Vad är skillnaden mellan DirectAccess och Always On VPN?
On december 17, 2021 by admin
DirectAccess har funnits i många år, och när Microsoft nu går i riktning mot Always On VPN får jag ofta frågan ”Vad är skillnaden mellan DirectAccess och Always On VPN?”. I grund och botten ger de båda sömlös och transparent, alltid på fjärråtkomst. Always On VPN har dock ett antal fördelar jämfört med DirectAccess när det gäller säkerhet, autentisering och hantering, prestanda och supportmöjligheter.
Säkerhet
DirectAccess ger full nätverksanslutning när en klient är fjärransluten. Den saknar några ursprungliga funktioner för att styra åtkomst på granulär basis. Det är möjligt att begränsa åtkomsten till interna resurser genom att placera en brandvägg mellan DirectAccess-servern och LAN, men policyn skulle gälla alla anslutna klienter.
Windows 10 Always On VPN har stöd för granulär trafikfiltrering. Medan DirectAccess ger tillgång till alla interna resurser när de är anslutna, gör Always On VPN det möjligt för administratörer att begränsa klienternas tillgång till interna resurser på olika sätt. Dessutom kan trafikfilterpolicyer tillämpas per användare eller grupp. Till exempel kan användare inom redovisning få tillgång till endast sina avdelningsservrar. Samma sak kan göras för HR, ekonomi, IT och andra.
Autentisering och hantering
DirectAccess har stöd för stark användarautentisering med smartkort och lösningar med engångslösenord (OTP). Det finns dock ingen möjlighet att bevilja åtkomst baserat på enhetens konfiguration eller hälsa, eftersom den funktionen togs bort i Windows Server 2016 och Windows 10. Dessutom kräver DirectAccess att klienter och servrar är anslutna till en domän, eftersom alla konfigurationsinställningar hanteras med hjälp av grupprinciper i Active Directory.
Windows 10 Always On VPN innehåller stöd för modern autentisering och hantering, vilket resulterar i bättre övergripande säkerhet. Always On VPN-klienter kan anslutas till en Azure Active Directory och villkorad åtkomst kan också aktiveras. Stöd för modern autentisering med Azure MFA och Windows Hello for Business stöds också. Always On VPN hanteras med hjälp av MDM-lösningar (Mobile Device Management) som Microsoft Intune.
Prestanda
DirectAccess använder IPsec med IPv6, som måste kapslas in i TLS för att dirigeras över det offentliga IPv4-internet. IPv6-trafiken översätts sedan till IPv4 på DirectAccess-servern. DirectAccess prestanda är ofta acceptabel när klienterna har tillförlitliga Internetanslutningar av hög kvalitet. Men om anslutningskvaliteten är ganska eller dålig ger DirectAccess höga protokollöverskott med sina flera inkapslings- och översättningslager ofta dålig prestanda.
Det protokoll som väljs för Windows 10 Always On VPN-installationer är IKEv2. Det ger bäst säkerhet och prestanda jämfört med TLS-baserade protokoll. Dessutom förlitar sig Always On VPN inte enbart på IPv6 som DirectAccess gör. Detta minskar de många inkapslingslagren och eliminerar behovet av komplex IPv6-övergångs- och översättningsteknik, vilket ytterligare förbättrar prestandan jämfört med DirectAccess.
Stödbarhet
DirectAccess är en Microsoft-proprietär lösning som måste distribueras med hjälp av Windows Server och Active Directory. Den kräver också en Network Location Server (NLS) för att klienterna ska kunna avgöra om de befinner sig inom eller utanför nätverket. NLS tillgänglighet är avgörande och att se till att den alltid är nåbar för interna klienter kan innebära utmaningar, särskilt i mycket stora organisationer.
Windows 10 Always On VPN-stödinfrastrukturen är mycket mindre komplex än DirectAccess. Det finns inget krav på en NLS, vilket innebär färre servrar att tillhandahålla, hantera och övervaka. Dessutom är Always On VPN helt infrastrukturoberoende och kan distribueras med hjälp av VPN-servrar från tredje part som Cisco, Checkpoint, SonicWALL, Palo Alto med flera.
Sammanfattning
Windows 10 Always On VPN är framtidens väg. Den ger bättre övergripande säkerhet än DirectAccess, den presterar bättre och den är lättare att hantera och stödja.
Här är en snabb sammanfattning av några viktiga aspekter av VPN, DirectAccess och Windows 10 Always On VPN.
| Traditionell VPN | DirectAccess | Always On VPN | ||
| Sömlös och transparent | Nej | Ja | Ja | |
| Automatiska anslutningsalternativ | Ingen | Altid på | Altid på, app utlöst | |
| Stöd för protokoll | IPv4 och IPv6 | Endast IPv6 | IPv6 | IPv4 och IPv6 |
| Trafikfiltrering | Nej | Nej | Ja | |
| Azure AD Integration | Nej | Nej | Ja | |
| Modern Management | Ja | Nej (endast grupprinciper) | Ja (MDM) | |
| Klienter måste vara domän-ansluta sig till en domän? | Nej | Ja | Nej | |
| Kräver Microsoft Infrastructure | Nej | Ja | Nej | |
| Stöder Windows 7 | Ja | Ja | Endast Windows 10 |
Altid på VPN-hands-On Training
Om du är intresserad av att lära dig mer om Windows 10 Always On VPN, överväga att anmäla dig till en av mina praktiska kurser. Mer information här.
Lämna ett svar