Direct Access講遠(yuǎn)程訪問(wèn)帶入了一個(gè)新的境界，它可以實(shí)現(xiàn)企業(yè)員工可以隨時(shí)隨時(shí)隨地的進(jìn)行遠(yuǎn)程接入，不在受傳統(tǒng)的接入方式的限制，DirectAccess 服務(wù)器承擔(dān)了網(wǎng)關(guān)的角色，連接內(nèi)網(wǎng)和外網(wǎng)之間，甚至當(dāng)DirectAccess 客戶端處于限制性的防火墻后，也可以實(shí)現(xiàn)連接。下面小編就為大家介紹DirectAccess的功能和它的工作原理。

　　1: 可以將企業(yè)網(wǎng)絡(luò)擴(kuò)展到任何能夠接入互聯(lián)網(wǎng)的客戶端上

　　DirectAccess的目標(biāo)是將企業(yè)的內(nèi)部網(wǎng)絡(luò)拓展到任何連接到互聯(lián)網(wǎng)的DirectAccess 客戶端電腦上。DirectAccess客戶端電腦將作為企業(yè)網(wǎng)絡(luò)的域成員，與位于企業(yè)網(wǎng)絡(luò)內(nèi)的電腦擁有一樣的控制機(jī)制。為了讓IT管理員能夠控制任何地理位置的電腦，DirectAccess還為用戶提供了無(wú)縫的網(wǎng)絡(luò)接入體驗(yàn)。用戶不必再為了不同的網(wǎng)絡(luò)環(huán)境記住不同的用戶名和密碼，因?yàn)橛脩舻碾娔X將一直連接在企業(yè)網(wǎng)上。

　　當(dāng)DirectAccess客戶端電腦開(kāi)啟時(shí)，系統(tǒng)將建立一個(gè)"結(jié)構(gòu)化"通道。這個(gè)通道可以讓DirectAccess 客戶端電腦連接到企業(yè)網(wǎng)絡(luò)的管理資源和域資源，如域控制器，DNS服務(wù)器以及管理服務(wù)器。這個(gè)通道是雙向的，因此IT

　　管理員也可以像在企業(yè)內(nèi)網(wǎng)管理電腦一樣管理通過(guò)互聯(lián)網(wǎng)接入的DirectAccess客戶端電腦。

　　當(dāng)用戶登錄后，系統(tǒng)將開(kāi)啟第二個(gè)通道，即"內(nèi)網(wǎng)通道"，確保用戶可以像在內(nèi)網(wǎng)一樣，訪問(wèn)到企業(yè)內(nèi)網(wǎng)的各種資源。他們可以使用FQDNs或者僅使用簡(jiǎn)單的標(biāo)簽就可以連接到文件服務(wù)器，Web服務(wù)器，數(shù)據(jù)庫(kù)服務(wù)器，郵件服務(wù)器或其他任何服務(wù)器，而完全不需要重新設(shè)置應(yīng)用程序。簡(jiǎn)單講， DirectAccess的用戶會(huì)永遠(yuǎn)連接在企業(yè)網(wǎng)中，不論他現(xiàn)在身處何地。

　　2: DirectAccess的需求

　　在部署DirectAccess前，要先看看我們的配置是否符合要求。對(duì)于新手，你需要以下準(zhǔn)備：

　　l 至少一個(gè)運(yùn)行Windows Server 2003或更高版本的域控制器

　　l 一個(gè)內(nèi)部PKI用來(lái)將機(jī)器證書(shū)分配給DirectAccess客戶端和DirectAccess 服務(wù)器。

　　l 一個(gè)私有或公有PKI將Web站點(diǎn)證書(shū)分配給IP-HTTPS監(jiān)聽(tīng)器和Network Location Server(稍后討論)

　　另外你還要達(dá)到以下要求：

　　l DirectAccess 服務(wù)器必須是Windows Server 2008 R2標(biāo)準(zhǔn)版，企業(yè)版或更高級(jí)版本

　　l 必須支持IPv6，網(wǎng)絡(luò)傳輸設(shè)備上也必須開(kāi)啟IPv6支持。

　　l DirectAccess 客戶端必須運(yùn)行有 Windows 7企業(yè)版或旗艦版

　　l DirectAccess客戶端必須是活動(dòng)目錄域成員

　　l 企業(yè)網(wǎng)絡(luò)中必須有高度可靠性的Network Location Server (Web服務(wù)器)

　　l 如果在DirectAccess 服務(wù)器之前或之后有防火墻，數(shù)據(jù)包過(guò)濾器必須允許相關(guān)數(shù)據(jù)包傳輸。

　　l DirectAccess 服務(wù)器必須配有兩個(gè)網(wǎng)卡

　　3: IPv6 是 DirectAccess通信的前提

　　DirectAccess客戶端使用IPv6協(xié)議與DirectAccess 服務(wù)器進(jìn)行通信。DirectAccess服務(wù)器會(huì)將客戶端傳輸?shù)臄?shù)據(jù)轉(zhuǎn)發(fā)給企業(yè)網(wǎng)內(nèi)相連的支持IPv6的主機(jī)。企業(yè)網(wǎng)可以使用原生IPv6架構(gòu)(即路由器，交換機(jī)，操作系統(tǒng)以及應(yīng)用程序全部支持IPv6)，或者采用IPv6轉(zhuǎn)換技術(shù)連接企業(yè)網(wǎng)內(nèi)的IPv6資源。

　　DirectAccess服務(wù)器可以使用ISATAP (Intra-site Automatic Tunnel Addressing Protocol)將IPv6數(shù)據(jù)包封裝在IPv4報(bào)頭中，使得IPv6數(shù)據(jù)可以在企業(yè)的IPv4網(wǎng)絡(luò)中傳輸。連接到IPv4互聯(lián)網(wǎng)的DirectAccess客戶端可以使用各種流行的IPv6轉(zhuǎn)換技術(shù)來(lái)連接DirectAccess服務(wù)器，比如6to4, Teredo, 以及IP-HTTPS等。

　　4: 端到邊緣和端到端的IPSec安全通信

　　由于DirectAccess 客戶端和服務(wù)器端的通信要跨越公開(kāi)的互聯(lián)網(wǎng)，因此確保信息在傳遞過(guò)程中不會(huì)被攔截和篡改就非常重要了。DirectAccess使用 IPsec實(shí)現(xiàn)客戶端和服務(wù)器端的安全通信。IPsec 通道模式被用來(lái)建立結(jié)構(gòu)化通道和內(nèi)網(wǎng)通道。另外，用戶還可以使用IPsec 傳輸模式配置 DirectAccess，實(shí)現(xiàn)客戶端和遠(yuǎn)程服務(wù)器端的加密通信。DirectAccess還引入了最早出現(xiàn)在Vista 和 Windows Server 2008 中的AuthIP功能，從而實(shí)現(xiàn)用戶和計(jì)算機(jī)證書(shū)的雙重連接認(rèn)證，而不僅僅只采用計(jì)算機(jī)證書(shū)認(rèn)證。

　　5: 客戶端程序必須支持IPv6

　　既然目標(biāo)是要實(shí)現(xiàn)客戶端電腦與企業(yè)內(nèi)網(wǎng)中的電腦擁有一樣的用戶體驗(yàn)，那么在比較DirectAccess客戶端電腦與企業(yè)內(nèi)網(wǎng)電腦時(shí)就會(huì)發(fā)現(xiàn)一個(gè)明顯的不同：DirectAccess客戶端必須使用IPv6來(lái)連接DirectAccess服務(wù)器。這意味著DirectAccess客戶端程序必須是支持IPv6的。如果客戶端程序不支持IPv6(比如目前的OCS客戶端)，連接就會(huì)失敗。就算使用IPv6 到 IPv4的轉(zhuǎn)換器也是一樣的。

　　6: 活動(dòng)目錄和組策略

　　DirectAccess 服務(wù)器和客戶端要進(jìn)行一系列的配置修改，以便實(shí)現(xiàn)DirectAccess 解決方案。而修改配置最有效的方法就是采用活動(dòng)目錄和活動(dòng)目錄組策略對(duì)象(PGO)。GPO被分配給DirectAccess 服務(wù)器和DirectAccess客戶端。另外，Active Directory也被要求進(jìn)行認(rèn)證。結(jié)構(gòu)化通道采用 NTLMv2 認(rèn)證連接到DirectAccess服務(wù)器的計(jì)算機(jī)帳戶，同時(shí)計(jì)算機(jī)帳戶必須與活動(dòng)目錄域匹配。內(nèi)網(wǎng)通道則使用Kerberos 認(rèn)證進(jìn)行登錄用戶的驗(yàn)證。

　　雖然 活動(dòng)目錄和GPO都是必須的，但是DirectAccess服務(wù)器并不要求接入的成員必須屬于資源域。因?yàn)?DirectAccess 服務(wù)器域和資源域/森林之間是雙向信任關(guān)系，因此這種方案是可行的。

　　7: Network Location Servers 讓 DirectAccess 客戶端知道自己在企業(yè)網(wǎng)絡(luò)中所處的位置

　　DirectAccess被設(shè)計(jì)為自動(dòng)執(zhí)行并且是后臺(tái)運(yùn)行的。用戶不必做任何動(dòng)作來(lái)"啟動(dòng)"DirectAccess連接。用戶只需要開(kāi)啟電腦就好了。實(shí)際上，用戶不用登錄系統(tǒng)都可以。在用戶登錄前，結(jié)構(gòu)化通道就已經(jīng)建立了，而DirectAccess客戶端的代理程序會(huì)連接到內(nèi)網(wǎng)的管理服務(wù)器進(jìn)行程序升級(jí)，獲取配置信息，安全配置設(shè)置，以及任何IT管理員希望DirectAccess客戶端應(yīng)該具備的網(wǎng)絡(luò)配置和安全策略。

　　要讓整個(gè)過(guò)程透明化，就必須有某種機(jī)制讓DirectAccess客戶端組件知道自己該在什么時(shí)候啟動(dòng)，在什么時(shí)候關(guān)閉。這就引出了Network Location Server 。Network Location Server (NLS)是一個(gè)支持SSL連接請(qǐng)求的Web服務(wù)器。NLS

　　可以支持匿名或完整驗(yàn)證信息的連接。當(dāng)DirectAccess客戶端連接到NLS時(shí)，客戶端組件就知道自己已經(jīng)處于企業(yè)內(nèi)網(wǎng)中，于是關(guān)閉DirectAccess客戶端組件。如果DirectAccess客戶端不能與NLS服務(wù)器取得聯(lián)系，就會(huì)認(rèn)為客戶端目前沒(méi)有接入企業(yè)內(nèi)網(wǎng)，于是DirectAccess客戶端會(huì)自動(dòng)開(kāi)啟，建立IPsec隧道，通過(guò)互聯(lián)網(wǎng)連接遠(yuǎn)程的DirectAccess服務(wù)器。DirectAccess客戶端會(huì)通過(guò)Certificate Revocation List查找 NLS Web服務(wù)器證書(shū)，因此CRL必須是可用的。否則，連接到NLS SSL Web站點(diǎn)就會(huì)失敗，客戶端是否已經(jīng)連接到內(nèi)網(wǎng)的檢測(cè)也會(huì)失敗。

　　8: 證書(shū)，證書(shū)，證書(shū)

　　在DirectAccess客戶端/服務(wù)器的解決方案中，在不同位置多次用到了證書(shū)。包括：

　　DirectAccess 客戶端電腦。每個(gè)DirectAccess客戶端都需要一個(gè)計(jì)算機(jī)證書(shū)來(lái)確定到DirectAccess 服務(wù)器的IPsec連接。 這個(gè)證書(shū)用來(lái)建立IPsec 連接，同時(shí)也被IP-HTTPS使用，即DirectAccess服務(wù)器在允許IP-HTTPS連接到互聯(lián)網(wǎng)前，會(huì)再次進(jìn)行計(jì)算機(jī)證書(shū)驗(yàn)證。計(jì)算機(jī)證書(shū)最好是由Microsoft Certificate Server 和基于組策略的電腦證書(shū)自動(dòng)注冊(cè)的。

　　DirectAccess 服務(wù)器上的IP-HTTPS監(jiān)聽(tīng)器。IP-HTTPS是一種 IPv6轉(zhuǎn)換技術(shù)，可以讓IPv6數(shù)據(jù)包在IPv4網(wǎng)絡(luò)上傳輸。微軟設(shè)計(jì)這個(gè)協(xié)議是為了讓DirectAccess 客戶端能夠順利的連接到DirectAccess 服務(wù)器，即使客戶端位于一個(gè)只允許HTTP/HTTPS 輸出的防火墻背后，或者位于一個(gè)Web代理服務(wù)器后。IP-HTTPS監(jiān)聽(tīng)器需要Web站點(diǎn)證書(shū)，同時(shí)DirectAccess客戶端必須能夠連接帶有CRL的服務(wù)器獲取證書(shū)信息。如果 CRL 檢查失敗，IP-HTTPS連接就會(huì)失敗。對(duì)于IP-HTTPS監(jiān)聽(tīng)器來(lái)說(shuō)，商業(yè)證書(shū)是最好的選擇，因?yàn)檫@類證書(shū)在CRL中是全球通用的。

　　DirectAccess 服務(wù)器。DirectAccess服務(wù)器上存有IP-HTTPS Web站點(diǎn)證書(shū)，但是他同時(shí)還需要計(jì)算機(jī)證書(shū)與DirectAccess客戶端建立IPsec連接。

　　9: 名稱解析策略表提供基于策略的DNS查詢

　　DirectAccess客戶端使用名稱解析策略表 (NRPT)確定該使用哪個(gè)DNS服務(wù)器進(jìn)行名稱解析。當(dāng)DirectAccess客戶端接入企業(yè)網(wǎng)絡(luò)后，NRPT就會(huì)被關(guān)閉。而當(dāng)DirectAccess客戶端檢測(cè)到自己處于互聯(lián)網(wǎng)時(shí)，客戶端就會(huì)開(kāi)啟NRPT并從中尋找哪個(gè)DNS服務(wù)器可以讓它連接到正確資源。企業(yè)可以將內(nèi)部域名和可用的服務(wù)器記錄在NRPT上，并配置它使用內(nèi)部DNS服務(wù)器來(lái)解析名稱。

　　當(dāng)互聯(lián)網(wǎng)上的一個(gè) DirectAccess 客戶端需要利用FQDN連接到資源，會(huì)檢查NRPT。如果名字在上面，查詢就會(huì)被送到內(nèi)網(wǎng)的DNS服務(wù)器上。如果名字不在NRPT上， DirectAccess客戶端就會(huì)將查詢發(fā)送到網(wǎng)卡配置上規(guī)定的DNS服務(wù)器，也就是互聯(lián)網(wǎng)上的DNS服務(wù)器。NLS 服務(wù)器名稱也被置于NRPT中，但是屬于免除解析部分，即DirectAccess 客戶端永遠(yuǎn)不會(huì)使用內(nèi)部服務(wù)器來(lái)解析NLS服務(wù)器的名稱。于是處于互聯(lián)網(wǎng)上的DirectAccess客戶端永遠(yuǎn)無(wú)法解析NLS服務(wù)器，客戶端將明白自己處于互聯(lián)網(wǎng)，于是開(kāi)啟DirectAccess客戶端組件連接企業(yè)內(nèi)網(wǎng)的DirectAccess服務(wù)器。

　　10: DirectAccess具有"對(duì)外管理"能力

　　正如前面提到的，IT管理員可以利用結(jié)構(gòu)化通道，跨越互聯(lián)網(wǎng)對(duì)外管理遠(yuǎn)程的DirectAccess客戶端電腦。不過(guò)管理員需要在Windows Firewall with Advanced Security (WFAS)中配置防火墻規(guī)則，允許系統(tǒng)連接到Teredo客戶端。建立這個(gè)規(guī)則后，還要確定為防火墻規(guī)則開(kāi)啟了Edge Traversal 。當(dāng)DirectAccess客戶端位于NAT后面并連接到互聯(lián)網(wǎng)時(shí)，被看做Teredo客戶端，同時(shí)DirectAccess服務(wù)器和NAT設(shè)備要允許UDP端口 3544輸出數(shù)據(jù)。

　　以上就是腳本之家小編為大家介紹的有關(guān)DirectAccess的十件事，需要的朋友快來(lái)看看吧，想理解更多精彩教程請(qǐng)繼續(xù)關(guān)注腳本之家！

最新評(píng)論