在今天快速發(fā)展的企業(yè)環(huán)境中，企業(yè)員工肯定都希望能從任何設(shè)備訪問(wèn)企業(yè)內(nèi)部的應(yīng)用程序和數(shù)據(jù)，用個(gè)人計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)、平板電腦，以及其他可移動(dòng)設(shè)備。那么，如何用最簡(jiǎn)單的辦法，而不需要復(fù)雜的工作和高昂的成本，讓企業(yè)的IT系統(tǒng)就能夠支持企業(yè)員工的這些需求，成為當(dāng)前IT負(fù)責(zé)人最亟待解決的難題。

　　在剛剛發(fā)布的Windows Server 2012中，遠(yuǎn)程訪問(wèn)已經(jīng)成為一種集成式解決方案，它可以幫助企業(yè)快速部署出DirectAccess或傳統(tǒng)的虛擬專用網(wǎng)絡(luò)（VPN）。同時(shí)，其中的遠(yuǎn)程桌面服務(wù)中包含的改進(jìn)使得該功能比以往更易于部署，無(wú)論是基于會(huì)話的桌面還是虛擬桌面都變得更簡(jiǎn)單。

[[95272]]

企業(yè)的系統(tǒng)管理員還可以集中管理RemoteApp程序，同時(shí)用戶設(shè)備相關(guān)性使得企業(yè)員工可以將漫游用戶映射給指定的計(jì)算機(jī)和設(shè)備。另外，BranchCache通過(guò)改進(jìn)，可以提供更好的性能，并能更加充分地利用昂貴的廣域網(wǎng)（WAN）帶寬。此外 Branch Office Direct Printing功能使得遠(yuǎn)程辦公室用戶可以更快速地完成打印作業(yè)，而不需要給本就繁忙的WAN增加負(fù)擔(dān)。

　　統(tǒng)一訪問(wèn):DirectAccess與VPN同體

　　今天的企業(yè)在 IT 基礎(chǔ)架構(gòu)方面安全邊界越來(lái)越模糊。當(dāng)大部分員工開(kāi)始移動(dòng)工作，需要訪問(wèn)移動(dòng)數(shù)據(jù)時(shí)，企業(yè)需要解決新的安全挑戰(zhàn)。云計(jì)算致力于解決上述部分問(wèn)題，但實(shí)際上大部分組織都會(huì)部署混合云，其中同時(shí)包含傳統(tǒng)的數(shù)據(jù)中心計(jì)算環(huán)境，以及托管式云服務(wù)。

　　用安全、高效、成本低廉的方式為企業(yè)資源提供遠(yuǎn)程訪問(wèn)，是今天企業(yè)的一項(xiàng)基本工作。微軟老版本W(wǎng)indows Server操作系統(tǒng)支持用不同的方式實(shí)施遠(yuǎn)程訪問(wèn)，具體包括：點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）VPN 連接；二層傳輸協(xié)議 IPsec（L2TP/IPsec）VPN 連接；使用安全套接隧道協(xié)議（SSTP）的安全套接字層（SSL）加密的超文本傳輸協(xié)議（HTTP）VPN 連接；VPN 重連接，可使用 Internet 協(xié)議安全（IPsec）隧道模式的 Internet 密鑰交換版本 2（IKEv2）；DirectAccess，混合使用公鑰基礎(chǔ)架構(gòu)（PKI）、IPsec、SSL，以及 Internet 協(xié)議版本 6（IPv6）等等。

　　同時(shí)，在老版本的Windows Server操作系統(tǒng)中，實(shí)施遠(yuǎn)程訪問(wèn)是一項(xiàng)復(fù)雜的任務(wù)，因?yàn)橐渴鸷凸芾聿煌慕鉀Q方案，往往需要使用不同的工具。例如，要實(shí)施 VPN 解決方案需要用到路由和遠(yuǎn)程訪問(wèn)（RRAS）組件，而 DirectAccess 的配置則要用到其他工具。

　　不過(guò)，從Windows Server 2012開(kāi)始，遠(yuǎn)程訪問(wèn)解決方案的部署過(guò)程得以極大地簡(jiǎn)化。因?yàn)?，在Windows Server 2012中已經(jīng)將DirectAccess與VPN功能集成到同一個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器角色中。

此外，無(wú)論基于DirectAccess或VPN的遠(yuǎn)程訪問(wèn)解決方案的管理也得到了統(tǒng)一，并且都集成在全新的服務(wù)器管理器中。最終，Windows Server 2012可以為系統(tǒng)管理員提供集成式的遠(yuǎn)程訪問(wèn)解決方案，部署和管理都更加簡(jiǎn)單。另外，某些高級(jí)RRAS 功能，例如路由，依然需要通過(guò)原有的路由與遠(yuǎn)程管理控制臺(tái)進(jìn)行配置。#p#

Directaccess簡(jiǎn)化遠(yuǎn)程訪問(wèn)步驟

　　如果遠(yuǎn)程客戶端設(shè)備可以持續(xù)連接，用戶的工作效率就可以更高。能夠持續(xù)連接的設(shè)備在管理上也可以更容易，這有助于確保合規(guī)性，降低支持成本。首次在 Windows Server 2008 R2中引入，并且可被運(yùn)行在Windows 7客戶端的設(shè)備上，所支持的DirectAccess 功能通過(guò)讓用戶在具備互聯(lián)網(wǎng)連接的時(shí)候，無(wú)縫連接到企業(yè)網(wǎng)絡(luò)，可以充分滿足這些需求。

[[100195]]

圖 Directaccess簡(jiǎn)化遠(yuǎn)程訪問(wèn)步驟

DirectAccess可以讓用戶用一種安全的方式遠(yuǎn)程訪問(wèn)企業(yè)資源，例如共享文件夾、網(wǎng)站，以及應(yīng)用程序，同時(shí)并不需要預(yù)先建立VPN連接。每次用戶設(shè)備連接到互聯(lián)網(wǎng)之后，DirectAccess可以在用戶的設(shè)備與企業(yè)網(wǎng)絡(luò)之間自動(dòng)建立雙向連接。

　　使用傳統(tǒng)的VPN時(shí)經(jīng)常遇到的一些困擾。例如，連接到VPN通常需要執(zhí)行多個(gè)步驟，并且用戶需要等待身份驗(yàn)證的完成。如果企業(yè)網(wǎng)絡(luò)中實(shí)施了網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）技術(shù)，那就需要先對(duì)計(jì)算機(jī)進(jìn)行健康檢查，隨后才允許連接到企業(yè)網(wǎng)絡(luò)，造成VPN連接的建立可能需要好幾分鐘甚至更長(zhǎng)時(shí)間，這主要取決于是否需要執(zhí)行補(bǔ)救操作，以及用戶上一次建立 VPN 連接的時(shí)長(zhǎng)。

在某些對(duì) VPN 通訊進(jìn)行過(guò)濾的環(huán)境中，VPN連接本身也會(huì)遇到問(wèn)題，并且如果需要用VPN 連接對(duì)內(nèi)部和互聯(lián)網(wǎng)通訊進(jìn)行路由，互聯(lián)網(wǎng)性能也會(huì)變得很慢。最后，一旦用戶的互聯(lián)網(wǎng)連接中斷，還需要從頭開(kāi)始重新建立連接。

而微軟最新的DirectAccess消除了遠(yuǎn)程用戶的這些困擾。最新的DirectAccess與傳統(tǒng)的VPN 連接不同，DirectAccess 的連接甚至可以在用戶登錄之前建立完成，這樣用戶就完全不需要考慮連接到企業(yè)網(wǎng)絡(luò)的資源，或者等待完成健康程度檢查。最新的DirectAccess還可以將互聯(lián)網(wǎng)通訊與內(nèi)網(wǎng)通訊區(qū)分開(kāi)，降低繞道企業(yè)網(wǎng)絡(luò)而造成的不必要的網(wǎng)絡(luò)通訊，因?yàn)榕c互聯(lián)網(wǎng)的通訊不需要先繞道企業(yè)網(wǎng)絡(luò)、再發(fā)送到互聯(lián)網(wǎng)，而傳統(tǒng)的 VPN 連接通常都是這樣做的，DirectAccess 則不會(huì)影響用戶訪問(wèn)互聯(lián)網(wǎng)的速度。

　　最終，DirectAccess使得管理員可以遠(yuǎn)程管理辦公室范圍之外的計(jì)算機(jī)，就算這些計(jì)算機(jī)沒(méi)有通過(guò) VPN 建立連接也能進(jìn)行管理。這也意味著遠(yuǎn)程計(jì)算機(jī)通過(guò)組策略可以獲得充分的管理，這有助于在所有時(shí)間確保安全性。

　　在 Windows Server 2008 R2中，實(shí)施DirectAccess是一個(gè)相當(dāng)復(fù)雜的任務(wù)，需要執(zhí)行大量操作，包括一些命令行任務(wù)，并且需要分別在服務(wù)器和客戶端執(zhí)行。但在Windows Server 2012中，DirectAccess服務(wù)器和客戶端的部署與配置工作被大幅簡(jiǎn)化。

　　此外，DirectAccess與傳統(tǒng)的VPN遠(yuǎn)程訪問(wèn)功能可以在同一臺(tái)服務(wù)器上共存，因此可以部署混合式遠(yuǎn)程訪問(wèn)解決方案，滿足業(yè)務(wù)的各種需求。并且遠(yuǎn)程訪問(wèn)角色可以在Server Core環(huán)境中安裝和配置。#p#

新DirectAccess部署變得更容易

　　在各種遠(yuǎn)程訪問(wèn)技術(shù)中，Windows 7以及 Windows Server 2008 R2中的 DirectAccess是一個(gè)重大創(chuàng)新。它幾乎全部時(shí)間都是遠(yuǎn)程工作的-也許是在客戶站點(diǎn)，或者是在家里，因此企業(yè)員工的筆記本電腦很少能從物理上連接到微軟的內(nèi)部網(wǎng)絡(luò)。

　　然而，企業(yè)員工經(jīng)常需要訪問(wèn)內(nèi)部資源才能完成工作?，F(xiàn)在，企業(yè)員工都可以通過(guò)微軟的VPN進(jìn)行連接。他們所需要做的只是，在自己的環(huán)境中插入一個(gè)智能卡讀卡器，插入智能卡，然后輸入自己的PIN碼。很顯然，這算是一個(gè)多么簡(jiǎn)單的操作體驗(yàn)，符合企業(yè)的系統(tǒng)管理員最喜歡的“操作簡(jiǎn)單，容易上手”。

　　那么，如果換作是新Directaccess又會(huì)是什么情呢？會(huì)不會(huì)更容易。如果有互聯(lián)網(wǎng)連接，那么大部分情況下就同時(shí)有了DirectAccess連接。

在Windows Server 2012中部署DirectAccess時(shí)，請(qǐng)注意有兩種不同形式的部署場(chǎng)景：快速安裝和高級(jí)配置。從較高角度來(lái)看，這兩種場(chǎng)景的區(qū)別請(qǐng)參見(jiàn)下表：

圖 DirectAccess部署場(chǎng)景的兩種場(chǎng)景

在Windows 7中對(duì) DirectAccess 進(jìn)行排錯(cuò)的工作非常困難。但在Windows 8中，客戶端的體驗(yàn)就好很多了。新DirectAccess中連接的屬性通過(guò)網(wǎng)絡(luò)的用戶界面很容易就能看到，該界面可以告訴我們當(dāng)前DirectAccess的狀態(tài)，并且如果沒(méi)有連接，還會(huì)提供補(bǔ)救措施。

此外，在某些情況下如果有多個(gè)網(wǎng)絡(luò)接入點(diǎn)可供DirectAccess 使用，該界面還會(huì)顯示用戶當(dāng)前連接的站點(diǎn)，并且如果有必要，還可以連接到其他站點(diǎn)的接入點(diǎn)。

　　但如果所有接入點(diǎn)都連接失敗，屬性頁(yè)面還可以讓客戶端收集DirectAccess 日志（保存在一個(gè)可讀性非常高的 HTML 文件中），并用電子郵件將其發(fā)送給技術(shù)支持人員，協(xié)助對(duì)問(wèn)題進(jìn)行排查。（除非用戶能把它關(guān)掉，并且禁止別人使用，否則這算不上一種"酷技術(shù)"）

因此基本上，通過(guò)對(duì)支持人員的電子郵件地址進(jìn)行配置，為用戶提供切換不同接入點(diǎn)的能力，以及臨時(shí)從DirectAccess 斷開(kāi)的能力，都可以通過(guò)組策略對(duì)象（GPO）進(jìn)行配置。