部署DirectAccess测试环境。
DirectAccess的部署虽然不难,只是走了不少弯路,上网查找了些资料 但是讲的不清不楚,再加上自己的一些自由发挥,自然就花了不少时间去摸索这样一个全新的产品。
即使如此,但不得不说DirectAccess是一款好的产品,在给客户演示的PPT中,我把它称作是“一场全新的办公体验革命”,不但能完全替代×××,而且还解决了以往活动目录的短板,让管理员有一种从头到尾的被解放的体验!所以我将之称为 一场全新的办公体验革命!
先来给大家正式介绍一下DirectAccess。
Direct Access 是微软下一代×××技术主要用来替代传统×××以及解决一些现有技术难以解决的疑难杂症,DirectAccess称为直接访问,它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立×××连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。
Direct Access克服了×××的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IPv6技术的一些特性做到这点。Direct Access使用IPSec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。
Direct Access工作时,客户机建立一个通向DirectAccess 服务器的IPv6隧道连接。这个IPv6的隧道连接,可以在普通的IPv4网络上工作。DirectAccess 服务器承担了网关的角色连接内网和外网。
DirectAccess带来的好处
提高移动员工生产力:通过提供内部和外部办公同样的连接体验,只要有互联网连接便可以访问内部网络资源的能力,无论他在旅行、在咖啡厅还是在家。
远程用户更易于管理:如果没有DirectAccess,只有当用户连接到×××或进入办公室,才能对移动计算机进行管理。通过DirectAccess,只要移动计算机有互联网连接就可以进行管理,即使用户没有登录。这允许对移动计算机进行定期管理,有助于确保移动用户保持最新的安全性和系统健康策略。DirectAccess 有助于企业对漫游在企业网络外的财产进行安全监督和数据保护。
改进的安全性:直接访问使用IPSec进行认证和加密。您可以选择用智能卡(Smart Card)进行用户身份验证。DirectAccess集成NAP,规定DirectAccess客户端 必须符合系统健康要求才能允许连接到DirectAccess服务器。 IT管理员可以配置DirectAccess服务器,限制用户和应用程序可以访问的服务器。
看完这么些好处估计有些头昏脑胀,没办法,度娘百科里面摘过来的,虽然也说的不清不楚,但细细琢磨下也确实是这么回事。我总结一下主要有这几点:
一、当用户在外办公时遇到网络不稳定时,×××需要断线重拨,而DirectAccess完全是自动的,30秒的间隔会自动重新连接服务器
二、当我们在外出差的时候,公司有了新的域策略或者是修改了域策略,那么用户就接收不到最新的策略了。而DirectAccess是用户打开电脑后 登录系统前就会建立好连接,并将域策略刷新过来,当然了 如果还要拨宽带连接的话就做不到了。实际测试的过程中会发现,这跟你服务器的部署方式也会有点关系,这留到后面我们再来讲。
三、用×××是不能双向访问的,通过DirectAccess管理员可以直接远程桌面到在外出差办公的客户机
四、DirectAccess还支持NAP,能对连接进网络的用户进行健康检查和准入控制
五、离线加域,不过可惜这个特性只有在Windows Server 2012+Windows 8才能发挥出最佳威力! 我们知道Server 2008+Windows 7离线加域后域用户是不能立即登录的客户机也拿不到公司的域策略,这一点在Windows 8中已经可以做到了,并且离线加域后可以直接通过DirectAccess连接到公司内网!
六、×××不能灵活控制哪些服务器能访问哪些不能访问,DirectAccess不但可以进行灵活的控制,还能对访问隧道进行IPSec加密防止通信被第三方窃取!
七、最后谈谈资金投入问题,×××是不是要收费这个不一定,要根据不同的产品来看,反正DirectAccess不收费。
Direct Access的软件需求
1. DA服务器操作系统至少需要Windows Server 2008 R2,两块网卡以及两个连续的外网IP地址;Server 2012中有多种部署方式,不一定需要双网卡。
2. 客户机操作系统支持Windows 7旗舰版 、企业版和Windows 8企业版。
3. 域控及其他应用服务器需要开启IPv6支持,客户机也要开启IPv6支持;Server 2012中有纯IPv4的部署方式,这种部署方式没测试成功。
4. 需要证书服务器颁发计算机证书。
网上找了个部署示意图,我做了些修改供大家参考
DirectAccess典型部署示意图
DirectAccess客户端建立连接过程
1. 客户端计算机首先检测到它所连接的网络,在上图中可以看到四个移动用户所处的网络,DirectAccess支持多种网络下的安全连接;
2. DirectAccess服务尝试连接网络位置服务器,如果连接成功,则表示计算机处在内网,客户机将关闭DirectAccess服务节省系统资源;如果访问不到,DirectAccess服务继续工作;
3. 客户端使用IPv6和IPSec连接DirectAccess服务器。如果计算机所处的不是IPv6网络,计算机建立一个IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol 即ISATAP),当用户在NAT网络中时则使用Teredo协议建立连接;
4. 如果防火墙不允许连接以上几种隧道,则使用HTTPS协议与DirectAccess服务器进行通讯(性能会有影响);
5. Windows 7客户端和DirectAccess服务器完成互相的身份验证(采用计算机证书实现);
6. DirectAccess服务器验证客户端当前登陆用户身份。为了避免DDOS***,微软采用了DSCPs技术(Differentiated Services Code Points);
7. 如果客户机启用了NAP,DirectAcces服务器则将客户机转向NAP服务器完成安全检测。8. 一切都完成后,DirectAccess服务器则充当网关的作用为客户机提供服务。
最后,再提一个Windows Server 2012中我们的DirectAccess有哪些新的特性
1. 简化的部署步骤
2. 支持DirectAccess 服务器部署在NAT 设备后面
3. 支持单网卡部署
4. 支持负载均衡
5. 支持多站点部署
6. 支持NAP集成
7. 支持多个域
8. 支持Server Core
9. 支持运行状态监控
10. 支持记账和报告
另外,一些更详细的部署要求可以参考微软Technet,里面写的很详细。
参考资料:
Direct Access部署准备:http://technet.microsoft.com/en-us/library/jj134148.aspx
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/1800.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
打赏微信支付宝扫一扫,打赏作者吧~
休息一下~~