Direct Access配置手册

Direct Access是Windos 7和Windows Server 2008 R2中的一项新功能。凭借这个功能，外网的用户可以在不需要建立VPN连接的情况下，高速、安全的从Internet直接访问公司防火墙之后的资源！

一． Direct Access功能概述

仅仅这一句话的描述，是否已经足够以让你热血沸腾？是的，不需要VPN了，不需要Token了，不需要SmartCard了，不需要漫长的VPN拨号等待了！内网外网之间的穿越变得如此之简单！Bill Gates说什么来着，information at your finger tip。

这是一个大家企盼了很久的功能，这是一个让移动办公者手舞足蹈的功能。微软这个月公布了Direct Access的技术白皮书，让我们先睹为快，看看Direct Access 到底是何方神圣，我们从中是否能够获得实实在在的好处。

详解Direct Access连接

Direct Access功能克服了VPN的很多局限性，它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证，这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时，客户机建立一个通向DirectAccess Server的IP v6隧道连接。这个IP v6的隧道连接，可以在普通的IP v4网络上工作，如下图所示。DirectAccess Server承担了网关的角色，连接内网和外网之间。（图1）

更多详细功能概述请见：https://www.wendangku.net/doc/f09325804.html,/viewthread.php?tid=1032668

二．环境描述

在这个实验中，Direct Access部署需要以下条件：

软件配置：

" DC1：安装Windows server 2008 R2的域控制器，同时是DNS、DHCP、企业根角色。

" DA1：安装有Windows server 2008 R2的成员服务器，同时是Direct Access 服务器，并且具备两块网卡。

" APP1：安装有Windows server 2008 R2的成员服务器，同时是应用程序服务器和网络本地服务器。

" INET1：安装有Windows server 2008 R2的独立服务器，作为Internet DNS、web和DHCP服务器。

" Client1：安装有Windows 7旗舰版，加入域，作为Direct Access客户端。

网络配置：

" DC1：10.0.0.1/24（CIDR表示法，同255.255.255.0）

" DA1：Intranet网卡10.0.0.2/24 DNS后缀：https://www.wendangku.net/doc/f09325804.html,

Internet网卡 131.107.0.2/24和131.107.0.3/24（DA服务器需要两个公网IP地址） DNS后缀：https://www.wendangku.net/doc/f09325804.html,

DNS记录中添加别名记录：https://www.wendangku.net/doc/f09325804.html,

注意：这里的DNS后缀必须设置，因为这是DA服务器配置的必须条件

" APP1：10.0.0.3/24 DNS记录中添加别名记录：https://www.wendangku.net/doc/f09325804.html,

" INET1：131.107.0.1/24

" Client1：131.107.0.10/24

Direct Access 软件需求：

" DA客户端：Windows7企业版或旗舰版，Windows server 2008 R2或者更高。

" DA 服务器：Windows server 2008 R2 或者更高，至少拥有两块网卡连接公网和内网。

" Active Directory：至少有基于Windows server 2008或者Windows server 2008 R2 的DC，并为GC角色，启用IPv6.Windows server 2008 R2的域或林功能级别不是必须的。（图2）

注意：此环境中所有服务器均使用Windows server 2008 R2企业版，客户端使用Windows 7旗舰版。

三、APP1配置

1. 安装IIS角色，默认设置即可。

2. 申请一个web服务器证书，设置可参考DA1申请证书过程，有一点需要注意，证书申请时，使用者名称选择【公用名】，输入【https://www.wendangku.net/doc/f09325804.html,】,备用名称选择【DNS】，输入【https://www.wendangku.net/doc/f09325804.html,】.（图10）

3. 启用IIS中的HTTPS安全绑定。

打开IIS管理器，选择【default web site】,在右侧【编辑网站】处，点选【绑定】

注释：nls为APP1主机别名，在DNS中添加即可。这里指Network Loaction Server，属于DA客户端访问的Intranet资源。（图11）

网站绑定类型为：【HTTPS】，证书选择刚申请到的【https://www.wendangku.net/doc/f09325804.html,】（图12）

小贴士：IP-HTTPS 是Windows7 和Windows Server 2008 R2 的一项新协议，该协议允许位于 Web 代理服务器或防火墙后面的主机通过在基于 IPv4 的安全超文本传输协议 (HTTPS) 会话内隧道传送 IPv6 数据包来建立连接。通常，只有在客户端无法使用其他 IPv6 连接方法连接到 DirectAccess 服务器时才使用

IP-HTTPS。

4. 设置一个共享文件夹，放置一个测试文本，用来测试Direct Access Client 访问情况。

四、 DA客户端测试访问

1. 更改【Client 1】网络地址，将其网络转移到公网，模拟公网访问环境。

当给【Client1】配置了公网IP【131.107.0.10】之后，我们查看【Client1】的网络信息发现，在6to4隧道中，有这样一个IPv6地址信息【2002:836b:】这段地址对应的IPv4地址中的【131.107】，而6to4的默认网关地址

【2002:836b:2::836b:2】则对应的是【131.107.0.2】。【Client1】就是使用6to4这个IPv6隧道与【DA1】进行通信的。（图10）

2. 进行Internet和Intranet网络WEB访问测试

先打开【Client 1】的IE浏览器，输入URL【https://www.wendangku.net/doc/f09325804.html,】，如果可以正常打开，则Internet网络通信正常。（图11）

在打开一个新的IE浏览器，输入URL【https://www.wendangku.net/doc/f09325804.html,】,如果也可以正常打开，这就说明我们的Direct Access部署基本完成了。（图12）

3. Intranet共享文件夹访问测试

在【Client 1】中直接访问【APP1ShareFor DA Client】。（图13）

至此，已经彻底完成了Direct Access这项新特性的部署及测试，但这对于一些安全级别较高的企业来说是不够的，如果你有条件和环境可以尝试结合使用NAP 和NPS功能来打造更加安全，管理更方便的Direct Access访问。