Windows Server 2008 R2远程访问方案

超越 VPN：DirectAccess

DirectAccess 是 Windows Server 2008 R2 和 Windows 7 的新功能，它被认为是远程访问的未来以及 VPN 的最终替代方案，尤其是在企业管理的计算机领域。虽然 VPN 重新连接使用户能够实现无缝重建 VPN，但 DirectAccess 的功能更加强大，能够从最开始实现公司网络的无缝连接。用户不再需要 VPN，因为他们在连接 Internet 的情况下可随时自动连接到公司网络，即便当他们使用 Web 代理或端口受限的防火墙时也是如此。DirectAccess 不仅提高了用户易用性，还简化了管理员工作。利用 DirectAccess，您能够更好地控制连接到公司网络的计算机，并在这些计算机连接到 Internet 时随时更新其组策略或软件，即便用户未登录。

与各种类型的 VPN 相比，DirectAccess 的另一项优势是安全性。DirectAccess 采用 IPv6 代替 IPsec，并支持多因素身份验证。IPsec 身份验证用于用户和计算机，而智能卡则可用于用户身份验证。虽然 DirectAccess 使用 IPv6，但客户端计算机仍能够连接到使用 IPv4 Internet 的公司网络上的 DirectAccess 服务器。DirectAccess 服务器可以是 Windows Server 2008 R2 服务器或 Forefront Unified Access Gateway (UAG)。

此外，还可以将 DirectAccess 配置为使 Internet 流量与 Intranet 流量分离。这样 Internet 通信不必通过内部网络然后再返回 Internet，避免了大多数 VPN 存在的问题。这意味着性能的提升。除这种默认配置外，如果需要，您也可以选择通过 DirectAccess 服务器发送 Internet 流量。您还可以配合使用 Windows 防火墙的出站规则与高级安全功能，以控制哪些应用程序可以与 Internet 通信以及可连接到哪些内部子网客户端。

DirectAccess 使用两个 IPsec 隧道。第一个是封装式安全措施负载 (ESP) 隧道，它采用计算机证书和计算机帐户 NTLMv2 身份验证来访问 DNS 服务器、域控制器以及其他管理服务器，例如用于网络访问保护 (NAP) 和软件更新的服务器，这样可以在用户登录前对计算机进行管理。第二个隧道也使用计算机证书，但同时使用用户凭据来通过 Kerberos 验证用户身份以及访问公司网络上的资源和应用程序。客户端采用端到端或端到边的 IPsec 加密连接到网络资源。前者能够提供更高的安全性，但应用程序服务器必须运行 Server 2008/2008 R2 并启用 IPv6 以及 IPsec。端到边连接涵盖从客户端到网关(DirectAccess 服务器)，然后以未保护的方式将数据包发送至公司网络中的应用程序服务器。这种连接的优势在于您不需要在内部网络上部署 IPsec 和 IPv6，并且可以连接到仅采用 IPv4 的服务器(如果您使用 Forefront UAG 及其 NAT64/DNS64 技术)。DirectAccess 客户端必须运行 Windows 7 Enterprise 或 Ultimate 版。

要部署 Windows Server 2008 R2 DirectAccess，您必须：

　　1.部署 PKI 以颁发计算机证书(如果使用智能卡和 NAP 技术，还需要颁发智能卡证书和 NAP 健康证书)，并进行配置，以自动注册计算机证书。

　　2.部署网络位置服务器(实际上就是 SSL 网站)，由 DirectAccess 客户端用来确定其是否处于公司网络中。

　　3.确保 DirectAccess 服务器与一个 Active Directory 域相连接，其中至少一个域控制器和一个 DNS 服务器运行 Windows Server 2008/2008 R2。

　　4.为 DirectAccess 客户端与(可选)选定服务器创建 AD 安全组。

　　5.配置防火墙数据包筛选。

　　6.使用两个 NIC 配置 DirectAccess 服务器，一个连接到 Internet，另一个连接到内部网络。

　　7.在外部 NIC 上配置至少两个连续的公共 IP 地址。

　　8.将 DNS 地址添加到面向内部和外部 (Internet) DNS 服务器，这样 DirectAccess 客户端就能够定位服务器组件。

　　9.在 DirectAccess 服务器上安装使用计算机身份验证增强型密钥用法 (EKU) 的计算机证书(用于 IPsec 的身份验证)。

　　10.安装 SSL 证书以用于 IP-HTTPS 身份验证。

DirectAccess 安装向导将引导您完成针对 Intranet 访问、选定的服务器访问或端到端访问配置 DirectAccess 服务器的相关步骤。有关在上述情况下如何部署 Windows Server 2008 R2 DirectAccess 的详细说明，请参见《DirectAccess 部署指南》，网址为：http://technet.microsoft.com/zh-cn/library/ee649163(WS.10).aspx

请特别注意，Windows DirectAccess 解决方案并非设计用于企业环境，因为其缺少对数组、高可用性、集中配置以及非 IPv6 资源的支持。如果企业希望部署 DirectAccess，Microsoft 推荐使用 Forefront UAG DirectAccess。Forefront UAG DirectAccess 包括一些技术增强功能，使 DirectAccess 能够满足企业的需求。有关 UAG DirectAccess 部署方案和注意事项的详细信息，请参见《UAG DirectAccess 设计指南》，网址为：http://technet.microsoft.com/zh-cn/library/ee406191(en-us).aspx。