Direct Access講遠端訪問帶入了一個新的境界,它可以實現企業員工可以隨時隨時隨地的進行遠端接入,不在受傳統的接入方式的限制,DirectAccess 伺服器承擔了閘道器的角色,連線內網和外網之間,甚至當DirectAccess 客戶端處於限制性的防火牆後,也可以實現連線。以下是小編為大家搜尋整理的詳解與DirectAccess有關的10件事情,希望能給大家帶來幫助!更多精彩內容請及時關注我們應屆畢業生考試網!
1: 可以將企業網路擴充套件到任何能夠接入網際網路的客戶端上
DirectAccess的目標是將企業的內部網路拓展到任何連線到網際網路的DirectAccess 客戶端電腦上。DirectAccess客戶端電腦將作為企業網路的域成員,與位於企業網路內的電腦擁有一樣的控制機制。為了讓IT管理員能夠控制任何地理位置的電腦,DirectAccess還為使用者提供了無縫的網路接入體驗。使用者不必再為了不同的網路環境記住不同的使用者名稱和密碼,因為使用者的電腦將一直連線在企業網上。
當DirectAccess客戶端電腦開啟時,系統將建立一個"結構化"通道。這個通道可以讓DirectAccess 客戶端電腦連線到企業網路的管理資源和域資源,如域控制器,DNS伺服器以及管理伺服器。這個通道是雙向的,因此IT
管理員也可以像在企業內網管理電腦一樣管理通過網際網路接入的ctAccess客戶端電腦。
當用戶登入後,系統將開啟第二個通道,即"內網通道",確保使用者可以像在內網一樣,訪問到企業內網的各種資源。他們可以使用FQDNs或者僅使用簡單的標籤就可以連線到檔案伺服器,Web伺服器,資料庫伺服器,郵件伺服器或其他任何伺服器,而完全不需要重新設定應用程式。簡單講, DirectAccess的使用者會永遠連線在企業網中,不論他現在身處何地。
2: DirectAccess的需求
在部署DirectAccess前,要先看看我們的配置是否符合要求。對於新手,你需要以下準備:
l 至少一個執行Windows Server 2003或更高版本的域控制器
l 一個內部PKI用來將機器證書分配給DirectAccess客戶端和DirectAccess 伺服器。
l 一個私有或公有PKI將Web站點證書分配給IP-HTTPS監測器和Network Location Server(稍後討論)
另外你還要達到以下要求:
l DirectAccess 伺服器必須是Windows Server 2008 R2標準版,企業版或更高階版本
l 必須支援IPv6,網路傳輸裝置上也必須開啟IPv6支援。
l DirectAccess 客戶端必須執行有 Windows 7企業版或旗艦版
l DirectAccess客戶端必須是活動目錄域成員
l 企業網路中必須有高度可靠性的Network Location Server (Web伺服器)
l 如果在DirectAccess 伺服器之前或之後有防火牆,資料包過濾器必須允許相關資料包傳輸。
l DirectAccess 伺服器必須配有兩個網絡卡
3: IPv6 是 DirectAccess通訊的前提
DirectAccess客戶端使用IPv6協議與DirectAccess 伺服器進行通訊。DirectAccess伺服器會將客戶端傳輸的資料轉發給企業網內相連的支援IPv6的主機。企業網可以使用原生IPv6架構(即路由器,交換機,作業系統以及應用程式全部支援IPv6),或者採用IPv6轉換技術連線企業網內的IPv6資源。
DirectAccess伺服器可以使用ISATAP (Intra-site Automatic Tunnel Addressing Protocol)將IPv6資料包封裝在IPv4報頭中,使得IPv6資料可以在企業的IPv4網路中傳輸。連線到IPv4網際網路的DirectAccess客戶端可以使用各種流行的IPv6轉換技術來連線DirectAccess伺服器,比如6to4, Teredo, 以及IP-HTTPS等。
4: 端到邊緣和端到端的IPSec安全通訊
由於DirectAccess 客戶端和伺服器端的通訊要跨越公開的網際網路,因此確保資訊在傳遞過程中不會被攔截和篡改就非常重要了。DirectAccess使用 IPsec實現客戶端和伺服器端的安全通訊。IPsec 通道模式被用來建立結構化通道和內網通道。另外,使用者還可以使用IPsec 傳輸模式配置 DirectAccess,實現客戶端和遠端伺服器端的加密通訊。DirectAccess還引入了最早出現在Vista 和 Windows Server 2008 中的AuthIP功能,從而實現使用者和計算機證書的雙重連線認證,而不僅僅只採用計算機證書認證。
5: 客戶端程式必須支援IPv6
既然目標是要實現客戶端電腦與企業內網中的電腦擁有一樣的使用者體驗,那麼在比較DirectAccess客戶端電腦與企業內網電腦時就會發現一個明顯的不同:DirectAccess客戶端必須使用IPv6來連線DirectAccess伺服器。這意味著DirectAccess客戶端程式必須是支援IPv6的。如果客戶端程式不支援IPv6(比如目前的OCS客戶端),連線就會失敗。就算使用IPv6 到 IPv4的轉換器也是一樣的。
6: 活動目錄和組策略
DirectAccess 伺服器和客戶端要進行一系列的配置修改,以便實現DirectAccess 解決方案。而修改配置最有效的方法就是採用活動目錄和活動目錄組策略物件(PGO)。GPO被分配給DirectAccess 伺服器和DirectAccess客戶端。另外,Active Directory也被要求進行認證。結構化通道採用 NTLMv2 認證連線到DirectAccess伺服器的計算機帳戶,同時計算機帳戶必須與活動目錄域匹配。內網通道則使用Kerberos 認證進行登入使用者的驗證。
雖然 活動目錄和GPO都是必須的,但是DirectAccess伺服器並不要求接入的成員必須屬於資源域。因為 DirectAccess 伺服器域和資源域/森林之間是雙向信任關係,因此這種方案是可行的。
7: Network Location Servers 讓 DirectAccess 客戶端知道自己在企業網路中所處的位置
DirectAccess被設計為自動執行並且是後臺執行的。使用者不必做任何動作來"啟動"DirectAccess連線。使用者只需要開啟電腦就好了。實際上,使用者不用登入系統都可以。在使用者登入前,結構化通道就已經建立了,而DirectAccess客戶端的代理程式會連線到內網的管理伺服器進行程序升級,獲取配置資訊,安全配置設定,以及任何IT管理員希望DirectAccess客戶端應該具備的網路配置和安全策略。
要讓整個過程透明化,就必須有某種機制讓DirectAccess客戶端元件知道自己該在什麼時候啟動,在什麼時候關閉。這就引出了Network Location Server 。Network Location Server (NLS)是一個支援SSL連線請求的Web伺服器。NLS
可以支援匿名或完整驗證資訊的連線。當DirectAccess客戶端連線到NLS時,客戶端元件就知道自己已經處於企業內網中,於是關閉DirectAccess客戶端元件。如果DirectAccess客戶端不能與NLS伺服器取得聯絡,就會認為客戶端目前沒有接入企業內網,於是DirectAccess客戶端會自動開啟,建立IPsec隧道,通過網際網路連線遠端的DirectAccess伺服器。DirectAccess客戶端會通過Certificate Revocation List查詢 NLS Web伺服器證書,因此CRL必須是可用的。否則,連線到NLS SSL Web站點就會失敗,客戶端是否已經連線到內網的檢測也會失敗。
8: 證書,證書,證書
在DirectAccess客戶端/伺服器的解決方案中,在不同位置多次用到了證書。包括:
DirectAccess 客戶端電腦。每個DirectAccess客戶端都需要一個計算機證書來確定到DirectAccess 伺服器的IPsec連線。 這個證書用來建立IPsec 連線,同時也被IP-HTTPS使用,即DirectAccess伺服器在允許IP-HTTPS連線到網際網路前,會再次進行計算機證書驗證。計算機證書最好是由Microsoft Certificate Server 和基於組策略的電腦證書自動註冊的。
DirectAccess 伺服器上的IP-HTTPS監測器。IP-HTTPS是一種 IPv6轉換技術,可以讓IPv6資料包在IPv4網路上傳輸。微軟設計這個協議是為了讓DirectAccess 客戶端能夠順利的連線到DirectAccess 伺服器,即使客戶端位於一個只允許HTTP/HTTPS 輸出的防火牆背後,或者位於一個Web代理伺服器後。IP-HTTPS監測器需要Web站點證書,同時DirectAccess客戶端必須能夠連線帶有CRL的伺服器獲取證書資訊。如果 CRL 檢查失敗,IP-HTTPS連線就會失敗。對於IP-HTTPS監測器來說,商業證書是最好的選擇,因為這類證書在CRL中是全球通用的。
DirectAccess 伺服器。DirectAccess伺服器上存有IP-HTTPS Web站點證書,但是他同時還需要計算機證書與DirectAccess客戶端建立IPsec連線。
9: 名稱解析策略表提供基於策略的DNS查詢
DirectAccess客戶端使用名稱解析策略表 (NRPT)確定該使用哪個DNS伺服器進行名稱解析。當DirectAccess客戶端接入企業網路後,NRPT就會被關閉。而當DirectAccess客戶端檢測到自己處於網際網路時,客戶端就會開啟NRPT並從中尋找哪個DNS伺服器可以讓它連線到正確資源。企業可以將內部域名和可用的伺服器記錄在NRPT上,並配置它使用內部DNS伺服器來解析名稱。
當網際網路上的一個 DirectAccess 客戶端需要利用FQDN連線到資源,會檢查NRPT。如果名字在上面,查詢就會被送到內網的DNS伺服器上。如果名字不在NRPT上, DirectAccess客戶端就會將查詢傳送到網絡卡配置上規定的DNS伺服器,也就是網際網路上的DNS伺服器。NLS 伺服器名稱也被置於NRPT中,但是屬於免除解析部分,即DirectAccess 客戶端永遠不會使用內部伺服器來解析NLS伺服器的名稱。於是處於網際網路上的DirectAccess客戶端永遠無法解析NLS伺服器,客戶端將明白自己處於網際網路,於是開啟DirectAccess客戶端元件連線企業內網的DirectAccess伺服器。
10: DirectAccess具有"對外管理"能力
正如前面提到的,IT管理員可以利用結構化通道,跨越網際網路對外管理遠端的DirectAccess客戶端電腦。不過管理員需要在Windows Firewall with Advanced Security (WFAS)中配置防火牆規則,允許系統連線到Teredo客戶端。建立這個規則後,還要確定為防火牆規則開啟了Edge Traversal 。當DirectAccess客戶端位於NAT後面並連線到網際網路時,被看做Teredo客戶端,同時DirectAccess伺服器和NAT裝置要允許UDP埠 3544輸出資料。
