Wat is het verschil tussen DirectAccess en Always On VPN?
On december 17, 2021 by admin
DirectAccess bestaat al vele jaren, en nu Microsoft de richting uitgaat van Always On VPN, wordt mij vaak gevraagd: “Wat is het verschil tussen DirectAccess en Always On VPN?” In principe bieden ze allebei naadloze en transparante, altijd op afstand toegankelijke toegang. Echter, Always On VPN heeft een aantal voordelen ten opzichte van DirectAccess op het gebied van beveiliging, authenticatie en beheer, prestaties en supportability.
Veiligheid
DirectAccess biedt volledige netwerk connectiviteit wanneer een client op afstand is verbonden. Het heeft geen ingebouwde functies om de toegang op een granulaire basis te controleren. Het is mogelijk om de toegang tot interne bronnen te beperken door een firewall te plaatsen tussen de DirectAccess-server en het LAN, maar het beleid zou van toepassing zijn op alle verbonden clients.
Windows 10 Always On VPN bevat ondersteuning voor granulaire filtering van verkeer. Waar DirectAccess toegang biedt tot alle interne bronnen wanneer verbonden, stelt Always On VPN beheerders in staat om de toegang van clients tot interne bronnen op verschillende manieren te beperken. Daarnaast kunnen verkeersfilter beleidsregels worden toegepast op een per-gebruiker of groep basis. Bijvoorbeeld, gebruikers in de boekhouding kan alleen toegang worden verleend tot de servers van hun afdeling. Hetzelfde kan worden gedaan voor HR, financiën, IT, en anderen.
Authenticatie en beheer
DirectAccess bevat ondersteuning voor sterke gebruikersauthenticatie met smartcards en one-time password (OTP) oplossingen. Er is echter geen voorziening om toegang te verlenen op basis van apparaatconfiguratie of gezondheid, omdat die functie is verwijderd in Windows Server 2016 en Windows 10. Bovendien vereist DirectAccess dat clients en servers zijn aangesloten op een domein, omdat alle configuratie-instellingen worden beheerd met behulp van Active Directory-groepsbeleid.
Windows 10 Always On VPN bevat ondersteuning voor moderne authenticatie en beheer, wat resulteert in een betere algehele beveiliging. Always On VPN-clients kunnen worden aangesloten op een Azure Active Directory en voorwaardelijke toegang kan ook worden ingeschakeld. Moderne authenticatie ondersteuning met behulp van Azure MFA en Windows Hello for Business wordt ook ondersteund. Always On VPN wordt beheerd met behulp van Mobile Device Management (MDM) oplossingen zoals Microsoft Intune.
Prestaties
DirectAccess maakt gebruik van IPsec met IPv6, dat moet worden ingekapseld in TLS om te worden gerouteerd over het openbare IPv4 Internet. IPv6 verkeer wordt dan vertaald naar IPv4 op de DirectAccess server. De DirectAccess-prestaties zijn vaak aanvaardbaar wanneer de klanten beschikken over betrouwbare internetverbindingen van hoge kwaliteit. Als de verbindingskwaliteit echter redelijk tot slecht is, levert de hoge protocoloverhead van DirectAccess met zijn meerdere lagen van inkapseling en vertaling vaak slechte prestaties.
Het protocol bij uitstek voor Windows 10 Always On VPN-implementaties is IKEv2. Het biedt de beste beveiliging en prestaties in vergelijking met TLS-gebaseerde protocollen. Bovendien vertrouwt Always On VPN niet uitsluitend op IPv6 zoals DirectAccess doet. Dit vermindert de vele lagen van inkapseling en elimineert de noodzaak voor complexe IPv6 overgang en vertaling technologieën, waardoor de prestaties verder verbeteren ten opzichte van DirectAccess.
Ondersteunbaarheid
DirectAccess is een Microsoft-eigen oplossing die moet worden ingezet met behulp van Windows Server en Active Directory. Het vereist ook een Network Location Server (NLS) voor clients om te bepalen of ze binnen of buiten het netwerk zijn. NLS beschikbaarheid is cruciaal en ervoor zorgen dat het altijd bereikbaar is door interne clients kan uitdagingen opleveren, vooral in zeer grote organisaties.
Windows 10 Always On VPN ondersteunende infrastructuur is veel minder complex dan DirectAccess. Er is geen vereiste voor een NLS, wat betekent dat er minder servers moeten worden geleverd, beheerd en bewaakt. Bovendien is Always On VPN volledig infrastructuur onafhankelijk en kan worden ingezet met behulp van VPN-servers van derden, zoals Cisco, Checkpoint, SonicWALL, Palo Alto, en meer.
Samenvatting
Windows 10 Always On VPN is de weg van de toekomst. Het biedt een betere algehele beveiliging dan DirectAccess, het presteert beter en het is eenvoudiger te beheren en te ondersteunen.
Hier volgt een korte samenvatting van enkele belangrijke aspecten van VPN, DirectAccess en Windows 10 Always On VPN.
| Traditionele VPN | DirectAccess | Altijd Op VPN | |
| Naadloos en Transparant | Nee | Ja | Ja |
| Automatische verbindingsopties | Nee | Altijd aan | Altijd aan, app geactiveerd |
| Protocolondersteuning | IPv4 en IPv6 | IPv6 alleen | IPv4 en IPv6 |
| Traffic Filtering | Nee | Nee | Ja |
| Azure AD-integratie | Nee | Nee | Ja |
| Modern beheer | Ja | Nee (alleen groepsbeleid) | Ja (MDM) |
| Moet de klant domain-aangesloten zijn? | Nee | Ja | Nee |
| Vereist Microsoft Infrastructuur | Nee | Ja | Nee |
| Ondersteunt Windows 7 | Ja | Ja | Alleen Windows 10 |
Altijd op VPN hands-On Training
Als u geïnteresseerd bent om meer te leren over Windows 10 Always On VPN, kunt u zich aanmelden voor een van mijn hands-on trainingen. Meer details vindt u hier.
Geef een antwoord