| 丁程序、策略和其他更新,并通过 IPsec 连接保证安全。
DirectAccess 要求
在基本 DirectAccess 配置中,DirectAccess 服务器位于边界网络上,向远程用户提供到内部资源的连接,这些内部资源包括应用程序服务器、证书颁发机构 (CA)、DNS 和域控制器 (DC)。CA 和应用程序服务器必须配置为接受 IPv6 通信。下面是 DirectAccess 配置的基本组件:
- 在 Active Directory 域中,DirectAccess 客户端只能访问 Windows 2008 或 2008 R2 DC。
- 组策略定义必须强制执行 DirectAccess 设置,以便能够:
- 确定 DirectAccess 客户端。
- 配置名称解析策略表 (NRPT)。
- 从 DNS 全局限制列表删除站内自动隧道寻址协议 (ISATAP)。
- DirectAccess 服务器必须:
- 是 Active Directory 域的成员。
- 在 Windows Server 2008 R2 上运行。
- 配置两个网络适配器(一个用于 Intranet 连接,另一个用于 Internet 连接)。
- 具有两个可在外部解析的连续静态 IPv4 地址。
- 安装有 DirectAccess 管理功能(通过服务器管理器),运行安装向导以进行配置。
![]() 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="" src="http://i.technet.microsoft.com/ee835709.Figure%209-DAFeature(en-us,MSDN.10).png" />
- IIS/Web 服务器实现了用于确定是否可以访问 Intranet 资源的功能。应用程序服务器必须配置为允许通过启用 DirectAccess 的客户端进行访问。
- 为了与所需 CA 一起使用,请安装 Active Directory 证书服务并颁发证书以进行身份验证。
- 必须在整个 Intranet 范围提供本机 IPv6 网络或转换技术。
- 通过用于安全身份验证的 IPsec 策略和 DirectAccess 连接加密,客户端可在用户登录之前对用户进行身份验证。
- 您可在 Microsoft DirectAccess 前期应用指南中找到必要的防火墙例外。
如您所见,DirectAccess 的实施并非坦途。仅 IPv6 一项要求就必然会引发忧虑,它要求大多数组织都实现转换技术,但 2008 R2 已有相应组件。另外,您必须通过公钥基础结构 (PKI) 实现安全性,提供身份验证服务,并向应用程序服务器设置 IPv6 标识。在运行 DirectAccess 安装向导之前,您还需要配置安全组,建立防火墙策略,设置 DNS 并满足其他一些先决条件。
DirectAccess 服务器
DirectAccess 服务器将执行通过服务器管理器的 DirectAccess 安装向导定义的多种功能(请参见图 6)。
![]() 498)this.width=498;'' onmousewheel = ''javascript:return big(this)'' alt="" src="http://i.technet.microsoft.com/ee835709.Figure%2010-DASetup(en-us,MSDN.10).png" />
图 6 通过服务器管理器启动 DirectAccess 安装。
DirectAccess 向导执行 4 项基本任务。通过该向导,您可以:
- 确定需要启用 DirectAccess 的客户端。您可以在这里列出其他域或林中的安全组(如果已配置信任)。您必须在运行该向导之前定义相应的安全组。
- 针对 DirectAccess 服务器定义连接性和安全性(证书)。您将确定哪个网络接口位于 Internet 一端,以及哪个接口连接到 Intranet。在运行 DirectAccess 安装向导之前,先安装 CA 并创建证书。另外,还要定义智能卡策略。
- 确定在 DirectAccess 环境中使用的 DNS、DC 以及(可选)管理服务器和其他基础结构服务器。您还必须确定一个高可用性服务器作为网络位置服务器。DirectAccess 服务器可充当这一角色。
- 确定配置为从 DirectAccess 客户端接受连接的应用程序服务器。默认设置为没有额外的端到端授权,但您可以选择基于 IPsec 策略的安全选项。
DNS 和 NRTP
如前所述,DirectAccess 客户端可直接访 |
