- 相關(guān)推薦
詳解與DirectAccess有關(guān)的10件事情
Direct Access講遠程訪問帶入了一個新的境界,它可以實現(xiàn)企業(yè)員工可以隨時隨時隨地的進行遠程接入,不在受傳統(tǒng)的接入方式的限制,DirectAccess 服務(wù)器承擔了網(wǎng)關(guān)的角色,連接內(nèi)網(wǎng)和外網(wǎng)之間,甚至當DirectAccess 客戶端處于限制性的防火墻后,也可以實現(xiàn)連接。以下是小編為大家搜索整理的詳解與DirectAccess有關(guān)的10件事情,希望能給大家?guī)韼椭?更多精彩內(nèi)容請及時關(guān)注我們應(yīng)屆畢業(yè)生考試網(wǎng)!
詳解與DirectAccess的10件事情
1、可以將企業(yè)網(wǎng)絡(luò)擴展到任何能夠接入互聯(lián)網(wǎng)的客戶端上
DirectAccess的目標是將企業(yè)的內(nèi)部網(wǎng)絡(luò)拓展到任何連接到互聯(lián)網(wǎng)的DirectAccess 客戶端電腦上。DirectAccess客戶端電腦將作為企業(yè)網(wǎng)絡(luò)的域成員,與位于企業(yè)網(wǎng)絡(luò)內(nèi)的電腦擁有一樣的控制機制。為了讓IT管理員能夠控制任何地理位置的電腦,DirectAccess還為用戶提供了無縫的網(wǎng)絡(luò)接入體驗。用戶不必再為了不同的網(wǎng)絡(luò)環(huán)境記住不同的用戶名和密碼,因為用戶的電腦將一直連接在企業(yè)網(wǎng)上。
當DirectAccess客戶端電腦開啟時,系統(tǒng)將建立一個"結(jié)構(gòu)化"通道。這個通道可以讓DirectAccess 客戶端電腦連接到企業(yè)網(wǎng)絡(luò)的管理資源和域資源,如域控制器,DNS服務(wù)器以及管理服務(wù)器。這個通道是雙向的,因此IT
管理員也可以像在企業(yè)內(nèi)網(wǎng)管理電腦一樣管理通過互聯(lián)網(wǎng)接入的DirectAccess客戶端電腦。
當用戶登錄后,系統(tǒng)將開啟第二個通道,即"內(nèi)網(wǎng)通道",確保用戶可以像在內(nèi)網(wǎng)一樣,訪問到企業(yè)內(nèi)網(wǎng)的各種資源。他們可以使用FQDNs或者僅使用簡單的標簽就可以連接到文件服務(wù)器,Web服務(wù)器,數(shù)據(jù)庫服務(wù)器,郵件服務(wù)器或其他任何服務(wù)器,而完全不需要重新設(shè)置應(yīng)用程序。簡單講, DirectAccess的用戶會永遠連接在企業(yè)網(wǎng)中,不論他現(xiàn)在身處何地。
2、DirectAccess的需求
在部署DirectAccess前,要先看看我們的配置是否符合要求。對于新手,你需要以下準備:
l 至少一個運行Windows Server 2003或更高版本的域控制器
l 一個內(nèi)部PKI用來將機器證書分配給DirectAccess客戶端和DirectAccess 服務(wù)器。
l 一個私有或公有PKI將Web站點證書分配給IP-HTTPS監(jiān)測器和Network Location Server(稍后討論)
另外你還要達到以下要求:
l DirectAccess 服務(wù)器必須是Windows Server 2008 R2標準版,企業(yè)版或更高級版本
l 必須支持IPv6,網(wǎng)絡(luò)傳輸設(shè)備上也必須開啟IPv6支持。
l DirectAccess 客戶端必須運行有 Windows 7企業(yè)版或旗艦版
l DirectAccess客戶端必須是活動目錄域成員
l 企業(yè)網(wǎng)絡(luò)中必須有高度可靠性的Network Location Server (Web服務(wù)器)
l 如果在DirectAccess 服務(wù)器之前或之后有防火墻,數(shù)據(jù)包過濾器必須允許相關(guān)數(shù)據(jù)包傳輸。
l DirectAccess 服務(wù)器必須配有兩個網(wǎng)卡
3、IPv6 是 DirectAccess通信的前提
DirectAccess客戶端使用IPv6協(xié)議與DirectAccess 服務(wù)器進行通信。DirectAccess服務(wù)器會將客戶端傳輸?shù)臄?shù)據(jù)轉(zhuǎn)發(fā)給企業(yè)網(wǎng)內(nèi)相連的支持IPv6的主機。企業(yè)網(wǎng)可以使用原生IPv6架構(gòu)(即路由器,交換機,操作系統(tǒng)以及應(yīng)用程序全部支持IPv6),或者采用IPv6轉(zhuǎn)換技術(shù)連接企業(yè)網(wǎng)內(nèi)的IPv6資源。
DirectAccess服務(wù)器可以使用ISATAP (Intra-site Automatic Tunnel Addressing Protocol)將IPv6數(shù)據(jù)包封裝在IPv4報頭中,使得IPv6數(shù)據(jù)可以在企業(yè)的IPv4網(wǎng)絡(luò)中傳輸。連接到IPv4互聯(lián)網(wǎng)的DirectAccess客戶端可以使用各種流行的IPv6轉(zhuǎn)換技術(shù)來連接DirectAccess服務(wù)器,比如6to4, Teredo, 以及IP-HTTPS等。
4、端到邊緣和端到端的IPSec安全通信
由于DirectAccess 客戶端和服務(wù)器端的通信要跨越公開的互聯(lián)網(wǎng),因此確保信息在傳遞過程中不會被攔截和篡改就非常重要了。DirectAccess使用 IPsec實現(xiàn)客戶端和服務(wù)器端的安全通信。IPsec 通道模式被用來建立結(jié)構(gòu)化通道和內(nèi)網(wǎng)通道。另外,用戶還可以使用IPsec 傳輸模式配置 DirectAccess,實現(xiàn)客戶端和遠程服務(wù)器端的加密通信。DirectAccess還引入了最早出現(xiàn)在Vista 和 Windows Server 2008 中的AuthIP功能,從而實現(xiàn)用戶和計算機證書的雙重連接認證,而不僅僅只采用計算機證書認證。
5、客戶端程序必須支持IPv6
既然目標是要實現(xiàn)客戶端電腦與企業(yè)內(nèi)網(wǎng)中的電腦擁有一樣的用戶體驗,那么在比較DirectAccess客戶端電腦與企業(yè)內(nèi)網(wǎng)電腦時就會發(fā)現(xiàn)一個明顯的不同:DirectAccess客戶端必須使用IPv6來連接DirectAccess服務(wù)器。這意味著DirectAccess客戶端程序必須是支持IPv6的。如果客戶端程序不支持IPv6(比如目前的OCS客戶端),連接就會失敗。就算使用IPv6 到 IPv4的轉(zhuǎn)換器也是一樣的。
6、活動目錄和組策略
DirectAccess 服務(wù)器和客戶端要進行一系列的配置修改,以便實現(xiàn)DirectAccess 解決方案。而修改配置最有效的方法就是采用活動目錄和活動目錄組策略對象(PGO)。GPO被分配給DirectAccess 服務(wù)器和DirectAccess客戶端。另外,Active Directory也被要求進行認證。結(jié)構(gòu)化通道采用 NTLMv2 認證連接到DirectAccess服務(wù)器的計算機帳戶,同時計算機帳戶必須與活動目錄域匹配。內(nèi)網(wǎng)通道則使用Kerberos 認證進行登錄用戶的驗證。
雖然 活動目錄和GPO都是必須的,但是DirectAccess服務(wù)器并不要求接入的成員必須屬于資源域。因為 DirectAccess 服務(wù)器域和資源域/森林之間是雙向信任關(guān)系,因此這種方案是可行的。
7、Network Location Servers 讓 DirectAccess 客戶端知道自己在企業(yè)網(wǎng)絡(luò)中所處的位置
DirectAccess被設(shè)計為自動執(zhí)行并且是后臺運行的。用戶不必做任何動作來"啟動"DirectAccess連接。用戶只需要開啟電腦就好了。實際上,用戶不用登錄系統(tǒng)都可以。在用戶登錄前,結(jié)構(gòu)化通道就已經(jīng)建立了,而DirectAccess客戶端的代理程序會連接到內(nèi)網(wǎng)的管理服務(wù)器進行程序升級,獲取配置信息,安全配置設(shè)置,以及任何IT管理員希望DirectAccess客戶端應(yīng)該具備的網(wǎng)絡(luò)配置和安全策略。
要讓整個過程透明化,就必須有某種機制讓DirectAccess客戶端組件知道自己該在什么時候啟動,在什么時候關(guān)閉。這就引出了Network Location Server 。Network Location Server (NLS)是一個支持SSL連接請求的Web服務(wù)器。NLS
可以支持匿名或完整驗證信息的連接。當DirectAccess客戶端連接到NLS時,客戶端組件就知道自己已經(jīng)處于企業(yè)內(nèi)網(wǎng)中,于是關(guān)閉DirectAccess客戶端組件。如果DirectAccess客戶端不能與NLS服務(wù)器取得聯(lián)系,就會認為客戶端目前沒有接入企業(yè)內(nèi)網(wǎng),于是DirectAccess客戶端會自動開啟,建立IPsec隧道,通過互聯(lián)網(wǎng)連接遠程的DirectAccess服務(wù)器。DirectAccess客戶端會通過Certificate Revocation List查找 NLS Web服務(wù)器證書,因此CRL必須是可用的。否則,連接到NLS SSL Web站點就會失敗,客戶端是否已經(jīng)連接到內(nèi)網(wǎng)的檢測也會失敗。
8、證書,證書,證書
在DirectAccess客戶端/服務(wù)器的解決方案中,在不同位置多次用到了證書。包括:
DirectAccess 客戶端電腦。每個DirectAccess客戶端都需要一個計算機證書來確定到DirectAccess 服務(wù)器的IPsec連接。 這個證書用來建立IPsec 連接,同時也被IP-HTTPS使用,即DirectAccess服務(wù)器在允許IP-HTTPS連接到互聯(lián)網(wǎng)前,會再次進行計算機證書驗證。計算機證書最好是由Microsoft Certificate Server 和基于組策略的電腦證書自動注冊的。
DirectAccess 服務(wù)器上的IP-HTTPS監(jiān)測器。IP-HTTPS是一種 IPv6轉(zhuǎn)換技術(shù),可以讓IPv6數(shù)據(jù)包在IPv4網(wǎng)絡(luò)上傳輸。微軟設(shè)計這個協(xié)議是為了讓DirectAccess 客戶端能夠順利的連接到DirectAccess 服務(wù)器,即使客戶端位于一個只允許HTTP/HTTPS 輸出的防火墻背后,或者位于一個Web代理服務(wù)器后。IP-HTTPS監(jiān)測器需要Web站點證書,同時DirectAccess客戶端必須能夠連接帶有CRL的服務(wù)器獲取證書信息。如果 CRL 檢查失敗,IP-HTTPS連接就會失敗。對于IP-HTTPS監(jiān)測器來說,商業(yè)證書是最好的選擇,因為這類證書在CRL中是全球通用的。
DirectAccess 服務(wù)器。DirectAccess服務(wù)器上存有IP-HTTPS Web站點證書,但是他同時還需要計算機證書與DirectAccess客戶端建立IPsec連接。
9、名稱解析策略表提供基于策略的DNS查詢
DirectAccess客戶端使用名稱解析策略表 (NRPT)確定該使用哪個DNS服務(wù)器進行名稱解析。當DirectAccess客戶端接入企業(yè)網(wǎng)絡(luò)后,NRPT就會被關(guān)閉。而當DirectAccess客戶端檢測到自己處于互聯(lián)網(wǎng)時,客戶端就會開啟NRPT并從中尋找哪個DNS服務(wù)器可以讓它連接到正確資源。企業(yè)可以將內(nèi)部域名和可用的服務(wù)器記錄在NRPT上,并配置它使用內(nèi)部DNS服務(wù)器來解析名稱。
當互聯(lián)網(wǎng)上的一個 DirectAccess 客戶端需要利用FQDN連接到資源,會檢查NRPT。如果名字在上面,查詢就會被送到內(nèi)網(wǎng)的DNS服務(wù)器上。如果名字不在NRPT上, DirectAccess客戶端就會將查詢發(fā)送到網(wǎng)卡配置上規(guī)定的DNS服務(wù)器,也就是互聯(lián)網(wǎng)上的DNS服務(wù)器。NLS 服務(wù)器名稱也被置于NRPT中,但是屬于免除解析部分,即DirectAccess 客戶端永遠不會使用內(nèi)部服務(wù)器來解析NLS服務(wù)器的名稱。于是處于互聯(lián)網(wǎng)上的DirectAccess客戶端永遠無法解析NLS服務(wù)器,客戶端將明白自己處于互聯(lián)網(wǎng),于是開啟DirectAccess客戶端組件連接企業(yè)內(nèi)網(wǎng)的DirectAccess服務(wù)器。
10、DirectAccess具有"對外管理"能力
正如前面提到的,IT管理員可以利用結(jié)構(gòu)化通道,跨越互聯(lián)網(wǎng)對外管理遠程的DirectAccess客戶端電腦。不過管理員需要在Windows Firewall with Advanced Security (WFAS)中配置防火墻規(guī)則,允許系統(tǒng)連接到Teredo客戶端。建立這個規(guī)則后,還要確定為防火墻規(guī)則開啟了Edge Traversal 。當DirectAccess客戶端位于NAT后面并連接到互聯(lián)網(wǎng)時,被看做Teredo客戶端,同時DirectAccess服務(wù)器和NAT設(shè)備要允許UDP端口 3544輸出數(shù)據(jù)。
詳解與DirectAccess
1、無縫連接:DirectAccess允許遠程用戶在互聯(lián)網(wǎng)上無需進行任何特殊配置或登錄客戶端,就能直接訪問企業(yè)內(nèi)網(wǎng)資源,提高了遠程辦公的便捷性。
2、安全傳輸:它使用IPsec加密通道來保護所有通信,確保數(shù)據(jù)在傳輸過程中的安全,防止數(shù)據(jù)被竊聽或篡改。
3、雙向訪問:不僅允許遠程用戶訪問內(nèi)網(wǎng)資源,同時IT管理員也能隨時訪問遠程用戶的計算機進行管理和維護,如軟件更新、安全策略部署等。
4、始終開啟:一旦配置完成,DirectAccess會始終保持連接狀態(tài),這意味著用戶不必每次需要訪問內(nèi)網(wǎng)時都進行連接操作。
5、簡化管理:通過集中管理策略,IT管理員可以輕松控制誰有權(quán)訪問內(nèi)部網(wǎng)絡(luò),以及這些用戶可以訪問哪些資源,簡化了網(wǎng)絡(luò)安全策略的實施。
6、支持條件訪問:DirectAccess可以根據(jù)預定義的條件(如系統(tǒng)健康狀態(tài)檢查)來決定是否允許設(shè)備接入,增加了安全性。
7、集成Windows平臺:DirectAccess是Windows操作系統(tǒng)的一部分,特別是Windows Server和Windows 10/11,易于部署和集成到現(xiàn)有的基礎(chǔ)設(shè)施中。
8、網(wǎng)絡(luò)適應(yīng)性:DirectAccess可以自動檢測網(wǎng)絡(luò)狀況,選擇最優(yōu)路徑進行連接,保證連接的穩(wěn)定性和效率。
9、基礎(chǔ)設(shè)施要求:實施DirectAccess需要特定的網(wǎng)絡(luò)基礎(chǔ)架構(gòu),包括至少兩臺運行DirectAccess服務(wù)器的Windows Server,以及正確的DNS和證書服務(wù)配置。
【詳解與DirectAccess的10件事情】相關(guān)文章:
Dreamweaver技巧詳解12-01
汽車轉(zhuǎn)彎的技巧詳解03-20
關(guān)于Linux內(nèi)存機制的詳解11-17
C語言的指針類型詳解10-17
PHP源代碼方式詳解11-17
c++快速排序詳解03-19
2017用電安全常識詳解03-29
C語言for語句用法詳解11-19