DirectAccess是Windows 7和Windows Server 2008 R2中引入的一項新的功能，它能夠幫助企業(yè)中漫游的客戶端從Internet無縫的連接到公司的Intranet，訪問其中的資源。

說到從Internet訪問公司內(nèi)部的，人們首先想到的是使用VPN功能，VPN的原理是使用特殊的加密的通訊協(xié)議在不同的網(wǎng)絡(luò)之間建立一個隧道，然后使用一個和局域網(wǎng)中相同網(wǎng)段的IP地址，訪問企業(yè)內(nèi)網(wǎng)中的資源。隨著VPN的廣泛應(yīng)用，它的缺點也暴露無疑，主要有以下幾個方面：

1、連接VPN需要用戶來撥通，盡管這個過程可以配置成自動方式，但是它的連接過程是系統(tǒng)在登陸之后再進(jìn)行的，這時如果企業(yè)的中的一些配置要在系統(tǒng)啟動之前更新的話，漫游的客戶端將不會生效。

2、在現(xiàn)實的生活中我們常常會遇到網(wǎng)絡(luò)不穩(wěn)定的情況，如果Internet的連接斷掉，響應(yīng)的VPN又要重新?lián)芴枴?/p>

3、常用的VPN需要連接特定的端口，例如：PPTP 的TCP 1723，L2TP 的 1701，而這些端口在很多有防火墻或者使用代理上網(wǎng)的場合并沒有開啟，當(dāng)然VPN連接也就不能正常建立了。

4、在撥通VPN的情況下，如果您要訪問Internet的情況，還是好通過intranet來進(jìn)行中轉(zhuǎn)，即使將網(wǎng)關(guān)設(shè)置為本地的網(wǎng)關(guān)，查詢DNS等的流量還是要通過intranet來進(jìn)行中轉(zhuǎn)，無疑這樣造成了帶寬的浪費，同時用戶訪問Internet的體驗也有所下降。

正應(yīng)為VPN有著以上缺點，我們常常避免使用VPN，而用特定的應(yīng)用程序網(wǎng)關(guān)來代替，比如：Exchange中的RPC over HTTP，遠(yuǎn)程桌面網(wǎng)關(guān)等，使用http（https）的流量來連接內(nèi)網(wǎng)的應(yīng)用程序服務(wù)器。

現(xiàn)在有了Windows Server 2008R2中DirectAccess以上的問題可以迎刃而解，DirectAccess非常好的結(jié)合IPv6和IPsec中優(yōu)點，在客戶端計算機和企業(yè)內(nèi)網(wǎng)之間自動建立了一個雙向的連接，是的用戶可以無縫的訪問公司的intranet，并且企業(yè)也可以對漫游的客戶機進(jìn)行一個實時的管理。DirectAccess能夠在用戶登錄之前連接到企業(yè)的intranet，這樣不需要用戶的登錄，管理員也能夠?qū)蛻舳说难a丁、軟件和安全策略等待一些設(shè)置進(jìn)行更改和更新。

DirectAccess中一個重大的革新，就是使用了IPv6。想必很多人都聽說過，但是都覺得這個東西離自己很遠(yuǎn)，其實在我們的操作系統(tǒng)中都已經(jīng)內(nèi)置了IPv6，而且有些功能也是通過IPv6來實現(xiàn)的。Windows7中的家庭組就使用的IPv6功能，如果您使用PING命令來測試在家庭組的各臺計算機的連通性的話，您將會看到返回的是一個IPv6的地址。DirectAccess更是利用了IPv6的優(yōu)點。將IPv6技術(shù)應(yīng)用到從Internet訪問intranet，很多人覺得不太可能。畢竟現(xiàn)有的internet是不能直接傳遞IPv6的流量的，到底是怎么實現(xiàn)的呢？

其實在IPv6的設(shè)計之初，就已經(jīng)考慮到了這個問題。為此制訂了一些特殊的IPv6 over IPv4的協(xié)議，例如6to4，teredo等等。有了這些特殊的協(xié)議在現(xiàn)有的IPv4的網(wǎng)絡(luò)中也能夠傳遞IPv6的流量。Windows Server 2008 R2中將這些協(xié)議集合應(yīng)用在一起就產(chǎn)生了DirectAccess，DirectAccess中使用了istap，6to4，teredo和IP-HTTPS等一系列的特殊協(xié)議，在IPv4的網(wǎng)絡(luò)中建立了一個IPv6的隧道，在其中傳遞數(shù)據(jù)。同時這個數(shù)據(jù)時通過IPsec加密過的，保證了數(shù)據(jù)傳遞的安全。

DirectAccess自動根據(jù)客戶端的環(huán)境選擇響應(yīng)的隧道協(xié)議。

1、在客戶使用公網(wǎng)的IPv4地址時將會使用6TO4來建立IPv6隧道，例如在家里使用ADSL是將使用這種方式。

2、如果計算機處在NAT之后，將會使用teredo協(xié)議來建立IPv6隧道，例如在使用路由器共享上網(wǎng)的時候就是采用的這種方式。

3、當(dāng)客戶端無法通過以上兩種方式建立隧道的時候，將會使用HTTPS來建立一個IP-HTTPS的隧道，客戶端在防火墻之后或者使用代理上網(wǎng)的時候就使用的是這種方式。

DirectAccess使用了IPsec來保證了連接過程中數(shù)據(jù)的安全。DirectAccess連接過程中會建立兩條不同的IPsec加密的隧道。其中一條隧道是使用計算機證書建立的，用來訪問域控制器（DC）和intranet中的DNS服務(wù)器，另外一條是使用計算機證書和用戶憑據(jù)建立的，用來訪問intranet中的應(yīng)用服務(wù)器

DirectAccess通過Name Resolution Policy Table名稱解析策略表（NRPT）來判斷客戶要訪問Internet還是intranet。

它將按 DNS 命名空間而不是按網(wǎng)絡(luò)接口來定義 DNS 服務(wù)器。利用 NRPT，客戶端可以避免原來的 DNS查詢，可以直接訪問 DirectAccess 服務(wù)器。當(dāng)客戶端訪問具有和Intranet相同的域名的服務(wù)器時，將直接通過IPv6隧道訪問Intranet內(nèi)部的服務(wù)器。在訪問其他域名的服務(wù)器時，將還是通過DNS服務(wù)器進(jìn)行查詢，然后訪問到Internet。這樣就實現(xiàn)了Internet和intranet流量的分離，節(jié)約了不必要的帶寬開銷。

DirectAccess提供了更加靈活和安全的保護(hù)方式。根據(jù)用戶的配置有兩種保護(hù)模式：點對點、點對邊緣。在點對點的保護(hù)模式中，DirectAccess客戶端和要訪問的服務(wù)器之間建立了IPsec會話，這樣提供更佳的保護(hù)。點對邊緣的模式中，DirectAccess客戶只與DirecAccess服務(wù)器建立IPsec會話，這種模式雖然安全基本有所降低，但是這種模式的適用范圍更加廣闊。

以上說了DirectAccess這么多的優(yōu)點，有幾個優(yōu)點我的體會比較深刻：其一是DirectAccess的在使用代理和在防火墻之后的使用。在原來使用VPN的時候，在有的地方由于使用了防火墻組織了相關(guān)VPN的端口或者通過代理上網(wǎng)的時不能連接到公司VPN，這樣也就沒法訪問公司的資源了。但是在使用DirectAccess時就不會發(fā)生這種現(xiàn)象，由于DirectAccess使用了IP-HTTPS隧道，在防火墻之后或者在使用代理是只要HTTPS端口是開放的，就能連通。其二是DirectAccess對Internet還是intranet流量的分離。原來在家里的時候要訪問公司的資源就要撥通VPN，而在撥通VPN的時候Internet往往要中斷一下，而且撥通VPN后上Internet的速度有了明顯的下降，而且如果公司的DNS沒有配置對外網(wǎng)查詢時就沒法上網(wǎng)了。

現(xiàn)在使用DirectAccess時，由于機器啟動之后就連接了DirectAccess，訪問公司內(nèi)部的時候就和在公司使用時沒有什么兩樣，同時訪問Internet的速度沒有絲毫的下降，而且在連接Internet時還是使用的客戶機配置的DNS服務(wù)器，不會出現(xiàn)由于DNS配置而造成的不能上網(wǎng)的情況。其三就是DirectAccess的穩(wěn)定性。原來使用VPN的時候，在Internet的連接不穩(wěn)定的時候（例如在使用3G上網(wǎng)卡時），一旦Internet的連接中斷，VPN就要重新?lián)芴?。而DirectAccess會自動適應(yīng)網(wǎng)絡(luò)的變化，在Internet恢復(fù)的時候自動重新連接，這個過程完全是自動的，用戶根本沒有感覺。

由于DirectAccess實在是太新了，他和VPN相比還有一些局限。首先是由于涉及到Name Resolution Policy Table、IP-HTTPS和新增的組策略等待一系列的變化，它只適用于Windows7和Windows Server 2008R2，不支持原來的VISTA和XP等操作系統(tǒng)，而VPN幾乎支持所有的操作系統(tǒng)。其次是DirectAccess需要客戶端計算機加入域，而VPN 不管是否加域都能夠連接。

再次是DirectAccess需要客戶端計算機加入域加入域，然后管理員將計算機加入到相應(yīng)的“組”中來進(jìn)行初始化的配置，而VPN只需要一個服務(wù)器地址加上用戶名密碼就能夠可以了。還有，DirectAccess需要訪問的公司intranet的服務(wù)器必須含有一個IPv6的地址，一些基于IPv4的應(yīng)用是沒法通過DirectAccess來訪問的。雖然有以上的一些局限，但是瑕不掩瑜。從Internet訪問intranet的所有技術(shù)中，DirectAccess在連接的穩(wěn)定性、可靠性、安全性和連接的速度都具有很大的優(yōu)勢。

DirectAccess是Windows7和Windows Server 2008R2中一項重要功能，同時是目前將IPv6技術(shù)應(yīng)用在操作系統(tǒng)中的一項非常成功的實踐，相信隨著時間的推移，DirectAccess技術(shù)也會不斷的改進(jìn)和更新，同時在網(wǎng)絡(luò)中IPv6的應(yīng)用也會更加的廣泛。