詳解與DirectAccess有關的10件事情

相關推薦

　　Direct Access講遠程訪問帶入了一個新的境界，它可以實現企業員工可以隨時隨時隨地的進行遠程接入，不在受傳統的接入方式的限制，DirectAccess 服務器承擔了網關的角色，連接內網和外網之間，甚至當DirectAccess 客戶端處于限制性的防火墻后，也可以實現連接。以下是小編為大家搜索整理的詳解與DirectAccess有關的10件事情，希望能給大家帶來幫助!更多精彩內容請及時關注我們應屆畢業生考試網!

　　詳解與DirectAccess的10件事情

　　1、可以將企業網絡擴展到任何能夠接入互聯網的客戶端上

　　DirectAccess的目標是將企業的內部網絡拓展到任何連接到互聯網的DirectAccess 客戶端電腦上。DirectAccess客戶端電腦將作為企業網絡的域成員，與位于企業網絡內的電腦擁有一樣的控制機制。為了讓IT管理員能夠控制任何地理位置的電腦，DirectAccess還為用戶提供了無縫的網絡接入體驗。用戶不必再為了不同的網絡環境記住不同的用戶名和密碼，因為用戶的電腦將一直連接在企業網上。

　　當DirectAccess客戶端電腦開啟時，系統將建立一個"結構化"通道。這個通道可以讓DirectAccess 客戶端電腦連接到企業網絡的管理資源和域資源，如域控制器，DNS服務器以及管理服務器。這個通道是雙向的，因此IT

　　管理員也可以像在企業內網管理電腦一樣管理通過互聯網接入的DirectAccess客戶端電腦。

　　當用戶登錄后，系統將開啟第二個通道，即"內網通道"，確保用戶可以像在內網一樣，訪問到企業內網的各種資源。他們可以使用FQDNs或者僅使用簡單的標簽就可以連接到文件服務器，Web服務器，數據庫服務器，郵件服務器或其他任何服務器，而完全不需要重新設置應用程序。簡單講， DirectAccess的用戶會永遠連接在企業網中，不論他現在身處何地。

　　2、DirectAccess的需求

　　在部署DirectAccess前，要先看看我們的配置是否符合要求。對于新手，你需要以下準備：

　　l 至少一個運行Windows Server 2003或更高版本的域控制器

　　l 一個內部PKI用來將機器證書分配給DirectAccess客戶端和DirectAccess 服務器。

　　l 一個私有或公有PKI將Web站點證書分配給IP-HTTPS監測器和Network Location Server(稍后討論)

　　另外你還要達到以下要求：

　　l DirectAccess 服務器必須是Windows Server 2008 R2標準版，企業版或更高級版本

　　l 必須支持IPv6，網絡傳輸設備上也必須開啟IPv6支持。

　　l DirectAccess 客戶端必須運行有 Windows 7企業版或旗艦版

　　l DirectAccess客戶端必須是活動目錄域成員

　　l 企業網絡中必須有高度可靠性的Network Location Server (Web服務器)

　　l 如果在DirectAccess 服務器之前或之后有防火墻，數據包過濾器必須允許相關數據包傳輸。

　　l DirectAccess 服務器必須配有兩個網卡

　　3、IPv6 是 DirectAccess通信的前提

　　DirectAccess客戶端使用IPv6協議與DirectAccess 服務器進行通信。DirectAccess服務器會將客戶端傳輸的數據轉發給企業網內相連的支持IPv6的主機。企業網可以使用原生IPv6架構(即路由器，交換機，操作系統以及應用程序全部支持IPv6)，或者采用IPv6轉換技術連接企業網內的IPv6資源。

　　DirectAccess服務器可以使用ISATAP (Intra-site Automatic Tunnel Addressing Protocol)將IPv6數據包封裝在IPv4報頭中，使得IPv6數據可以在企業的IPv4網絡中傳輸。連接到IPv4互聯網的DirectAccess客戶端可以使用各種流行的IPv6轉換技術來連接DirectAccess服務器，比如6to4, Teredo, 以及IP-HTTPS等。

　　4、端到邊緣和端到端的IPSec安全通信

　　由于DirectAccess 客戶端和服務器端的通信要跨越公開的互聯網，因此確保信息在傳遞過程中不會被攔截和篡改就非常重要了。DirectAccess使用 IPsec實現客戶端和服務器端的安全通信。IPsec 通道模式被用來建立結構化通道和內網通道。另外，用戶還可以使用IPsec 傳輸模式配置 DirectAccess，實現客戶端和遠程服務器端的加密通信。DirectAccess還引入了最早出現在Vista 和 Windows Server 2008 中的AuthIP功能，從而實現用戶和計算機證書的雙重連接認證，而不僅僅只采用計算機證書認證。

　　5、客戶端程序必須支持IPv6

　　既然目標是要實現客戶端電腦與企業內網中的電腦擁有一樣的用戶體驗，那么在比較DirectAccess客戶端電腦與企業內網電腦時就會發現一個明顯的不同：DirectAccess客戶端必須使用IPv6來連接DirectAccess服務器。這意味著DirectAccess客戶端程序必須是支持IPv6的。如果客戶端程序不支持IPv6(比如目前的OCS客戶端)，連接就會失敗。就算使用IPv6 到 IPv4的轉換器也是一樣的。

　　6、活動目錄和組策略

　　DirectAccess 服務器和客戶端要進行一系列的配置修改，以便實現DirectAccess 解決方案。而修改配置最有效的方法就是采用活動目錄和活動目錄組策略對象(PGO)。GPO被分配給DirectAccess 服務器和DirectAccess客戶端。另外，Active Directory也被要求進行認證。結構化通道采用 NTLMv2 認證連接到DirectAccess服務器的計算機帳戶，同時計算機帳戶必須與活動目錄域匹配。內網通道則使用Kerberos 認證進行登錄用戶的驗證。

　　雖然活動目錄和GPO都是必須的，但是DirectAccess服務器并不要求接入的成員必須屬于資源域。因為 DirectAccess 服務器域和資源域/森林之間是雙向信任關系，因此這種方案是可行的。

　　7、Network Location Servers 讓 DirectAccess 客戶端知道自己在企業網絡中所處的位置

　　DirectAccess被設計為自動執行并且是后臺運行的。用戶不必做任何動作來"啟動"DirectAccess連接。用戶只需要開啟電腦就好了。實際上，用戶不用登錄系統都可以。在用戶登錄前，結構化通道就已經建立了，而DirectAccess客戶端的代理程序會連接到內網的管理服務器進行程序升級，獲取配置信息，安全配置設置，以及任何IT管理員希望DirectAccess客戶端應該具備的網絡配置和安全策略。

　　要讓整個過程透明化，就必須有某種機制讓DirectAccess客戶端組件知道自己該在什么時候啟動，在什么時候關閉。這就引出了Network Location Server 。Network Location Server (NLS)是一個支持SSL連接請求的Web服務器。NLS

　　可以支持匿名或完整驗證信息的連接。當DirectAccess客戶端連接到NLS時，客戶端組件就知道自己已經處于企業內網中，于是關閉DirectAccess客戶端組件。如果DirectAccess客戶端不能與NLS服務器取得聯系，就會認為客戶端目前沒有接入企業內網，于是DirectAccess客戶端會自動開啟，建立IPsec隧道，通過互聯網連接遠程的DirectAccess服務器。DirectAccess客戶端會通過Certificate Revocation List查找 NLS Web服務器證書，因此CRL必須是可用的。否則，連接到NLS SSL Web站點就會失敗，客戶端是否已經連接到內網的檢測也會失敗。

　　8、證書，證書，證書

　　在DirectAccess客戶端/服務器的解決方案中，在不同位置多次用到了證書。包括：

　　DirectAccess 客戶端電腦。每個DirectAccess客戶端都需要一個計算機證書來確定到DirectAccess 服務器的IPsec連接。這個證書用來建立IPsec 連接，同時也被IP-HTTPS使用，即DirectAccess服務器在允許IP-HTTPS連接到互聯網前，會再次進行計算機證書驗證。計算機證書最好是由Microsoft Certificate Server 和基于組策略的電腦證書自動注冊的。

　　DirectAccess 服務器上的IP-HTTPS監測器。IP-HTTPS是一種 IPv6轉換技術，可以讓IPv6數據包在IPv4網絡上傳輸。微軟設計這個協議是為了讓DirectAccess 客戶端能夠順利的連接到DirectAccess 服務器，即使客戶端位于一個只允許HTTP/HTTPS 輸出的防火墻背后，或者位于一個Web代理服務器后。IP-HTTPS監測器需要Web站點證書，同時DirectAccess客戶端必須能夠連接帶有CRL的服務器獲取證書信息。如果 CRL 檢查失敗，IP-HTTPS連接就會失敗。對于IP-HTTPS監測器來說，商業證書是最好的選擇，因為這類證書在CRL中是全球通用的。

　　DirectAccess 服務器。DirectAccess服務器上存有IP-HTTPS Web站點證書，但是他同時還需要計算機證書與DirectAccess客戶端建立IPsec連接。

　　9、名稱解析策略表提供基于策略的DNS查詢

　　DirectAccess客戶端使用名稱解析策略表 (NRPT)確定該使用哪個DNS服務器進行名稱解析。當DirectAccess客戶端接入企業網絡后，NRPT就會被關閉。而當DirectAccess客戶端檢測到自己處于互聯網時，客戶端就會開啟NRPT并從中尋找哪個DNS服務器可以讓它連接到正確資源。企業可以將內部域名和可用的服務器記錄在NRPT上，并配置它使用內部DNS服務器來解析名稱。

　　當互聯網上的一個 DirectAccess 客戶端需要利用FQDN連接到資源，會檢查NRPT。如果名字在上面，查詢就會被送到內網的DNS服務器上。如果名字不在NRPT上， DirectAccess客戶端就會將查詢發送到網卡配置上規定的DNS服務器，也就是互聯網上的DNS服務器。NLS 服務器名稱也被置于NRPT中，但是屬于免除解析部分，即DirectAccess 客戶端永遠不會使用內部服務器來解析NLS服務器的名稱。于是處于互聯網上的DirectAccess客戶端永遠無法解析NLS服務器，客戶端將明白自己處于互聯網，于是開啟DirectAccess客戶端組件連接企業內網的DirectAccess服務器。

　　10、DirectAccess具有"對外管理"能力

　　正如前面提到的，IT管理員可以利用結構化通道，跨越互聯網對外管理遠程的DirectAccess客戶端電腦。不過管理員需要在Windows Firewall with Advanced Security (WFAS)中配置防火墻規則，允許系統連接到Teredo客戶端。建立這個規則后，還要確定為防火墻規則開啟了Edge Traversal 。當DirectAccess客戶端位于NAT后面并連接到互聯網時，被看做Teredo客戶端，同時DirectAccess服務器和NAT設備要允許UDP端口 3544輸出數據。

　　詳解與DirectAccess

　　1、無縫連接：DirectAccess允許遠程用戶在互聯網上無需進行任何特殊配置或登錄客戶端，就能直接訪問企業內網資源，提高了遠程辦公的便捷性。

　　2、安全傳輸：它使用IPsec加密通道來保護所有通信，確保數據在傳輸過程中的安全，防止數據被竊聽或篡改。

　　3、雙向訪問：不僅允許遠程用戶訪問內網資源，同時IT管理員也能隨時訪問遠程用戶的計算機進行管理和維護，如軟件更新、安全策略部署等。

　　4、始終開啟：一旦配置完成，DirectAccess會始終保持連接狀態，這意味著用戶不必每次需要訪問內網時都進行連接操作。

　　5、簡化管理：通過集中管理策略，IT管理員可以輕松控制誰有權訪問內部網絡，以及這些用戶可以訪問哪些資源，簡化了網絡安全策略的實施。

　　6、支持條件訪問：DirectAccess可以根據預定義的條件（如系統健康狀態檢查）來決定是否允許設備接入，增加了安全性。

　　7、集成Windows平臺：DirectAccess是Windows操作系統的一部分，特別是Windows Server和Windows 10/11，易于部署和集成到現有的基礎設施中。

　　8、網絡適應性：DirectAccess可以自動檢測網絡狀況，選擇最優路徑進行連接，保證連接的穩定性和效率。

　　9、基礎設施要求：實施DirectAccess需要特定的網絡基礎架構，包括至少兩臺運行DirectAccess服務器的Windows Server，以及正確的DNS和證書服務配置。

【詳解與DirectAccess的10件事情】相關文章：

Dreamweaver技巧詳解01-14