生活哲学

关于 DirectAccess 你需要知道的 10 件事

DirectAccess 是一种远程访问技术,得益于 Windows Server 2008 R2 和 Windows 7 Enterprise 或 Ultimate 版本的结合。 DirectAccess 承诺彻底改变整个远程访问体验,使所有员工都可以随时随地工作,而无需绑定网络级 VPN、SSL VPN 网关和反向代理等传统远程访问技术。它为用户提供无缝体验,赋予 IT 先进的管理能力。 DirectAccess 允许在任何地方进行访问,即使 DirectAccess 客户端系统位于防火墙后面。

1.可以在世界任何地方使用联网计算机扩展公司网络

DirectAccess 的目标是将公司网络的范围扩展到任何连接到 Internet 的 DirectAccess 客户端。此处的 DirectAccess 计算机是域成员,由控制和管理机制管理,例如公司网络边界内的计算机。除了扩展 IT 对所有这些计算机的控制,无论位于何处,DirectAccess 还为用户提供无缝的网络访问体验。当他们在公司网络上时,他们不需要记住使用某个名称(名称),而当他们不在该网络中时,他们不需要记住使用另一个名称;那是因为他们总是在公司网络上。

DirectAccess 计算机启动时,会建立一个'infrastructure'隧道。此基础隧道将允许 DirectAccess 客户端连接到域资源,例如域控制器、DNS 服务器和管理服务器。此隧道也是双向隧道,因此 IT 可以启动与 Internet 上 DirectAccess 客户端的连接(称为“manage out”连接),同样在该隧道中,它们可以连接到 Internet 上的主机本地网络。

用户登录后,第二个隧道,内网隧道,允许用户像本地主机一样连接公司资源网络连接到该资源。他们可以使用 FQDN 或标签名称连接到文件服务器、Web 服务器、数据库服务器、邮件或任何服务器,并且在离开公司网络时无需重新配置应用程序。.DirectAccess 用户始终在公司网络上,无论他们身在何处。

关于 DirectAccess 你需要知道的 10 件事中的第 1 个

2.需要拥有所有 DirectAccess 请求

您必须满足所有要求才能开始部署 DirectAccess。要开始,您需要:

  1. 至少一个域控制器运行 Windows Server 2003 或更高版本。

  2. 用于将证书分配给 DirectAccess 客户端和服务器的内部 PKI。

  3. 用于将网站证书分配给 IP-HTTPS 侦听器和网络位置服务器侦听器(如下所述)的私有或公共 PKI。

另外,还需要其他要求:

  1. DirectAccess 服务器必须是 Windows Server 2008 R2 Standard、Enterprise 或更高版本。

  2. 必须启用 IPv6,还必须禁用转发 IPv6 地址空间的技术。

  3. DirectAccess 客户端必须运行 Windows 7 Enterprise 或 Ultimate。

  4. DirectAccess 客户端必须是 Active Directory 域的成员。

  5. 网络位置服务器(Web 服务器)的高可用性功能必须在公司网络中。

  6. 如果 DirectAccess 服务器前面或后面有多个防火墙,则必须启用数据过滤器以允许必要的流量。

  7. DirectAccess 服务器必须有两个网络接口适配器。

3.IPv6 是 DirectAccess 通信的基石

DirectAccess 客户端始终使用 IPv6 地址空间与 DirectAccess 服务器进行通信。 DirectAccess 服务器会将这些连接转发到公司网络上的 IPv6 设备。企业网络可以使用 IPv6 基础设施(比如所有路由器、交换机、操作系统和应用程序都能够支持 IPv6),也可以使用 IPv6 转换技术。连接到公司网络上的 IPv6 资源。

DirectAccess 服务器可以对 IPv4 标头中的 IPv6 隧道数据包使用 ISATAP(站内自动隧道寻址协议),这可以利用您的 IPv4 路由基础结构将 IPv6 数据包迁移到网络。 DirectAccess 客户端连接连接到 IPv4 Internet 可以使用多种 IPv6 转换技术连接到 DirectAccess 服务器,包括 6to4、Teredo 和 IP-HTTPS。

4.IPSec 从头到尾保护通信

由于DirectAccess客户端和服务器之间的通信会经过外部Internet,因此安全通信是一个极其重要的问题。 DirectAccess 使用 IPsec 协议来保护 DirectAccess 客户端和服务器之间的通信安全。 IPsec 隧道模式用于设置 Intranet 和基础结构隧道。此外,您可以将 DirectAccess 配置为在 DirectAccess 客户端和公司网络上的目标服务器之间请求端到端加密,以便从那里使用 IPsec 传输模式。从客户端到目的地的连接是加密的。 DirectAccess 还利用了 Vista 和 Windows Server 2008 中新引入的 AuthIP 功能,通过用户或计算机证书进行身份验证连接,而不仅仅是计算机证书。

5.客户端应用程序必须了解 IPv6 地址空间

虽然目标是提供与企业网络上连接的客户端类似的计算体验,但 DirectAccess 客户端和企业网络客户端之间存在一些关键差异:DirectAccess 客户端 必须并且总是使用 IPv6 连接到 DirectAccess 服务器。这意味着 DirectAccess 客户端上的客户端应用程序必须了解 IPv6 地址空间。如果客户端应用程序不理解 IPv6 地址空间,则连接将失败。即使使用 IPv6 适配器到 IPv4 也是如此,这是一个允许 DirectAccess 客户端连接到公司网络上的 IPv4 服务器的转换器。

<小时大小=“2”宽度=“100%”>

6.在 Active Directory 和组策略的支持下工作

对 DirectAccess 服务器和客户端配置进行了一些更改以帮助解决方案工作。为了以最有效的方式进行这些更改,DirectAccess 提供的解决方案是使用 Active Directory 和 Active Directory 组策略对象。 GPO 分配给 DirectAccess 服务器和客户端。此外,身份验证需要 Active Directory。基础结构隧道使用 NTLMv2 身份验证来验证计算机帐户是否已连接到 DirectAccess 服务器,该计算机帐户必须位于 Active Directory 域中。内网隧道对登录用户使用 Kerberos 身份验证来创建第二个隧道。

虽然 Active Directory 和 GPO 是必需的,但 DirectAccess 服务器不需要是域的成员。只要 DirectAccess 服务器域和域/林资源之间存在双向信任,该解决方案就可以工作。

7.Intranet 服务器允许 DirectAccess 客户端知道他们何时在公司网络上

DirectAccess 旨在自动工作并在后台工作。用户无需执行任何操作即可初始化(开启)DirectAccess 连接。他们需要做的就是打开(打开)他们的电脑。事实上,用户甚至不需要登录!在登录之前,会自动设置基础结构隧道,并且 DirectAccess 客户端的 代理 可以连接到其服务器以更新更新和配置信息。必要的图像、安全设置以及确保 DirectAccess 客户端严格遵守网络安全和配置策略所需的任何内容。

为了使过程透明,必须有一种机制,让 DirectAccess 客户端组件知道何时需要打开、始终关闭。那是网络位置服务器。网络位置服务器 (NLS) 是允许传入 SSL 连接的 Web 服务器。您可以允许将身份验证集成或匿名到 NLS 服务器。当 DirectAccess 客户端连接到 NLS 时,它知道它在公司网络上,并将关闭 DirectAccess 客户端组件。如果 DirectAccess 客户端无法联系 NLS 服务器,则它知道它在公司网络之外,并会自动打开 DirectAccess 客户端组件以通过 Internet 设置到 DirectAccess 服务器的 IPsec 隧道。 DirectAccess 客户端将对证书吊销列表执行 NLS Web 服务器证书检查,因此 CRL 必须可用。否则连接到 NLS SSL 网站会失败,内部网络检测过程也会失败。

8.证书,证书,证书!

证书在 DirectAccess 客户端/服务器解决方案的某些位置使用。您会看到证书的一些地方是:

  1. DirectAccess 客户端。每个 DirectAccess 客户端都需要一个证书来建立与 DirectAccess 服务器的 IPsec 连接。这些证书用于创建 IPsec 连接,也由 IP-HTTPS 使用,其中 DirectAccess 服务器将在允许进行 IP-HTTPS 连接之前执行计算机证书验证。在互联网上。最好使用 Microsoft 证书服务器和基于组策略的自动证书注册来分配计算机证书。

  2. DirectAccess 服务器上的 IP-HTTPS 侦听器。 IP-HTTPS 是一种 IPv6 转换技术,用于 IPv4 Internet 上的 IPv6 隧道数据包。此协议由 Microsoft 设计,允许 DirectAccess 客户端连接到 DirectAccess 服务器,即使防火墙后面的 DirectAccess 客户端仅允许发送 HTTP/HTTPS 连接或在 Web 代理后面。服务器。 IP-HTTPS 侦听器需要网站证书,并且 DirectAccess 客户端必须能够联系包含 CRL 的服务器进行证书身份验证。如果 CRL 检查过程失败,IP-HTTPS 连接也会失败。商业证书是 IP-HTTPS 监听器的最佳解决方案,因为它们的 CRL 在全球范围内可用。

  3. DirectAccess 服务器。 DirectAccess 服务器存储 IP-HTTPS 网站证书,但它还需要计算机证书才能与 DirectAccess 客户端建立 IPsec 连接。

相关资讯

评论

回复