den Zugriff auf einer granularen Basis zu kontrollieren. Es ist möglich, den Zugriff auf interne Ressourcen zu beschränken, indem eine Firewall zwischen dem DirectAccess-Server und dem LAN platziert wird, aber die Richtlinie würde für alle verbundenen Clients gelten.
Windows 10 Always On VPN bietet Unterstützung für granulare Verkehrsfilterung. Während DirectAccess den Zugriff auf alle internen Ressourcen ermöglicht, wenn eine Verbindung besteht, können Administratoren mit Always On VPN den Client-Zugriff auf interne Ressourcen auf verschiedene Weise einschränken. Darüber hinaus können Richtlinien für die Datenverkehrsfilterung auf Benutzer- oder Gruppenbasis angewendet werden. So kann beispielsweise Benutzern in der Buchhaltung nur der Zugriff auf die Server ihrer Abteilung gewährt werden. Das Gleiche gilt für die Personalabteilung, die Finanzabteilung, die IT-Abteilung und andere.
Authentifizierung und Verwaltung
DirectAccess unterstützt eine starke Benutzerauthentifizierung mit Smartcards und One-Time-Password-Lösungen (OTP). Es gibt jedoch keine Möglichkeit, den Zugriff auf der Grundlage der Gerätekonfiguration oder des Gerätezustands zu gewähren, da diese Funktion in Windows Server 2016 und Windows 10 entfernt wurde. Darüber hinaus erfordert DirectAccess, dass Clients und Server mit einer Domäne verbunden sind, da alle Konfigurationseinstellungen über Active Directory-Gruppenrichtlinien verwaltet werden.
Windows 10 Always On VPN bietet Unterstützung für moderne Authentifizierung und Verwaltung, was zu einer besseren Gesamtsicherheit führt. Always On VPN-Clients können mit einem Azure Active Directory verbunden werden und der bedingte Zugriff kann ebenfalls aktiviert werden. Moderne Authentifizierungsunterstützung mit Azure MFA und Windows Hello for Business wird ebenfalls unterstützt. Always On VPN wird über Mobile Device Management (MDM)-Lösungen wie Microsoft Intune verwaltet.
Performance
DirectAccess verwendet IPsec mit IPv6, das in TLS gekapselt werden muss, um über das öffentliche IPv4-Internet geroutet zu werden. Der IPv6-Verkehr wird dann auf dem DirectAccess-Server in IPv4 übersetzt. Die Leistung von DirectAccess ist oft akzeptabel, wenn die Clients über zuverlässige Internetverbindungen von hoher Qualität verfügen. Wenn die Verbindungsqualität jedoch mittelmäßig bis schlecht ist, führt der hohe Protokoll-Overhead von DirectAccess mit seinen mehreren Verkapselungs- und Übersetzungsschichten häufig zu einer schlechten Leistung.
Das Protokoll der Wahl für Windows 10 Always On VPN-Bereitstellungen ist IKEv2. Es bietet die beste Sicherheit und Leistung im Vergleich zu TLS-basierten Protokollen. Darüber hinaus basiert Always On VPN nicht ausschließlich auf IPv6 wie DirectAccess. Dies reduziert die Anzahl der Kapselungsschichten und macht komplexe IPv6-Übergangs- und Übersetzungstechnologien überflüssig, was die Leistung gegenüber DirectAccess weiter verbessert.
Unterstützbarkeit
DirectAccess ist eine Microsoft-eigene Lösung, die mit Windows Server und Active Directory bereitgestellt werden muss. Außerdem wird ein Network Location Server (NLS) benötigt, damit die Clients feststellen können, ob sie sich innerhalb oder außerhalb des Netzwerks befinden. Die Verfügbarkeit des NLS ist von entscheidender Bedeutung, und die Sicherstellung der ständigen Erreichbarkeit für interne Clients kann eine Herausforderung darstellen, insbesondere in sehr großen Unternehmen.
Die Windows 10 Always On VPN unterstützende Infrastruktur ist wesentlich weniger komplex als DirectAccess. Es ist kein NLS erforderlich, was bedeutet, dass weniger Server bereitgestellt, verwaltet und überwacht werden müssen. Darüber hinaus ist Always On VPN völlig unabhängig von der Infrastruktur und kann mit VPN-Servern von Drittanbietern wie Cisco, Checkpoint, SonicWALL, Palo Alto und anderen bereitgestellt werden.
Zusammenfassung
Windows 10 Always On VPN ist der Weg in die Zukunft. Es bietet eine bessere Gesamtsicherheit als DirectAccess, eine bessere Leistung und ist einfacher zu verwalten und zu unterstützen.
Hier eine kurze Zusammenfassung einiger wichtiger Aspekte von VPN, DirectAccess und Windows 10 Always On VPN.
| Traditionelles VPN | DirectAccess | Always On VPN | |
| Nahtlos und Transparent | Nein | Ja | Ja |
| Automatische Verbindungsoptionen | Keine | Immer eingeschaltet | Immer eingeschaltet, App ausgelöst |
| Protokollunterstützung | IPv4 und IPv6 | Nur IPv6 | IPv4 und IPv6 |
| Traffic Filtering | Nein | Nein | Ja |
| Azure AD-Integration | Nein | Nein | Ja |
| Modernes Management | Ja | Nein (nur Gruppenrichtlinien) | Ja (MDM) |
| Klienten müssen Domänen-verbunden sein? | Nein | Ja | Nein |
| Erfordert Microsoft Infrastruktur | Nein | Ja | Nein |
| Unterstützt Windows 7 | Ja | Ja | Nur Windows 10 |
Immer auf VPN Hands-onOn Training
Wenn Sie daran interessiert sind, mehr über Windows 10 Always On VPN zu erfahren, sollten Sie sich für eine meiner praktischen Schulungen anmelden. Mehr Details hier.
Schreibe einen Kommentar