2023年11月27日发(作者:)

Direct AccessWindos 7Windows Server 2008 R2中的一项新功能。凭

借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从

Internet直接访问公司防火墙之后的资源!

一. Direct Access功能概述

仅仅这一句话的描述,是否已经足够以让你热血沸腾?是的,不需要VPN了,

不需要Token了,不需要SmartCard了,不需要漫长的VPN拨号等待了!内网外网

之间的穿越变得如此之简单!Bill Gates说什么来着,information at your finger

tip

这是一个大家企盼了很久的功能,这是一个让移动办公者手舞足蹈的功能。微

软这个月公布了Direct Access的技术白皮书,让我们先睹为快,看看Direct Access

到底是何方神圣,我们从中是否能够获得实实在在的好处。

详解Direct Access连接

Direct Access功能克服了VPN的很多局限性,它可以自动地在外网客户机和

公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一

些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证,这

也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时,客户机建立一个通向DirectAccess ServerIP v6

隧道连接。这个IP v6的隧道连接,可以在普通的IP v4网络上工作,如下图所示。

DirectAccess Server承担了网关的角色,连接内网和外网之间。(图1

更多详细功能概述请见:/?tid=1032668

二. 环境描述

在这个实验中,Direct Access部署需要以下条件:

软件配置:

" DC1:安装Windows server 2008 R2的域控制器,同时是DNSDHCP、企业

根角色。

" DA1:安装有Windows server 2008 R2的成员服务器,同时是Direct Access

服务器,并且具备两块网卡。

" APP1:安装有Windows server 2008 R2的成员服务器,同时是应用程序服务

器和网络本地服务器。

" INET1:安装有Windows server 2008 R2的独立服务器,作为Internet DNS

webDHCP服务器。

" Client1:安装有Windows 7旗舰版,加入域,作为Direct Access客户端。

网络配置:

" DC110.0.0.1/24CIDR表示法,同255.255.255.0

" DA1Intranet网卡10.0.0.2/24 DNS后缀:

Internet网卡 131.107.0.2/24131.107.0.3/24DA服务器需要两个公网

IP地址) DNS后缀:

DNS记录中添加别名记录:

注意:这里的DNS后缀必须设置,因为这是DA服务器配置的必须条件

" APP110.0.0.3/24 DNS记录中添加别名记录:

" INET1131.107.0.1/24

" Client1131.107.0.10/24

Direct Access 软件需求:

" DA客户端:Windows 7企业版或旗舰版,Windows server 2008 R2或者更高。

" DA 服务器:Windows server 2008 R2 或者更高,至少拥有两块网卡连接公

网和内网。

" Active Directory:至少有基于Windows server 2008或者Windows server

2008 R2 DC,并为GC角色,启用IPv6.Windows server 2008 R2的域或林功能

级别不是必须的。(图2

注意:此环境中所有服务器均使用Windows server 2008 R2企业版,客户端使

Windows 7旗舰版。

APP1配置

1. 安装IIS角色,默认设置即可。

2. 申请一个web服务器证书,设置可参考DA1申请证书过程,有一点需要注意,

证书申请时,使用者名称选择【公用名】,输入【,备用名称选

择【DNS】,输入【.(图10

3. 启用IIS中的HTTPS安全绑定。

打开IIS管理器,选择default web site,在右侧【编辑网站】处,点选【绑

定】

注释:nlsAPP1主机别名,在DNS中添加即可。这里指Network Loaction

Server,属于DA客户端访问的Intranet资源。(图11

网站绑定类型为:【HTTPS】,证书选择刚申请到的【】(图

12

小贴士:IP-HTTPS Windows 7 Windows Server 2008 R2 的一项新协议,

该协议允许位于 Web 代理服务器或防火墙后面的主机通过在基于 IPv4 的安全超

文本传输协议 (HTTPS) 会话内隧道传送 IPv6 数据包来建立连接。通常,只有在客

户端无法使用其他 IPv6 连接方法连接到 DirectAccess 服务器时才使用

IP-HTTPS

4. 设置一个共享文件夹,放置一个测试文本,用来测试Direct Access Client

访问情况。

四、 DA客户端测试访问

1. 更改【Client 1】网络地址,将其网络转移到公网,模拟公网访问环境。

当给【Client1】配置了公网IP131.107.0.10】之后,我们查看【Client1

的网络信息发现,在6to4隧道中,有这样一个IPv6地址信息【2002:836b:】这段

地址对应的IPv4地址中的【131.107】,而6to4的默认网关地址

2002:836b:2::836b:2】则对应的是【131.107.0.2】。Client1】就是使用6to4

这个IPv6隧道与【DA1】进行通信的。(图10

2. 进行InternetIntranet网络WEB访问测试

先打开Client 1IE浏览器,输入URL

如果可以正常打开,则Internet网络通信正常。(图11

在打开一个新的IE浏览器,输入URL,如果也可

以正常打开,这就说明我们的Direct Access部署基本完成了。(图12

3. Intranet共享文件夹访问测试

在【Client 1】中直接访问【APP1ShareFor DA Client】。(图13

至此,已经彻底完成了Direct Access这项新特性的部署及测试,但这对于一

些安全级别较高的企业来说是不够的, 如果你有条件和环境可以尝试结合使用NAP

NPS功能来打造更加安全,管理更方便的Direct Access访问。