30
2021
06
10:53:10

DirectAccess部署(一)之DirectAccess介绍及部署要求(多图!)

部署DirectAccess测试环境。

DirectAccess的部署虽然不难,只是走了不少弯路,上网查找了些资料 但是讲的不清不楚,再加上自己的一些自由发挥,自然就花了不少时间去摸索这样一个全新的产品。

即使如此,但不得不说DirectAccess是一款好的产品,在给客户演示的PPT中,我把它称作是“一场全新的办公体验革命”,不但能完全替代×××,而且还解决了以往活动目录的短板,让管理员有一种从头到尾的被解放的体验!所以我将之称为 一场全新的办公体验革命!

先来给大家正式介绍一下DirectAccess。

 

Direct Access 是微软下一代×××技术主要用来替代传统×××以及解决一些现有技术难以解决的疑难杂症,DirectAccess称为直接访问,它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立×××连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。

Direct Access克服了×××的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IPv6技术的一些特性做到这点。Direct Access使用IPSec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时,客户机建立一个通向DirectAccess 服务器的IPv6隧道连接。这个IPv6的隧道连接,可以在普通的IPv4网络上工作。DirectAccess 服务器承担了网关的角色连接内网和外网。

 

DirectAccess带来的好处

提高移动员工生产力:通过提供内部和外部办公同样的连接体验,只要有互联网连接便可以访问内部网络资源的能力,无论他在旅行、在咖啡厅还是在家。

远程用户更易于管理:如果没有DirectAccess,只有当用户连接到×××或进入办公室,才能对移动计算机进行管理。通过DirectAccess,只要移动计算机有互联网连接就可以进行管理,即使用户没有登录。这允许对移动计算机进行定期管理,有助于确保移动用户保持最新的安全性和系统健康策略。DirectAccess 有助于企业对漫游在企业网络外的财产进行安全监督和数据保护。

改进的安全性:直接访问使用IPSec进行认证和加密。您可以选择用智能卡(Smart Card)进行用户身份验证。DirectAccess集成NAP,规定DirectAccess客户端 必须符合系统健康要求才能允许连接到DirectAccess服务器。 IT管理员可以配置DirectAccess服务器,限制用户和应用程序可以访问的服务器。

 

看完这么些好处估计有些头昏脑胀,没办法,度娘百科里面摘过来的,虽然也说的不清不楚,但细细琢磨下也确实是这么回事。我总结一下主要有这几点:

一、当用户在外办公时遇到网络不稳定时,×××需要断线重拨,而DirectAccess完全是自动的,30秒的间隔会自动重新连接服务器

二、当我们在外出差的时候,公司有了新的域策略或者是修改了域策略,那么用户就接收不到最新的策略了。而DirectAccess是用户打开电脑后 登录系统前就会建立好连接,并将域策略刷新过来,当然了 如果还要拨宽带连接的话就做不到了。实际测试的过程中会发现,这跟你服务器的部署方式也会有点关系,这留到后面我们再来讲。

三、用×××是不能双向访问的,通过DirectAccess管理员可以直接远程桌面到在外出差办公的客户机

四、DirectAccess还支持NAP,能对连接进网络的用户进行健康检查和准入控制

五、离线加域,不过可惜这个特性只有在Windows Server 2012+Windows 8才能发挥出最佳威力! 我们知道Server 2008+Windows 7离线加域后域用户是不能立即登录的客户机也拿不到公司的域策略,这一点在Windows 8中已经可以做到了,并且离线加域后可以直接通过DirectAccess连接到公司内网!

六、×××不能灵活控制哪些服务器能访问哪些不能访问,DirectAccess不但可以进行灵活的控制,还能对访问隧道进行IPSec加密防止通信被第三方窃取!

七、最后谈谈资金投入问题,×××是不是要收费这个不一定,要根据不同的产品来看,反正DirectAccess不收费。 

 

Direct Access的软件需求

1. DA服务器操作系统至少需要Windows Server 2008 R2,两块网卡以及两个连续的外网IP地址;Server 2012中有多种部署方式,不一定需要双网卡。

2. 客户机操作系统支持Windows 7旗舰版 、企业版和Windows 8企业版。

3. 域控及其他应用服务器需要开启IPv6支持,客户机也要开启IPv6支持;Server 2012中有纯IPv4的部署方式,这种部署方式没测试成功。

4. 需要证书服务器颁发计算机证书。

 

网上找了个部署示意图,我做了些修改供大家参考


DirectAccess典型部署示意图

image.png

DirectAccess客户端建立连接过程

1. 客户端计算机首先检测到它所连接的网络,在上图中可以看到四个移动用户所处的网络,DirectAccess支持多种网络下的安全连接;

2. DirectAccess服务尝试连接网络位置服务器,如果连接成功,则表示计算机处在内网,客户机将关闭DirectAccess服务节省系统资源;如果访问不到,DirectAccess服务继续工作;

3. 客户端使用IPv6和IPSec连接DirectAccess服务器。如果计算机所处的不是IPv6网络,计算机建立一个IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol 即ISATAP),当用户在NAT网络中时则使用Teredo协议建立连接;

4. 如果防火墙不允许连接以上几种隧道,则使用HTTPS协议与DirectAccess服务器进行通讯(性能会有影响);

5. Windows 7客户端和DirectAccess服务器完成互相的身份验证(采用计算机证书实现);

6. DirectAccess服务器验证客户端当前登陆用户身份。为了避免DDOS***,微软采用了DSCPs技术(Differentiated Services Code Points);

7. 如果客户机启用了NAP,DirectAcces服务器则将客户机转向NAP服务器完成安全检测。8. 一切都完成后,DirectAccess服务器则充当网关的作用为客户机提供服务。

 

最后,再提一个Windows Server 2012中我们的DirectAccess有哪些新的特性

1. 简化的部署步骤

2. 支持DirectAccess 服务器部署在NAT 设备后面

3. 支持单网卡部署

4. 支持负载均衡

5. 支持多站点部署

6. 支持NAP集成

7. 支持多个域

8. 支持Server Core

9. 支持运行状态监控

10. 支持记账和报告

另外,一些更详细的部署要求可以参考微软Technet,里面写的很详细。

 

参考资料:

Direct Access部署准备:http://technet.microsoft.com/en-us/library/jj134148.aspx




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/1800.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: