Direct Access 稱(chēng)為直接訪問(wèn)，它是Windows 7和Windows Server 2008 R2中的一項(xiàng)新功能。憑借這個(gè)功能，外網(wǎng)的用戶(hù)可以在不需要建立VPN連接的情況下，高速、安全的從Internet直接訪問(wèn)公司防火墻之后的資源。

　　通過(guò)這個(gè)動(dòng)手實(shí)驗(yàn)室，您可以了解到：掌握配置DirectAccess的基本條件、如何配置DirectAccess 服務(wù)器、在客戶(hù)端計(jì)算機(jī)上如何檢測(cè)DirectAccess。

　　先決條件

　　在開(kāi)始這個(gè)實(shí)驗(yàn)之前，您必須：

　　" 了解Active Directory, 證書(shū)服務(wù), 組策略和遠(yuǎn)程訪問(wèn)

　　" 熟悉IPv6, Teredo 和 4to6

　　" 能夠執(zhí)行基本的Active Directory管理任務(wù)

　　實(shí)驗(yàn)概述

　　該實(shí)驗(yàn)室是為負(fù)責(zé)實(shí)施DirectAccess的 IT專(zhuān)業(yè)人員提供了解決方案。這個(gè)實(shí)驗(yàn)提供給您實(shí)施一個(gè)基本的DirectAccess最終必要配置步驟的解決方案，包括網(wǎng)絡(luò)連接配置、組件基礎(chǔ)結(jié)構(gòu)、和DirectAccess服務(wù)器的配置。 在本實(shí)驗(yàn)結(jié)束時(shí)，您將完成實(shí)現(xiàn)DirectAccess功能所需的步驟。

　　場(chǎng)景

　　Woodgrove Bank 是一家位于美國(guó)馬里蘭州巴爾的摩的投資銀行。Woodgrove Bank 有一個(gè)總部并在很多地區(qū)有分支機(jī)構(gòu)。這些分支機(jī)構(gòu)由于規(guī)模較小所以沒(méi)有專(zhuān)門(mén)的IT技術(shù)人員，并且這些分支機(jī)構(gòu)都通過(guò)低速的廣域網(wǎng)連接到總部。此外，許多Woodgrove Bank員工經(jīng)常在這些分支機(jī)構(gòu)、客戶(hù)的辦公室和家庭中使用用戶(hù)帳戶(hù)參加有關(guān)會(huì)議。Woodgrove Bank 面臨著如下的全球挑戰(zhàn):

　　1. 要在這些機(jī)構(gòu)中管理大量的服務(wù)器。

　　2. 需要減少的每個(gè)分支機(jī)構(gòu)的運(yùn)營(yíng)成本。

　　3. 漫游和遠(yuǎn)程用戶(hù)需要訪問(wèn)公司資源。

　　4. 管理大型復(fù)雜的Active Directory基礎(chǔ)結(jié)構(gòu).

　　為了解決其中的一些挑戰(zhàn)，Woodgrove Bank 已經(jīng)決定使用Windows Server 2008 R2 和Windows 7中的DirectAccess 功能。通過(guò)實(shí)施DirectAccess, Woodgrove Bank 能夠讓用戶(hù)從Internet使用安全的IPv6連接從任意地點(diǎn)訪問(wèn)內(nèi)部資源，而無(wú)需昂貴且復(fù)雜的VPN連接。

　　虛擬機(jī)技術(shù)

　　這個(gè)實(shí)驗(yàn)中所用到的計(jì)算機(jī)都是通過(guò)使用Microsoft Hyper-V 來(lái)實(shí)現(xiàn)的。在您啟動(dòng)每個(gè)虛擬機(jī)之前，確保你應(yīng)用了Start-Lab 快照。當(dāng)您啟動(dòng)了虛擬機(jī)時(shí)，按CTRL+ALT+END 進(jìn)入登錄界面并使在實(shí)驗(yàn)手冊(cè)中列出的憑據(jù)。

　　虛擬機(jī)環(huán)境介紹

　　該實(shí)驗(yàn)使用如下表所述的虛擬機(jī)。在您開(kāi)始這個(gè)實(shí)驗(yàn)之前，您必須啟動(dòng)虛擬機(jī)并登錄。在您啟動(dòng)其他虛擬機(jī)之前請(qǐng)確保BAL-DC-01 虛擬機(jī)已經(jīng)完全啟動(dòng)。
 

　　本文將配置防火墻規(guī)則，允許本身就在內(nèi)部網(wǎng)絡(luò)的客戶(hù)端來(lái)管理通過(guò)DirectAccess連接到內(nèi)部網(wǎng)絡(luò)的客戶(hù)端。

　　任務(wù)A：使用Group Policy 管理客戶(hù)端

        步驟：

　　在此任務(wù)中，您將通過(guò)一個(gè)到客戶(hù)端桌面的快捷方式并使用組策略來(lái)管理一臺(tái)使用DirectAccess連接的客戶(hù)端計(jì)算機(jī)。

　　" 使用Woodgrovebank\Administrator 帳號(hào)和密碼Passw0rd!登錄到BAL-DC-01。

　　1. 在Start 菜單, Administrative Tools中,點(diǎn)擊Group Policy Management.

　　2. 依次展開(kāi)Forest: woodgrovebank.com\Domains\woodgrovebank.com.

　　3. 在Action 菜單,點(diǎn)擊Create a GPO in this domain and Link it here.

　　4. 輸入Remote Computer Management 后點(diǎn)擊OK.

　　5. 雙擊Remote Computer Management 后點(diǎn)擊OK.

　　6. 在Security Filtering, 點(diǎn)擊Authenticated Users,點(diǎn)擊Remove 后點(diǎn)擊OK.

　　7. 點(diǎn)擊Add, 輸入 DA Clients 后點(diǎn)擊OK.

　　8. 點(diǎn)擊 Remote Computer Management.

　　9. 在Action 菜單, 點(diǎn)擊 Edit.

　　10. 依次展開(kāi)Computer Configuration/Preferences/Windows Settings 后點(diǎn)擊Shortcuts.

　　11. 在Action 菜單, 指向New 后點(diǎn)擊Shortcut.

　　12. 使用如下列表中的值配置new Shortcut 后點(diǎn)擊OK.
 

　　13. 依次展開(kāi)Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\ Windows Firewall with Advanced Security\Inbound Rules.

　　14. 在Action 菜單, 點(diǎn)擊New Rule.

　　15. 在Predefined, 選擇 Remote Administration 后點(diǎn)擊Next.

　　16. 單擊Next 后點(diǎn)擊Finish.

　　17. 在rules 窗口, 點(diǎn)擊first rule 后在 Action 菜單, 點(diǎn)擊Properties.

　　18. 在Advanced 選項(xiàng),  Edge traversal, 點(diǎn)擊 Allow edge traversal 后點(diǎn)擊OK.

　　" 在使用DirectAccess的情況下, DirectAccess 服務(wù)器提供地址轉(zhuǎn)換.

　　19. 重復(fù)以上兩個(gè)步驟Repeat the previous two steps to allow edge traversal on the remaining two rules.

　　20. 關(guān)閉 Group Policy Management Editor.

　　21. 在Group Policy Management 控制臺(tái), 點(diǎn)擊Remote Computer Management.

　　22. 在Action 菜單, 點(diǎn)擊Enforced.

　　" o這項(xiàng)策略的實(shí)施，以確保為NAT traversal的防火墻設(shè)置沒(méi)有被所有計(jì)算機(jī)上的默認(rèn)域策略中定義的防火墻設(shè)置所覆蓋。

　　任務(wù)B：使用Group Policy 管理客戶(hù)端

　　步驟：

　　在此任務(wù)中，您將通過(guò)一個(gè)到客戶(hù)端桌面的快捷方式并使用組策略來(lái)管理一臺(tái)使用DirectAccess連接的客戶(hù)端計(jì)算機(jī)。

　　" 使用Woodgrovebank\Administrator 帳號(hào)和密碼Passw0rd!登錄到BAL-CLI-01。

　　1. 在Command Prompt, 輸入如下命令并按ENTER:

　　GPUPDATE /Force /Target:computer

　　" 組策略會(huì)自動(dòng)刷新，但我們強(qiáng)制它更新，以便加快實(shí)驗(yàn)速度。

　　2. 在desktop, 雙擊IT Support.

　　" Netlogon 文件夾將打開(kāi).

　　" 這表明，您可以在防火墻之外的計(jì)算機(jī)上通過(guò)DirectAcces連接應(yīng)用計(jì)算機(jī)級(jí)的策略。

　　3. 注銷(xiāo)BAL-CLI-01.

　　4. 切換到DEN-DC-01.

　　5. 在Start 菜單, Administrative Tools中, 點(diǎn)擊Computer Management.

　　6. 在Computer Management, Action 菜單上, 點(diǎn)擊 Connect to another computer.

　　7. 輸入BAL-CLI-01, 后點(diǎn)擊OK.

　　" 這表明，你可以在內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)使用管理工具，發(fā)起連接到計(jì)算機(jī)上的外部網(wǎng)絡(luò)，即使用戶(hù)沒(méi)有登錄。

　　" DirectAccess是一個(gè)計(jì)算級(jí)別的連接，而不是一個(gè)用戶(hù)發(fā)起的VPN。

【編輯推薦】

1. 性能高的Windows 7游戲兼容性
2. 微軟計(jì)劃開(kāi)發(fā)Office 15和Windows 8
3. 遵循GPL 微軟重新發(fā)布了Windows 7 下載安裝工具