雖然普通大眾現(xiàn)在終于有機會一睹 Windows Server 2008 R2 和 Windows 7 的芳容，但有一些幸運兒自 5 月份起就在使用候選發(fā)布版 (RC) 代碼，8 月份已經(jīng)在使用批量生產(chǎn) (RTM) 版本。不管您身處哪個群體，都可能已被鋪天蓋地的宣傳所淹沒。例如，您可能受邀參加一個 Windows 7 預(yù)覽招待會，就像我一樣（我的女婿舉辦了一個招待會，但只是因為他想要從 Microsoft 免費獲得這份軟件）。即使您幸免于這種大肆宣傳的干擾，您也可能無法避開眾多媒體的報道，報道中對這兩種產(chǎn)品的新功能毀譽參半，而這兩種產(chǎn)品均源于新的代碼樹并構(gòu)成了新的操作系統(tǒng)。

BranchCache 和 DirectAccess 無疑是這些版本中最耀眼的功能，非常值得您的關(guān)注。Microsoft 寄望 BranchCache 向分支機構(gòu)員工提供與公司總部同事一樣的文件處理體驗。而通過 DirectAccess，Microsoft 將目標(biāo)指向通過虛擬專用網(wǎng)絡(luò) (VPN) 連接到公司網(wǎng)絡(luò)的遠程用戶。

一如既往，對于 Microsoft 的新產(chǎn)品，您可以只選擇您需要的功能。這一次，您可以只實現(xiàn) BranchCache 和 Windows 7 客戶端及 2008 R2 服務(wù)器。下面我們對每項新功能逐一進行深入探討。

BranchCache

BranchCache 將通過在 Windows Server 2008 R2 服務(wù)器或用戶工作站上本地緩存常用文件來改善分支機構(gòu)的體驗，而不是強制用戶通過位于集中位置的網(wǎng)絡(luò)共享來訪問文件。BranchCache 非常棒，但也有一些需要注意的問題。

IT 部門可以在分布式緩存模式或托管式緩存模式下部署 BranchCache（請參見圖 1）。IT 部門可通過組策略配置模式，這樣，若要在一個分支機構(gòu)使用托管模式而在另一個分支機構(gòu)使用分布式模式，則需實現(xiàn)兩個策略并相應(yīng)規(guī)劃組織單位 (OU) 結(jié)構(gòu)。Microsoft 建議在不超過 50 個客戶端的站點中部署分布式緩存模式，但這要取決于 WAN 鏈接的速度和帶寬以及其他因素。分布式緩存模式需要更大的硬盤并可能需要更多內(nèi)存和其他資源，因此有時使用托管式緩存模式更為有利，尤其是在站點中已有一臺 2008 R2 服務(wù)器的情況下。另外，分布式緩存模式只適用于本地子網(wǎng)。因此，如果某站點中有多個子網(wǎng)，則每個子網(wǎng)上的客戶端都必須緩存文件，這樣該子網(wǎng)上的其他客戶端才能下載該文件。但是，托管式緩存模式可以服務(wù)于站點上的多個子網(wǎng)，這成為選擇托管式緩存模式的另一個理由。

圖 1 分支機構(gòu)可以在分布式模式或托管式模式下使用 BranchCache。

在分布式緩存模式下，分支機構(gòu)中不存在文件服務(wù)器。實際上，通過設(shè)置策略，所有用戶計算機都可以成為 BranchCache 客戶端，也就是說，它們能夠緩存分支站點中其他客戶端可以下載的文檔（如果這些文檔是最新版本）。

例如，假設(shè) Caroline 從中心站點一臺啟用了 BranchCache 的文件服務(wù)器請求文檔 Reports.docx。BranchCache 發(fā)送描述該文件內(nèi)容的元數(shù)據(jù)。然后，將使用元數(shù)據(jù)中的哈希值在本地子網(wǎng)中搜索內(nèi)容。如果未找到搜索內(nèi)容，則在該用戶計算機的本地驅(qū)動器上緩存一個副本。在當(dāng)日晚些時候，Tyler 需要修改 Reports.docx，因此他訪問總部文件服務(wù)器上的共享位置以便獲取一個副本進行編輯。該文件服務(wù)器返回元數(shù)據(jù)，該客戶端隨后搜索內(nèi)容，它在 Caroline 的計算上找到搜索的內(nèi)容并從該計算機進行下載。通過使用從元數(shù)據(jù)中的哈希值派生的加密密鑰，這一過程可安全進行。第二天，Abigail 需要修改同一文檔。過程是相同的，但她打開的將是緩存在 Tyler 的計算機上的副本。同樣，版本信息仍然保留在服務(wù)器上?？蛻舳嗽L問服務(wù)器以確定在客戶端的站點上是否存在最新版本的副本。

用戶在處理各種文檔時將應(yīng)用三種 BranchCache 方案，這只是其中一種。另外兩種方案如下：

• 一個分支機構(gòu)工作人員向總部文件服務(wù)器請求一個沒有在本地計算上緩存的文檔。該用戶收到一個副本，該副本隨后緩存于本地。
• 一個分支機構(gòu)工作人員向文件服務(wù)器請求一個在本地站點進行緩存的文檔，但緩存該文檔的計算機已關(guān)機。該客戶端從文件服務(wù)器獲得一個新副本，然后將該副本緩存在自己的計算機上。后續(xù)請求將轉(zhuǎn)向最近緩存的這個副本。

在每一種情況下，文檔都同時保存到總部文件服務(wù)器上。這樣，如果 Caroline 回來訪問該文檔而現(xiàn)在擁有最新版本的 Abigail 的計算機已關(guān)機，則她將從總部服務(wù)器接收該文檔。

在托管式緩存模式下，IT 部門可為分支機構(gòu)中的 Windows 2008 R2 文件服務(wù)器配置 BranchCache，方法是安裝 BranchCache 功能并配置一個組策略以通知客戶端使用托管式緩存模式。針對分布式緩存模式描述的過程在這里同樣適用，只不過文件緩存在本地配置的 BranchCache 服務(wù)器上，而不是用戶計算機上。

注意：當(dāng)從一臺啟用 BranchCache 的服務(wù)器請求文件時，由總部站點文件服務(wù)器維護的內(nèi)容元數(shù)據(jù)將發(fā)送到每個客戶端。這是為了確定是否有任何本地客戶端或服務(wù)器（具體取決于使用哪種緩存模式）擁有最新副本。

分支站點上啟用了 BranchCache 的服務(wù)器可用于其他目的，例如，可用作 Web 或 Windows Server Update Services (WSUS) 服務(wù)器。在這些情況下有一些特別的注意事項，相關(guān)內(nèi)容請參見 Microsoft BranchCache 部署指南和 Microsoft BranchCache 前期應(yīng)用指南。

BranchCache 配置

若要配置 BranchCache，您需要了解組策略對象 (GPO) 的工作方式，并了解如何在 OU 結(jié)構(gòu)中對組策略對象進行配置以影響每個站點中的計算機。請記住，BranchCache 方案中涉及的所有服務(wù)器都必須為 Windows Server 2008 R2，所有客戶端都為 Windows 7 客戶端。過程如下：

步驟 1：通過服務(wù)器管理器安裝 BranchCache 功能。

步驟 2：如果您正在文件服務(wù)器上使用 BranchCache，則需要針對遠程文件安裝文件服務(wù)角色以及 BranchCache（請參見圖 2）。

圖 2 BranchCache 安裝需要針對遠程文件角色啟用文件服務(wù)和 BranchCache。

步驟 3：配置 BranchCache GPO。轉(zhuǎn)到“計算機配置”|“策略”|“管理模板”|“網(wǎng)絡(luò)”|“BranchCache”。您將看到 5 個可能的設(shè)置：

• 啟用 BranchCache。必須針對所有分支緩存啟用這個選項（請參見圖 3）。請注意，如果啟用 BranchCache 而不啟用“分布式”或“托管式”緩存模式策略設(shè)置，則會使本地 Windows 7 客戶端在本地緩存文件。這在多個用戶使用同一臺計算機的情況下十分有用。

   

  

圖 3 在組策略管理控制臺中針對分支機構(gòu)緩存啟用 BranchCache。

• 設(shè)置 BranchCache 分布式緩存模式。這適用于 GPO 中的所有客戶端。
• 設(shè)置 BranchCache 托管式緩存模式。指定用于承載緩存的服務(wù)器。這些角色是相互排斥的。只能為站點配置一個角色。
• 針對網(wǎng)絡(luò)文件配置 BranchCache。如果未配置也未禁用，則會定義 80 毫秒的延遲閾值。如果文件請求時間超過 80 毫秒，則該文件將進入緩存。啟用此設(shè)置，然后根據(jù)需要更改延遲值。
• 設(shè)置用于客戶端計算機緩存的磁盤空間百分比。默認情況下，將設(shè)置為用戶磁盤空間的 5%。您需要調(diào)試這個設(shè)置，從而按合理的比例分配緩存空間和用戶所需空間。如果您擁有大小差異很大的磁盤配置，這可能會成為一個問題，因為某些配置的緩存容量會高于另一些配置的緩存容量。

步驟 4：在 BranchCache 策略中配置 GPO 設(shè)置“LanMan 服務(wù)器”。在步驟 3 中的同一 GPO 區(qū)域，轉(zhuǎn)到“LanMan 服務(wù)器”設(shè)置，然后查看“分支緩存的哈希發(fā)布”屬性。有以下三個選項：

• 禁止對所有共享文件夾進行哈希發(fā)布。
• 允許對所有共享文件夾進行哈希發(fā)布。
• 僅允許對啟用分支緩存的共享文件夾進行哈希發(fā)布。

在 2008 R2 服務(wù)器上運行“文件服務(wù)”服務(wù)器角色的服務(wù)器（應(yīng)為 BranchCache 內(nèi)容服務(wù)器）必須還要針對“網(wǎng)絡(luò)文件服務(wù)”角色運行 BranchCache，并且必須啟用哈希發(fā)布。還將單獨對文件共享啟用 BranchCache?？蓪Ψ?wù)器單獨啟用哈希發(fā)布（例如，針對非域服務(wù)器配置），或通過組策略對服務(wù)器組啟用哈希發(fā)布。這樣，就可以對所有共享文件夾啟用、對部分共享文件夾啟用或者完全禁用 BranchCache。

步驟 5：在 Windows 防火墻中配置 GPO 設(shè)置以允許使用入站 TCP 端口 80（適用于客戶端計算機）。

步驟 6：完成每項配置之后，如果用戶的文件存在文件共享，則轉(zhuǎn)到“服務(wù)器管理器”|“文件服務(wù)”|“共享和存儲管理”。文件共享列在中間窗格中。右鍵單擊共享并選擇“屬性”，然后單擊“高級”。在“緩存”選項卡上，啟用 BranchCache（請參見圖 4）。注意：如果沒有 BranchCache 選項，則說明沒有正確安裝 BranchCache 功能，或者已將該策略設(shè)置為禁用，如前所述。

圖 4 使用“共享和存儲管理”控件對 BranchCache 啟用文件共享。

BranchCache 客戶端配置

默認情況下，所有 Windows 7 客戶端都啟用 BranchCache，這意味著在客戶端上不必執(zhí)行啟用操作。不過，仍需執(zhí)行一些與客戶端相關(guān)的步驟：

• 配置防火墻設(shè)置。除了前面所做的一些說明，托管式緩存模式還有另外一些要求。請參閱本文末尾列出的有關(guān) BranchCache 的 Microsoft 文檔。
• 客戶端所在 OU 中須包含一項策略，該策略啟用 BranchCache 并定義要使用的緩存模式。有關(guān)詳細信息，同樣請參閱本文末尾列出的文檔。

BranchCache：優(yōu)點

下面是我所喜歡的 BranchCache 的一些方面：

• 如果用戶已登錄，那么即使應(yīng)用程序退出，該功能也可以使用后臺智能傳輸系統(tǒng) (BITS) 在后臺啟用文件傳輸。這對于通過慢速鏈接相連的分支機構(gòu)而言是一個非常好的功能。如果系統(tǒng)需要重新啟動，則文件傳輸會在系統(tǒng)啟動完成后繼續(xù)進行。當(dāng)然，為了使用這一功能，編寫的應(yīng)用程序必須能夠利用 BITS。
• BranchCache 可通過 Netsh 命令行實用工具進行配置，并且在 TechNet 站點“適用于 Windows Server R2 的 BranchCache”上有完整的文檔記錄。
• 您可以通過用于客戶端、文件服務(wù)器和緩存主機的計數(shù)器來監(jiān)視 BranchCache 性能。這些不僅對于性能診斷有幫助，而且據(jù)我所知，觀察這些計數(shù)器也是查看客戶端是否真正獲得緩存副本的唯一方法。
• BranchCache 環(huán)境可通過組策略進行控制。

BranchCache：缺點

BranchCache 肯定會有它的一席之地，但要留意它的以下缺點：

• 由于分布式緩存模式實質(zhì)上將每個工作站都轉(zhuǎn)變?yōu)槲募?wù)器，因此，承載大量經(jīng)常訪問的文件的客戶端計算機在性能方面可能會受到影響。實際影響程度有多大需要進行一些測試。
• 在某些情況下，客戶端可能需要額外磁盤空間以獲取足夠的緩存大小。
• 此時，緩存客戶端將與其他客戶端爭用網(wǎng)絡(luò)資源。
• 在初始緩存過程中或在緩存中沒有可用的文件時，可能會出現(xiàn)意外的延遲。只有 Windows 7 客戶端和 Windows Server 2008 R2 服務(wù)器可以參與使用此功能，因此，此功能的全面普及可能需要一段時間。

如果您可以確定在分支機構(gòu)中布置文件服務(wù)器的合理性，何不使用分布式文件共享 (DFS)？您可以使用分布式文件系統(tǒng)復(fù)制 (DFS-R) 功能來復(fù)制文件并使用 DFS 來維護一個命名空間，而不會經(jīng)歷在四處緩存文件的混亂情況。您可能會發(fā)現(xiàn)對網(wǎng)絡(luò)文件進行緩存的優(yōu)點，而且 BranchCache 或許適用于 DFS 共享?；蛘?，您或許會發(fā)現(xiàn)緩存效率高于 DFS-R 效率的某種性能邊界。另一方面，BranchCache 對服務(wù)器的影響將小于完備 DFS 配置的影響。關(guān)鍵是您必須弄清自己的需要，并研究 BranchCache 所提供的選項。當(dāng)然，每個環(huán)境都是不同的，在一些分支機構(gòu)中出現(xiàn)的問題不一定在其他分支機構(gòu)中也出現(xiàn)。不存在適用于所有情況的唯一答案。

DirectAccess

通過 DirectAccess，Microsoft 解決了用戶自 Windows 2000 以來一直存在的不佳 VPN 體驗問題（雖然 VPN 技術(shù)自初始實施以來有了很多改進，但仍未提供良好的使用體驗）?？蛻舳嗽谂渲?DirectAccess 之后可以從遠程位置訪問 Intranet 站點，而不必手動建立 VPN 鏈接。另外，對 IT 人員的好消息是，他們可以通過 Internet 連接（而不必通過 VPN）來管理遠程計算機。即使沒有 DirectAccess，遠程用戶也可以利用新的自動重新連接 VPN 功能。因此，如果我正在家里工作并已連接到我們公司的 Intranet，而 Internet 鏈接斷開，那么 VPN 將在 Internet 鏈接恢復(fù)時重新建立連接，而不必麻煩我重新連接并重新輸入憑據(jù)，但在以前沒有 DirectAccess 的時候我經(jīng)常需要這樣做。

實際上，DirectAccess 對于用戶是透明的。當(dāng)一個已啟用的客戶端上的用戶單擊 Intranet 鏈接時，DirectAccess 會負責(zé)處理連接的建立和斷開。用戶不必打開連接管理器、輸入其憑據(jù)、等待連接等。

在遠程連接處于活動狀態(tài)時，默認情況下用戶有一個“拆分隧道”配置（請參見圖 5）。通過該配置，可以同時訪問 Intranet、本地網(wǎng)絡(luò)（用于使用打印機等設(shè)備）和 Internet。在一個沒有拆分隧道的典型 VPN 方案中，連接到 Internet 意味著首先跳轉(zhuǎn)到 Intranet 上，然后再通過公司網(wǎng)絡(luò)網(wǎng)關(guān)進行連接。另外，我無法訪問我的本地網(wǎng)絡(luò)，雖然有一些變通的解決方法。因此，與傳統(tǒng) VPN 相比，這是 DirectAccess 設(shè)計可為遠程用戶提供更多“辦公室”體驗的又一方面。

圖 5 DirectAccess 實現(xiàn)了一個拆分隧道配置以同時連接到公司網(wǎng)絡(luò)和 Internet。

從 IT 人員的角度來看，一旦計算機連接在 Internet 上（請記住，DirectAccess 一旦安裝則始終啟用），就可以十分方便地應(yīng)用補丁程序、策略和其他更新，并通過 IPsec 連接保證安全。

DirectAccess 要求

在基本 DirectAccess 配置中，DirectAccess 服務(wù)器位于邊界網(wǎng)絡(luò)上，向遠程用戶提供到內(nèi)部資源的連接，這些內(nèi)部資源包括應(yīng)用程序服務(wù)器、證書頒發(fā)機構(gòu) (CA)、DNS 和域控制器 (DC)。CA 和應(yīng)用程序服務(wù)器必須配置為接受 IPv6 通信。下面是 DirectAccess 配置的基本組件：

• 在 Active Directory 域中，DirectAccess 客戶端只能訪問 Windows 2008 或 2008 R2 DC。
• 組策略定義必須強制執(zhí)行 DirectAccess 設(shè)置，以便能夠：
  • 確定 DirectAccess 客戶端。
  • 配置名稱解析策略表 (NRPT)。
  • 從 DNS 全局限制列表刪除站內(nèi)自動隧道尋址協(xié)議 (ISATAP)。

• DirectAccess 服務(wù)器必須：
  • 是 Active Directory 域的成員。
  • 在 Windows Server 2008 R2 上運行。
  • 配置兩個網(wǎng)絡(luò)適配器（一個用于 Intranet 連接，另一個用于 Internet 連接）。
  • 具有兩個可在外部解析的連續(xù)靜態(tài) IPv4 地址。

• 安裝有 DirectAccess 管理功能（通過服務(wù)器管理器），運行安裝向?qū)б赃M行配置。

• IIS/Web 服務(wù)器實現(xiàn)了用于確定是否可以訪問 Intranet 資源的功能。應(yīng)用程序服務(wù)器必須配置為允許通過啟用 DirectAccess 的客戶端進行訪問。
• 為了與所需 CA 一起使用，請安裝 Active Directory 證書服務(wù)并頒發(fā)證書以進行身份驗證。
• 必須在整個 Intranet 范圍提供本機 IPv6 網(wǎng)絡(luò)或轉(zhuǎn)換技術(shù)。
• 通過用于安全身份驗證的 IPsec 策略和 DirectAccess 連接加密，客戶端可在用戶登錄之前對用戶進行身份驗證。
• 您可在 Microsoft DirectAccess 前期應(yīng)用指南中找到必要的防火墻例外。

如您所見，DirectAccess 的實施并非坦途。僅 IPv6 一項要求就必然會引發(fā)憂慮，它要求大多數(shù)組織都實現(xiàn)轉(zhuǎn)換技術(shù)，但 2008 R2 已有相應(yīng)組件。另外，您必須通過公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 實現(xiàn)安全性，提供身份驗證服務(wù)，并向應(yīng)用程序服務(wù)器設(shè)置 IPv6 標(biāo)識。在運行 DirectAccess 安裝向?qū)е埃€需要配置安全組，建立防火墻策略，設(shè)置 DNS 并滿足其他一些先決條件。

DirectAccess 服務(wù)器

DirectAccess 服務(wù)器將執(zhí)行通過服務(wù)器管理器的 DirectAccess 安裝向?qū)Фx的多種功能（請參見圖 6）。

圖 6 通過服務(wù)器管理器啟動 DirectAccess 安裝。

DirectAccess 向?qū)?zhí)行 4 項基本任務(wù)。通過該向?qū)?，您可以?/p>

1. 確定需要啟用 DirectAccess 的客戶端。您可以在這里列出其他域或林中的安全組（如果已配置信任）。您必須在運行該向?qū)е岸x相應(yīng)的安全組。
2. 針對 DirectAccess 服務(wù)器定義連接性和安全性（證書）。您將確定哪個網(wǎng)絡(luò)接口位于 Internet 一端，以及哪個接口連接到 Intranet。在運行 DirectAccess 安裝向?qū)е?，先安裝 CA 并創(chuàng)建證書。另外，還要定義智能卡策略。
3. 確定在 DirectAccess 環(huán)境中使用的 DNS、DC 以及（可選）管理服務(wù)器和其他基礎(chǔ)結(jié)構(gòu)服務(wù)器。您還必須確定一個高可用性服務(wù)器作為網(wǎng)絡(luò)位置服務(wù)器。DirectAccess 服務(wù)器可充當(dāng)這一角色。
4. 確定配置為從 DirectAccess 客戶端接受連接的應(yīng)用程序服務(wù)器。默認設(shè)置為沒有額外的端到端授權(quán)，但您可以選擇基于 IPsec 策略的安全選項。

DNS 和 NRTP

如前所述，DirectAccess 客戶端可直接訪問 Intranet。為了實現(xiàn)這一點，您必須實現(xiàn) NRPT，它將按 DNS 命名空間而不是按網(wǎng)絡(luò)接口來定義 DNS 服務(wù)器。我將這種設(shè)置視為在 Windows 2003 和 2008 DNS 服務(wù)器上進行條件轉(zhuǎn)發(fā)的方式，您可在這些服務(wù)器上使用相應(yīng) IP 地址來定義 DNS 命令空間以連接到服務(wù)器。利用 NRPT，客戶端可以避免往常的 DNS 迭代，可以直接訪問 DirectAccess 服務(wù)器。

NRPT 的工作方式如下（請參見圖 7）：

1. 一個名稱查詢請求與公司 Intranet 的一個已配置命名空間匹配，該請求指向 DirectAccess 服務(wù)器。
2. NRPT 包含 IP 地址和該 DirectAccess 服務(wù)器的完全限定域名 (FQDN)。當(dāng)使用該 IP 地址時，將對 DNS 服務(wù)器的連接進行加密以獲得安全連接。
3. 當(dāng)使用 FQDN 時，它必須通過 Internet 進行解析，并查找公司 DNS 服務(wù)器。
4. 如果客戶端針對 NRPT 中沒有定義的命名空間（如 www.microsoft.com）發(fā)送一個名稱解析請求，則該請求遵循通過 Internet 進行的正常名稱解析過程。
    

圖 7 NRPT 支持按 DNS 命名空間而不是按接口來定義 DNS 服務(wù)器。

NRPT 是在 DirectAccess 安裝過程中在“基礎(chǔ)結(jié)構(gòu)服務(wù)器安裝”頁上配置的，安裝向?qū)⑻顚?DNS 服務(wù)器的 IPv6 地址。名稱解析策略（2008 R2 的一個新增組策略設(shè)置）定義了特定策略設(shè)置（如 IPsec）、DNS 服務(wù)器以及當(dāng)命名空間不在所查詢的網(wǎng)絡(luò)中時發(fā)生名稱解析回退的方式。您將在“計算機配置”|“Windows 設(shè)置”|“名稱解析策略”中找到該策略（請注意，必須輸入帶有前導(dǎo)點“.”的域命名空間，例如 .emea.corp.net）。

可以使用 Netsh 命令公開 NRPT 內(nèi)容：Netsh name show policy。

此命令將顯示所定義的命名空間。

防火墻例外

防火墻例外將取決于您如何實現(xiàn) IPv6 網(wǎng)絡(luò)以及是否使用轉(zhuǎn)換技術(shù)。另外，遠程客戶端必須連接到的任何文件或應(yīng)用程序服務(wù)器都需要相應(yīng)配置 Windows 防火墻。下面的圖 8 和圖 9 分別顯示了 DirectAccess 服務(wù)器 Internet 一端和 Intranet 一端的防火墻例外。顯然，您只需針對正在使用的技術(shù)來設(shè)置例外。（請注意，雖然圖 9 列出了 IPv4+NAT-PT，但 Windows 2008 R2 不實現(xiàn)此設(shè)置。）

連接 - IPv6

由于 IPv6 允許 DirectAccess 客戶端保持與公司網(wǎng)絡(luò)上資源的連續(xù)連接，因此，這些客戶端必須都運行該協(xié)議。即使擁有完全實現(xiàn)的 IPv6 網(wǎng)絡(luò)，允許遠程連接可能也需要使用一種轉(zhuǎn)換技術(shù)，該轉(zhuǎn)換技術(shù)將允許 DirectAccess 客戶端通過在 IPv4 數(shù)據(jù)包內(nèi)封裝 IPv6 來連接到 IPv4 資源。這些技術(shù)包括 6to4、IP-HTTPS 和 Teredo。 ISATAP 也是一種封裝技術(shù)，但僅在內(nèi)部使用。我在這里不進行詳細介紹，但圖 10 顯示了基本的連接選項。

圖 10 DirectAccess 客戶端的首選連接選項

信息來源：Microsoft

在 Intranet 一端，如果沒有本機 IPv6，則 DirectAccess 允許使用 ISATAP，ISATAP 將從 IPv4 地址生成一個 IPv6 地址，并實現(xiàn)其自身的鄰居發(fā)現(xiàn)。ISATAP 使用已啟用 DirectAccess 的客戶端來訪問 IPv4 網(wǎng)絡(luò)上的資源。例如，當(dāng) ISATAP 客戶端啟動時，它必須找到一個 ISATAP 路由器。它將通過針對 ISATAP.<域名> 發(fā)出 DNS 查詢進行查找。因此，對于 Corp.net，它將查找 ISATAP.corp.net。Windows 2008 DNS 實現(xiàn)了 GlobalQueryBlockList，這是一項默認情況下包含 ISATAP 的附加安全功能。該功能將使其忽略任何 ISATAP.<域名> 請求。因此，您必須將 ISATAP 從列表中清除。為此，可以使用 DNSCMD 命令或創(chuàng)建一個注冊表項。

在命令提示符下，輸入 dnscmd /config /globalqueryblocklist wpad，然后按 Enter。這會將 GlobalQueryBlockList 定義為僅包含 WPAD（從而刪除 ISATAP）。您還可通過訪問位于以下位置的注冊表項來完成此工作：

HKLM:\System\Current Control Set\Services\DNS\Parameters。編輯 GlobalQueryBlockList 并刪除 ISATAP。

您還可以單獨在各個主機上或在整個網(wǎng)絡(luò)上實現(xiàn) 6to4，并通過 IPv4 網(wǎng)絡(luò)傳輸 IPv6 數(shù)據(jù)包。有趣的是，如果 6to4 是針對整個網(wǎng)絡(luò)實現(xiàn)的，則它僅需要一個 IPv4 地址。它不支持 IPv4 主機和純 IPv6 主機之間的通信。

Teredo 也提供要路由到 IPv4 網(wǎng)絡(luò)的 IPv6 數(shù)據(jù)包，但僅在客戶端位于沒有針對 IPv6 進行配置的網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 服務(wù)器后面時才使用這些數(shù)據(jù)包。它在允許從 NAT 進行轉(zhuǎn)發(fā)的 IPv4 數(shù)據(jù)報中存儲 IPv6 數(shù)據(jù)包。

Windows 7 和 Server 2008 R2 實現(xiàn)了一個稱為 IP-HTTPS 的協(xié)議，該協(xié)議在 IPv4 HTTPS 中通過隧道傳送 IPv6 數(shù)據(jù)包。雖然與其他協(xié)議相比 IP-HTTPS 的性能較差，但您可以添加更多 IP-HTTPS 服務(wù)器以在一定程度上提高性能。IP-HTTPS 是一個比較容易實現(xiàn)的協(xié)議，可以進行 IPv6-over-IPv4 網(wǎng)絡(luò)連接。

在設(shè)計 DirectAccess 客戶端配置時，您可以使用 DNS 和 NRPT 將 Internet 通信和 Intranet 通信分開，或者可以使用稱為“強制隧道”的功能并強制通過隧道進行全部通信。需要 IP-HTTPS 的強制隧道功能可通過組策略設(shè)置“計算機配置”\“策略”\“管理模板”\“網(wǎng)絡(luò)”\“網(wǎng)絡(luò)連接”\“通過內(nèi)部網(wǎng)絡(luò)路由所有流量”來啟用。需要將此策略應(yīng)用于 DirectAccess 客戶端。如前所述，DirectAccess 客戶端可在連接到 Intranet 之后訪問本地資源。對于 IP-HTTPS 客戶端也是如此，但假如用戶嘗試訪問 Internet 站點，則將通過 Intranet 對其進行路由。

當(dāng)然，IPv6 要求和復(fù)雜配置是 DirectAccess 的弊端，但用戶體驗的改善以及 IT 人員遠程管理客戶端的便利要遠遠超過這些弊端。

大有前途

遠程工作者的數(shù)量正在日益增加，他們可能在分支機構(gòu)、家庭辦公室或在旅途中工作。BranchOffice 和 DirectAccess 對于分支機構(gòu)和其他遠程工作者而言大有前途，明智的 IT 經(jīng)理和管理員應(yīng)對它們加以研究。這兩種功能的安裝都不能一蹴而就，其中的選項和功能都需要加以選擇。另外，這些功能只能在 Windows 7 客戶端和 Windows Server 2008 R2 服務(wù)器上實現(xiàn)，這肯定會影響實現(xiàn)的時間線。明智的 IT 經(jīng)理和管理員應(yīng)對所提供的 Microsoft 文檔進行研究，并在測試實驗室中對這些功能進行配置以確保成功。

原文地址

本文來源：微軟TechNet中文站

【編輯推薦】

1. DirectAccess動手實驗5：管理客戶端
2. Windows Server 2008 R2中的DirectAccess功能詳解