Direct Access講遠程訪問帶入了一個新的境界，它可以實現(xiàn)企業(yè)員工可以隨時隨時隨地的進行遠程接入，不在受傳統(tǒng)的接入方式的限制，DirectAccess 服務(wù)器承擔(dān)了網(wǎng)關(guān)的角色，連接內(nèi)網(wǎng)和外網(wǎng)之間，甚至當(dāng)DirectAccess 客戶端處于限制性的防火墻后，也可以實現(xiàn)連接。下面小編就為大家介紹DirectAccess的功能和它的工作原理。

　　1: 可以將企業(yè)網(wǎng)絡(luò)擴展到任何能夠接入互聯(lián)網(wǎng)的客戶端上

　　DirectAccess的目標(biāo)是將企業(yè)的內(nèi)部網(wǎng)絡(luò)拓展到任何連接到互聯(lián)網(wǎng)的DirectAccess 客戶端電腦上。DirectAccess客戶端電腦將作為企業(yè)網(wǎng)絡(luò)的域成員，與位于企業(yè)網(wǎng)絡(luò)內(nèi)的電腦擁有一樣的控制機制。為了讓IT管理員能夠控制任何地理位置的電腦，DirectAccess還為用戶提供了無縫的網(wǎng)絡(luò)接入體驗。用戶不必再為了不同的網(wǎng)絡(luò)環(huán)境記住不同的用戶名和密碼，因為用戶的電腦將一直連接在企業(yè)網(wǎng)上。

　　當(dāng)DirectAccess客戶端電腦開啟時，系統(tǒng)將建立一個"結(jié)構(gòu)化"通道。這個通道可以讓DirectAccess 客戶端電腦連接到企業(yè)網(wǎng)絡(luò)的管理資源和域資源，如域控制器，DNS服務(wù)器以及管理服務(wù)器。這個通道是雙向的，因此IT

　　管理員也可以像在企業(yè)內(nèi)網(wǎng)管理電腦一樣管理通過互聯(lián)網(wǎng)接入的DirectAccess客戶端電腦。

　　當(dāng)用戶登錄后，系統(tǒng)將開啟第二個通道，即"內(nèi)網(wǎng)通道"，確保用戶可以像在內(nèi)網(wǎng)一樣，訪問到企業(yè)內(nèi)網(wǎng)的各種資源。他們可以使用FQDNs或者僅使用簡單的標(biāo)簽就可以連接到文件服務(wù)器，Web服務(wù)器，數(shù)據(jù)庫服務(wù)器，郵件服務(wù)器或其他任何服務(wù)器，而完全不需要重新設(shè)置應(yīng)用程序。簡單講， DirectAccess的用戶會永遠連接在企業(yè)網(wǎng)中，不論他現(xiàn)在身處何地。

　　2: DirectAccess的需求

　　在部署DirectAccess前，要先看看我們的配置是否符合要求。對于新手，你需要以下準備：

　　l 至少一個運行Windows Server 2003或更高版本的域控制器

　　l 一個內(nèi)部PKI用來將機器證書分配給DirectAccess客戶端和DirectAccess 服務(wù)器。

　　l 一個私有或公有PKI將Web站點證書分配給IP-HTTPS監(jiān)聽器和Network Location Server(稍后討論)

　　另外你還要達到以下要求：

　　l DirectAccess 服務(wù)器必須是Windows Server 2008 R2標(biāo)準版，企業(yè)版或更高級版本

　　l 必須支持IPv6，網(wǎng)絡(luò)傳輸設(shè)備上也必須開啟IPv6支持。

　　l DirectAccess 客戶端必須運行有 Windows 7企業(yè)版或旗艦版

　　l DirectAccess客戶端必須是活動目錄域成員

　　l 企業(yè)網(wǎng)絡(luò)中必須有高度可靠性的Network Location Server (Web服務(wù)器)

　　l 如果在DirectAccess 服務(wù)器之前或之后有防火墻，數(shù)據(jù)包過濾器必須允許相關(guān)數(shù)據(jù)包傳輸。

　　l DirectAccess 服務(wù)器必須配有兩個網(wǎng)卡

　　3: IPv6 是 DirectAccess通信的前提

　　DirectAccess客戶端使用IPv6協(xié)議與DirectAccess 服務(wù)器進行通信。DirectAccess服務(wù)器會將客戶端傳輸?shù)臄?shù)據(jù)轉(zhuǎn)發(fā)給企業(yè)網(wǎng)內(nèi)相連的支持IPv6的主機。企業(yè)網(wǎng)可以使用原生IPv6架構(gòu)(即路由器，交換機，操作系統(tǒng)以及應(yīng)用程序全部支持IPv6)，或者采用IPv6轉(zhuǎn)換技術(shù)連接企業(yè)網(wǎng)內(nèi)的IPv6資源。

　　DirectAccess服務(wù)器可以使用ISATAP (Intra-site Automatic Tunnel Addressing Protocol)將IPv6數(shù)據(jù)包封裝在IPv4報頭中，使得IPv6數(shù)據(jù)可以在企業(yè)的IPv4網(wǎng)絡(luò)中傳輸。連接到IPv4互聯(lián)網(wǎng)的DirectAccess客戶端可以使用各種流行的IPv6轉(zhuǎn)換技術(shù)來連接DirectAccess服務(wù)器，比如6to4, Teredo, 以及IP-HTTPS等。

　　4: 端到邊緣和端到端的IPSec安全通信

　　由于DirectAccess 客戶端和服務(wù)器端的通信要跨越公開的互聯(lián)網(wǎng)，因此確保信息在傳遞過程中不會被攔截和篡改就非常重要了。DirectAccess使用 IPsec實現(xiàn)客戶端和服務(wù)器端的安全通信。IPsec 通道模式被用來建立結(jié)構(gòu)化通道和內(nèi)網(wǎng)通道。另外，用戶還可以使用IPsec 傳輸模式配置 DirectAccess，實現(xiàn)客戶端和遠程服務(wù)器端的加密通信。DirectAccess還引入了最早出現(xiàn)在Vista 和 Windows Server 2008 中的AuthIP功能，從而實現(xiàn)用戶和計算機證書的雙重連接認證，而不僅僅只采用計算機證書認證。

　　5: 客戶端程序必須支持IPv6

　　既然目標(biāo)是要實現(xiàn)客戶端電腦與企業(yè)內(nèi)網(wǎng)中的電腦擁有一樣的用戶體驗，那么在比較DirectAccess客戶端電腦與企業(yè)內(nèi)網(wǎng)電腦時就會發(fā)現(xiàn)一個明顯的不同：DirectAccess客戶端必須使用IPv6來連接DirectAccess服務(wù)器。這意味著DirectAccess客戶端程序必須是支持IPv6的。如果客戶端程序不支持IPv6(比如目前的OCS客戶端)，連接就會失敗。就算使用IPv6 到 IPv4的轉(zhuǎn)換器也是一樣的。

　　6: 活動目錄和組策略

　　DirectAccess 服務(wù)器和客戶端要進行一系列的配置修改，以便實現(xiàn)DirectAccess 解決方案。而修改配置最有效的方法就是采用活動目錄和活動目錄組策略對象(PGO)。GPO被分配給DirectAccess 服務(wù)器和DirectAccess客戶端。另外，Active Directory也被要求進行認證。結(jié)構(gòu)化通道采用 NTLMv2 認證連接到DirectAccess服務(wù)器的計算機帳戶，同時計算機帳戶必須與活動目錄域匹配。內(nèi)網(wǎng)通道則使用Kerberos 認證進行登錄用戶的驗證。

　　雖然 活動目錄和GPO都是必須的，但是DirectAccess服務(wù)器并不要求接入的成員必須屬于資源域。因為 DirectAccess 服務(wù)器域和資源域/森林之間是雙向信任關(guān)系，因此這種方案是可行的。

　　7: Network Location Servers 讓 DirectAccess 客戶端知道自己在企業(yè)網(wǎng)絡(luò)中所處的位置

　　DirectAccess被設(shè)計為自動執(zhí)行并且是后臺運行的。用戶不必做任何動作來"啟動"DirectAccess連接。用戶只需要開啟電腦就好了。實際上，用戶不用登錄系統(tǒng)都可以。在用戶登錄前，結(jié)構(gòu)化通道就已經(jīng)建立了，而DirectAccess客戶端的代理程序會連接到內(nèi)網(wǎng)的管理服務(wù)器進行程序升級，獲取配置信息，安全配置設(shè)置，以及任何IT管理員希望DirectAccess客戶端應(yīng)該具備的網(wǎng)絡(luò)配置和安全策略。

　　要讓整個過程透明化，就必須有某種機制讓DirectAccess客戶端組件知道自己該在什么時候啟動，在什么時候關(guān)閉。這就引出了Network Location Server 。Network Location Server (NLS)是一個支持SSL連接請求的Web服務(wù)器。NLS

　　可以支持匿名或完整驗證信息的連接。當(dāng)DirectAccess客戶端連接到NLS時，客戶端組件就知道自己已經(jīng)處于企業(yè)內(nèi)網(wǎng)中，于是關(guān)閉DirectAccess客戶端組件。如果DirectAccess客戶端不能與NLS服務(wù)器取得聯(lián)系，就會認為客戶端目前沒有接入企業(yè)內(nèi)網(wǎng)，于是DirectAccess客戶端會自動開啟，建立IPsec隧道，通過互聯(lián)網(wǎng)連接遠程的DirectAccess服務(wù)器。DirectAccess客戶端會通過Certificate Revocation List查找 NLS Web服務(wù)器證書，因此CRL必須是可用的。否則，連接到NLS SSL Web站點就會失敗，客戶端是否已經(jīng)連接到內(nèi)網(wǎng)的檢測也會失敗。

　　8: 證書，證書，證書

　　在DirectAccess客戶端/服務(wù)器的解決方案中，在不同位置多次用到了證書。包括：

　　DirectAccess 客戶端電腦。每個DirectAccess客戶端都需要一個計算機證書來確定到DirectAccess 服務(wù)器的IPsec連接。 這個證書用來建立IPsec 連接，同時也被IP-HTTPS使用，即DirectAccess服務(wù)器在允許IP-HTTPS連接到互聯(lián)網(wǎng)前，會再次進行計算機證書驗證。計算機證書最好是由Microsoft Certificate Server 和基于組策略的電腦證書自動注冊的。

　　DirectAccess 服務(wù)器上的IP-HTTPS監(jiān)聽器。IP-HTTPS是一種 IPv6轉(zhuǎn)換技術(shù)，可以讓IPv6數(shù)據(jù)包在IPv4網(wǎng)絡(luò)上傳輸。微軟設(shè)計這個協(xié)議是為了讓DirectAccess 客戶端能夠順利的連接到DirectAccess 服務(wù)器，即使客戶端位于一個只允許HTTP/HTTPS 輸出的防火墻背后，或者位于一個Web代理服務(wù)器后。IP-HTTPS監(jiān)聽器需要Web站點證書，同時DirectAccess客戶端必須能夠連接帶有CRL的服務(wù)器獲取證書信息。如果 CRL 檢查失敗，IP-HTTPS連接就會失敗。對于IP-HTTPS監(jiān)聽器來說，商業(yè)證書是最好的選擇，因為這類證書在CRL中是全球通用的。

　　DirectAccess 服務(wù)器。DirectAccess服務(wù)器上存有IP-HTTPS Web站點證書，但是他同時還需要計算機證書與DirectAccess客戶端建立IPsec連接。

　　9: 名稱解析策略表提供基于策略的DNS查詢

　　DirectAccess客戶端使用名稱解析策略表 (NRPT)確定該使用哪個DNS服務(wù)器進行名稱解析。當(dāng)DirectAccess客戶端接入企業(yè)網(wǎng)絡(luò)后，NRPT就會被關(guān)閉。而當(dāng)DirectAccess客戶端檢測到自己處于互聯(lián)網(wǎng)時，客戶端就會開啟NRPT并從中尋找哪個DNS服務(wù)器可以讓它連接到正確資源。企業(yè)可以將內(nèi)部域名和可用的服務(wù)器記錄在NRPT上，并配置它使用內(nèi)部DNS服務(wù)器來解析名稱。

　　當(dāng)互聯(lián)網(wǎng)上的一個 DirectAccess 客戶端需要利用FQDN連接到資源，會檢查NRPT。如果名字在上面，查詢就會被送到內(nèi)網(wǎng)的DNS服務(wù)器上。如果名字不在NRPT上， DirectAccess客戶端就會將查詢發(fā)送到網(wǎng)卡配置上規(guī)定的DNS服務(wù)器，也就是互聯(lián)網(wǎng)上的DNS服務(wù)器。NLS 服務(wù)器名稱也被置于NRPT中，但是屬于免除解析部分，即DirectAccess 客戶端永遠不會使用內(nèi)部服務(wù)器來解析NLS服務(wù)器的名稱。于是處于互聯(lián)網(wǎng)上的DirectAccess客戶端永遠無法解析NLS服務(wù)器，客戶端將明白自己處于互聯(lián)網(wǎng)，于是開啟DirectAccess客戶端組件連接企業(yè)內(nèi)網(wǎng)的DirectAccess服務(wù)器。

　　10: DirectAccess具有"對外管理"能力

　　正如前面提到的，IT管理員可以利用結(jié)構(gòu)化通道，跨越互聯(lián)網(wǎng)對外管理遠程的DirectAccess客戶端電腦。不過管理員需要在Windows Firewall with Advanced Security (WFAS)中配置防火墻規(guī)則，允許系統(tǒng)連接到Teredo客戶端。建立這個規(guī)則后，還要確定為防火墻規(guī)則開啟了Edge Traversal 。當(dāng)DirectAccess客戶端位于NAT后面并連接到互聯(lián)網(wǎng)時，被看做Teredo客戶端，同時DirectAccess服務(wù)器和NAT設(shè)備要允許UDP端口 3544輸出數(shù)據(jù)。

　　以上就是腳本之家小編為大家介紹的有關(guān)DirectAccess的十件事，需要的朋友快來看看吧，想理解更多精彩教程請繼續(xù)關(guān)注腳本之家！

最新評論