DirectAccess

DirectAccess,也稱統一遠程訪問(Unified Remote Access),是一種類VPN技術,它可以為已連接互聯網的客戶端計算機提供內部網連通性。不同於許多傳統的必須由用戶明確啟動與終止的虛擬私人網路(VPN)連接,DirectAccess連接被設計成在計算機連接到互聯網後就儘快自動連接。DirectAccess在Windows Server 2008 R2中引入,為Windows 7Windows 8企業版客戶端提供此服務。2010年,Microsoft Forefront統一接入網關英語Microsoft Forefront Unified Access Gateway(UAG)發布,這簡化了DirectAccess在Windows 2008 R2上的部署[1],包含額外組件使其更容易集成而無需在網絡上部署IPv6,並有專用的用戶界面用於配置和監控。雖然DirectAccess基於微軟技術,但也有第三方解決方案使用DirectAccess來訪問內部的UNIXLinux服務器。在Windows Server 2012中,DirectAccess被完全集成到操作系統,提供有用戶界面用於配置,並有原生的IPv6和IPv4支持。[2]

技術

DirectAccess在客戶端與DirectAccess服務器之間建立IPsec隧道,並使用IPv6聯繫內部網或其他DirectAccess客戶端。這些技術將IPv6流量封裝在IPv4封包內以通過互聯網傳輸到內部網,因此仍主要依賴於IPv4流量。所有傳輸到內部網的流量都使用IPsec加密並封裝在IPv4封包內,因此大多數情況下不需要配置防火牆代理服務器[3]DirectAccess客戶端可以使用數種隧道技術之一,這取決於客戶端的網絡連接配置。只要服務器配置正確從而能使用,客戶端可以使用6to4Teredo隧道IP-HTTPS。例如,直接連接到互聯網的客戶端可使用6to4,而在NAT網絡內的客戶端將使用Teredo。此外,Windows Server 2012提供兩種向後兼容服務:DNS64NAT64,這允許DirectAccess客戶端與企業網絡中的服務器通信,即使這些服務器只有IPv4網絡連接。由於IPv6的全局可路由性,公司網絡上的計算機也可以啟動與DirectAccess客戶端的連接,從而可以隨時遠程管理這些客戶端。[4]

優勢

DirectAccess可以為多個站點部署。它允許通過組策略控制,維護一個安全加密的VPN網絡。

必要條件

Windows Server 2008 R2中的DirectAccess或UAG需要:

  • 一個或多個有兩個網絡適配器的運行Windows Server 2008 R2的DirectAccess服務器:一個直接連接互聯網,另一個連接到內部網。
  • 在DirectAccess服務器上,連接到互聯網的網絡適配器已被分配至少兩個連續的公網IPv4地址。
  • DirectAccess客戶端運行Windows 7 Ultimate版或企業版,或Windows 8企業版。
  • 至少一個網域控制器域名系統(DNS)服務器,運行Windows Server 2008 SP2或Windows Server 2008 R2。
  • 公開金鑰基礎建設(PKI)來頒發計算機證書。

Windows Server 2012中的DirectAccess需要:

  • 一個或多個有一個或兩個網絡適配器的運行Windows Server 2012的DirectAccess服務器
  • 至少一個網域控制器域名系統(DNS)服務器,運行Windows Server 2008 SP2或Windows Server 2008 R2。
  • DirectAccess客戶端運行Windows 7 Ultimate版或企業版,或Windows 8企業版。
  • 公鑰基礎設施對Windows 8客戶端不是必要條件。[5]

智能卡證書和用於網路存取保護技術的健康證書可以配合PKI使用。

參考資料

  1. ^ Got DirectAccess? Get UAG!. [2017-03-23]. (原始內容存檔於2009-07-21) (美國英語). 
  2. ^ What's New in DirectAccess in Windows Server. [2017-03-23]. (原始內容存檔於2017-03-23) (英語). 
  3. ^ DirectAccess: Microsoft's Newest VPN Solution - Part 1: Overview of Current Remote Access Solutions - TechGenix. [2017-03-23]. (原始內容存檔於2013-01-17) (美國英語). 
  4. ^ Configuring Manage Out to DirectAccess Clients | PACKT Books. [2017-03-23]. (原始內容存檔於2017-03-23) (英語). 
  5. ^ What's New in DirectAccess in Windows Server. [2017-03-23]. (原始內容存檔於2017-03-23) (英語). 

外部連結