Direct Access(以下簡(jiǎn)稱DA)是Windos 7和Windows Server 2008 R2中的一項(xiàng)新功能。憑借這個(gè)功能，外網(wǎng)的用戶可以在不需要建立VPN連接的情況下，高速、安全的從Internet直接訪問(wèn)公司防火墻之后的資源!

僅僅這一句話的描述，是否已經(jīng)足夠以讓你熱血沸騰?是的，不需要VPN了，不需要Token了，不需要SmartCard了，不需要漫長(zhǎng)的VPN撥號(hào)等待了!內(nèi)網(wǎng)外網(wǎng)之間的穿越變得如此之簡(jiǎn)單!Bill Gates說(shuō)什么來(lái)著，information at your finger tip。

這是一個(gè)大家企盼了很久的功能，這是一個(gè)讓移動(dòng)辦公者手舞足蹈的功能。讓我們看看Direct Access到底是何方神圣，我們從中是否能夠獲得實(shí)實(shí)在在的好處。

一. Direct Access功能概述

詳解Direct Access連接

Direct Access功能克服了VPN的很多局限性，它可以自動(dòng)地在外網(wǎng)客戶機(jī)和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接。Direct Access通過(guò)利用IP v6技術(shù)中的一些先進(jìn)特性做到了這一點(diǎn)。Direct Access使用IPsec進(jìn)行計(jì)算機(jī)之間的驗(yàn)證，這也允許了IT部門(mén)在用戶登錄之前進(jìn)行計(jì)算機(jī)的管理。

Direct Access工作時(shí)，客戶機(jī)建立一個(gè)通向DirectAccess Server的IP v6隧道連接。這個(gè)IP v6的隧道連接，可以在普通的IP v4網(wǎng)絡(luò)上工作，如下圖所示。DirectAccess Server承擔(dān)了網(wǎng)關(guān)的角色，連接內(nèi)網(wǎng)和外網(wǎng)之間。(圖1)

#p#

二. 環(huán)境描述

在這個(gè)實(shí)驗(yàn)中，Direct Access部署需要以下條件：

軟件配置：

" DC1：安裝Windows server 2008 R2的域控制器，同時(shí)是DNS、DHCP、企業(yè)根角色。

" DA1：安裝有Windows server 2008 R2的成員服務(wù)器，同時(shí)是Direct Access服務(wù)器，并且具備兩塊網(wǎng)卡。

" APP1：安裝有Windows server 2008 R2的成員服務(wù)器，同時(shí)是應(yīng)用程序服務(wù)器和網(wǎng)絡(luò)本地服務(wù)器。

" INET1：安裝有Windows server 2008 R2的獨(dú)立服務(wù)器，作為Internet DNS、web和DHCP服務(wù)器。

" Client1：安裝有Windows 7旗艦版，加入域，作為Direct Access客戶端。

網(wǎng)絡(luò)配置：

" DC1：10.0.0.1/24(CIDR表示法，同255.255.255.0)

" DA1：Intranet網(wǎng)卡10.0.0.2/24 DNS后綴：contoso.com

Internet網(wǎng)卡 131.107.0.2/24和131.107.0.3/24(DA服務(wù)器需要兩個(gè)公網(wǎng)IP地址) DNS后綴：isp.example.com

DNS記錄中添加別名記錄：crl.contoso.com

注意：這里的DNS后綴必須設(shè)置，因?yàn)檫@是DA服務(wù)器配置的必須條件

" APP1：10.0.0.3/24 DNS記錄中添加別名記錄：nls.contoso.com

" INET1：131.107.0.1/24

" Client1：131.107.0.10/24

Direct Access 軟件需求：

" DA客戶端：Windows 7企業(yè)版或旗艦版，Windows server 2008 R2或者更高。

" DA 服務(wù)器：Windows server 2008 R2 或者更高，至少擁有兩塊網(wǎng)卡連接公網(wǎng)和內(nèi)網(wǎng)。

" Active Directory：至少有基于Windows server 2008或者Windows server 2008 R2 的DC，并為GC角色，啟用IPv6.Windows server 2008 R2的域或林功能級(jí)別不是必須的。

注意：此環(huán)境中所有服務(wù)器均使用Windows server 2008 R2企業(yè)版，客戶端使用Windows 7旗艦版。(圖2)

#p#

三. 前期準(zhǔn)備：服務(wù)器配置

DC1配置

1. 安裝ADDS服務(wù)，使用DCPROMO命令創(chuàng)建域：contoso.com，并且林功能級(jí)Windows server 2008 R2。(圖3)

2. 設(shè)置DHCP中IPv4作用域范圍：10.0.0.100/24---10.0.0.150/24 DNS指定10.0.0.1。

3. 安裝一個(gè)企業(yè)根證書(shū)頒發(fā)機(jī)構(gòu)，配置選項(xiàng)默認(rèn)即可。

4. 為Direct Access Client電腦創(chuàng)建一個(gè)全局安全組，組名：DA_Clients。(圖4)

#p#

5. 使用證書(shū)模板為web服務(wù)器定制證書(shū)。

打開(kāi)MMC控制臺(tái)，在【添加刪除管理單元】中添加【證書(shū)模板】(圖5)

選中【web服務(wù)器】，右擊選擇【復(fù)制模板】(圖6)
 

選擇模板支持的版本(圖7)

定義新的證書(shū)名稱為【W(wǎng)eb Server 2008】(圖8)

在【安全】選項(xiàng)卡中，將【Authenticated Users】的權(quán)限設(shè)置為完全控制，并且添加域計(jì)算機(jī)組，同樣設(shè)置成完全控制。(圖9)
 

在【請(qǐng)求處理】選項(xiàng)卡中，選中【允許導(dǎo)出私鑰】(圖10)

確定后，打開(kāi)證書(shū)頒發(fā)機(jī)構(gòu)，在【contoso-DC1-CA】中，點(diǎn)擊【證書(shū)模板】，新建一個(gè)證書(shū)模板，添加剛創(chuàng)建的【W(wǎng)eb Server 2008】(圖11)

#p#

6. 在防火墻中啟用ICMPv4和ICMPv6

接下來(lái)需要啟用高級(jí)安全的Windows防火墻中ICMPv4和ICMPv6的入站和出站的回顯信息。這些信息被基于Teredo-based DirectAccess客戶端收發(fā)使用。

打開(kāi)組策略管理器，新建一個(gè)名為【DA Policy】的GPO，編輯它，依次展開(kāi)【計(jì)算機(jī)配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【高級(jí)安全Windows防火墻】-【入站規(guī)則】。點(diǎn)擊【新建規(guī)則】，選擇【自定義】(圖12、13)

規(guī)則程序默認(rèn)即可，在協(xié)議類(lèi)型中，選擇【ICMPv4】，點(diǎn)擊【自定義】，選擇【回顯請(qǐng)求】(圖14)
 

確定后，【作用域、操作、配置】默認(rèn)設(shè)置即可，輸入規(guī)則名稱：Inbound ICMPv4 Echo Requests，完成規(guī)則。

ICMPv6入站規(guī)則設(shè)置同ICMPv4一致，唯一要注意的是協(xié)議類(lèi)型處要選擇【ICMPv6】。

入站規(guī)則創(chuàng)建完成后，兩種協(xié)議出站規(guī)則也與入站規(guī)則大同小異，需要注意的是【操作】設(shè)置中，出站規(guī)則默認(rèn)是【阻止連接】狀態(tài)，要改為【允許連接】狀態(tài)。(圖15)

出站規(guī)則效果圖(圖16)
 

#p#

7. 將ISATAP從DNS默認(rèn)阻止列表中移除

以管理員權(quán)限打開(kāi)命令行，輸入：dnscmd /config /globalqueryblocklist wpad 即可。(圖17)
 

小貼士：ISATAP和6to4都是目前比較流行的自動(dòng)建立隧道的過(guò)渡技術(shù)，都可以連接被IPv4隔絕的IPv6孤島，都是通過(guò)將IPv4地址嵌入到IPv6地址當(dāng)中，并將IPv6封包封裝在IPv4中傳送，在主機(jī)相互通信中抽出IPv4地址建立tunnel。

8. 配置CRL(Certificate Revocation List)發(fā)布設(shè)置

打開(kāi)【證書(shū)頒發(fā)機(jī)構(gòu)】，點(diǎn)擊【contoso-DC1-DA】服務(wù)器屬性，在【擴(kuò)展】選項(xiàng)卡中【CRL分發(fā)點(diǎn)(CDP)】，添加新的分發(fā)點(diǎn)，位置輸入【http://crl.contoso.com/crld/】,變量分別添加【】【】【】，結(jié)尾處添加【.crl】，確定即可。(圖18)

選中剛創(chuàng)建好的分發(fā)點(diǎn)，勾選【包括在CRL中?？蛻舳擞盟鼇?lái)尋找增量CRL的位置】和【包含在頒發(fā)的證書(shū)的CDP擴(kuò)展中】。(圖19)

再次點(diǎn)擊【添加】，用來(lái)說(shuō)明CRL的列表位置。【位置】輸入【\\da1\crldist$\】此處為DA1中的隱藏共享文件夾，變量名依然勾選【<CAName>】【<CRLNameSuffix>】【<DeltaCRLAllowed>】，結(jié)尾處添加【.crl】。(圖20)
 

確定后，針對(duì)當(dāng)前分發(fā)點(diǎn)勾選【發(fā)布CRL到此為止】和【發(fā)布增量CRL到此位置】(圖21)
 

此時(shí)，CRL擴(kuò)展設(shè)定完成，確定后將會(huì)重啟AD證書(shū)服務(wù)。

小貼士：關(guān)于為什么要設(shè)置CRL分發(fā)點(diǎn)。

DirectAccess 服務(wù)器為通過(guò) IP-HTTPS 的連接使用的證書(shū)。由于 DirectAccess 客戶端對(duì) DirectAccess 服務(wù)器提交的 HTTPS 證書(shū)執(zhí)行證書(shū)吊銷(xiāo)檢查，因此必須確?？赏ㄟ^(guò) Internet 訪問(wèn)在此證書(shū)中配置的證書(shū)吊銷(xiāo)列表 (CRL) 分發(fā)點(diǎn)。如果 DirectAccess 客戶端無(wú)法訪問(wèn)這些 CRL 分發(fā)點(diǎn)，則基于 IP-HTTPS 的 DirectAccess 連接的身份驗(yàn)證會(huì)失敗。有關(guān)為 Active Directory 證書(shū)服務(wù) (AD CS) 配置 CRL 分發(fā)點(diǎn)的信息，請(qǐng)參閱"指定 CRL 分發(fā)點(diǎn)"(http://go.microsoft.com/fwlink/?LinkId=145848)。

9. 啟用自動(dòng)注冊(cè)計(jì)算機(jī)證書(shū)

再次打開(kāi)組策略編輯器，編輯【DA Policy】，依次展開(kāi)【計(jì)算機(jī)配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【公鑰策略】-【自動(dòng)證書(shū)申請(qǐng)?jiān)O(shè)置】-右擊【新建】-【自動(dòng)證書(shū)申請(qǐng)】，證書(shū)模板選擇【計(jì)算機(jī)】即可。(圖22)

至此，DC環(huán)境準(zhǔn)備已經(jīng)完成，下一篇，將繼續(xù)介紹DA、網(wǎng)絡(luò)位置服務(wù)器及客戶端的環(huán)境準(zhǔn)備。

【編輯推薦】

1. Win2008 R2之DA實(shí)戰(zhàn)：服務(wù)器部署篇
2. Win2008 R2之DA實(shí)戰(zhàn)：服務(wù)器環(huán)境準(zhǔn)備篇
3. Win2008 R2之DA實(shí)戰(zhàn)：DC FOR NAP準(zhǔn)備篇