快速业务通道

Windows Server 2008 R2 远程访问可选方案(1)

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26

超越 VPN:DirectAccess

DirectAccess 是 Windows Server 2008 R2 和 Windows 7 的新功能,它被认为是远程访问的未来以及 VPN 的最终替代方案,尤其是在企业管理的计算机领域。虽然 VPN 重新连接使用户能够实现无缝重建 VPN,但 DirectAccess 的功能更加强大,能够从最开始实现公司网络的无缝连接。用户不再需要 VPN,因为他们在连接 Internet 的情况下可随时自动连接到公司网络,即便当他们使用 Web 代理或端口受限的防火墙时也是如此。DirectAccess 不仅提高了用户易用性,还简化了管理员工作。利用 DirectAccess,您能够更好地控制连接到公司网络的计算机,并在这些计算机连接到 Internet 时随时更新其组策略或软件,即便用户未登录。

与各种类型的 VPN 相比,DirectAccess 的另一项优势是安全性。DirectAccess 采用 IPv6 代替 IPsec,并支持多因素身份验证。IPsec 身份验证用于用户和计算机,而智能卡则可用于用户身份验证。虽然 DirectAccess 使用 IPv6,但客户端计算机仍能够连接到使用 IPv4 Internet 的公司网络上的 DirectAccess 服务器。DirectAccess 服务器可以是 Windows Server 2008 R2 服务器或 Forefront Unified Access Gateway (UAG)。

此外,还可以将 DirectAccess 配置为使 Internet 流量与 Intranet 流量分离。这样 Internet 通信不必通过内部网络然后再返回 Internet,避免了大多数 VPN 存在的问题。这意味着性能的提升。除这种默认配置外,如果需要,您也可以选择通过 DirectAccess 服务器发送 Internet 流量。您还可以配合使用 Windows 防火墙的出站规则与高级安全功能,以控制哪些应用程序可以与 Internet 通信以及可连接到哪些内部子网客户端。

DirectAccess 使用两个 IPsec 隧道。第一个是封装式安全措施负载 (ESP) 隧道,它采用计算机证书和计算机帐户 NTLMv2 身份验证来访问 DNS 服务器、域控制器以及其他管理服务器,例如用于网络访问保护 (NAP) 和软件更新的服务器,这样可以在用户登录前对计算机进行管理。第二个隧道也使用计算机证书,但同时使用用户凭据来通过 Kerberos 验证用户身份以及访问公司网络上的资源和应用程序。客户端采用端到端或端到边的 IPsec 加密连接到网络资源。前者能够提供更高的安全性,但应用程序服务器必须运行 Server 2008/2008 R2 并启用 IPv6 以及 IPsec。端到边连接涵盖从客户端到网关(DirectAccess 服务器),然后以未保护的方式将数据包发送至公司网络中的应用程序服务器。这种连接的优势在于您不需要在内部网络上部署 IPsec 和 IPv6,并且可以连接到仅采用 IPv4 的服务器(如果您使用 Forefront UAG 及其 NAT64/DNS64 技术)。DirectAccess 客户端必须运行 Windows 7 Enterprise 或 Ultimate 版。

要部署 Windows Server 2008 R2 DirectAccess,您必须:

  1. 部署 PKI 以颁发计算机证书(如果使用智能卡和 NAP 技术,还需要颁发智能卡证书和 NAP 健康证书),并进行配置,以自动注册计算机证书。
  2. 部署网络位置服务器(实际上就是 SSL 网站),由 DirectAccess 客户端用来确定其是否处于公司网络中。
  3. 确保 DirectAccess 服务器与一个 Active Directory 域相连接,其中至少一个域控制器和一个 DNS 服务器运行 Windows Server 2008/2008 R2。
  4. 为 DirectAccess 客户端与(可选)选定服务器创建 AD 安全组。
  5. 配置防火墙数据包筛选。
  6. 使用两个 NIC 配置 DirectAccess 服务器,一个连接到 Internet,另一个连接到内部网络。
  7. 在外部 NIC 上配置至少两个连续的公共 IP 地址。
  8. 将 DNS 地址添加到面向内部和外部 (Internet) DNS 服务器,这样 DirectAccess 客户端就能够定位服务器组件。
  9. 在 DirectAccess 服务器上安装使用计算机身份验证增强型密钥用法 (EKU) 的计算机证书(用于 IPsec 的身份验证)。
  10. 安装 SSL 证书以用于 IP-HTTPS 身份验证。

DirectAccess 安装向导将引导您完成针对 Intranet 访问、选定的服务器访问或端到端访问配置 DirectAccess 服务器的相关步骤。有关在上述情况下如何部署 Windows Server 2008 R2 DirectAccess 的详细说明,请参见《DirectAccess 部署指南》,网址为:http://technet.microsoft.com/zh-cn/library/ee649163(WS.10).aspx

请特别注意,Windows DirectAccess 解决方案并非设计用于企业环境,因为其缺少对数组、高可用性、集中配置以及非 IPv6 资源的支持。如果企业希望部署 DirectAccess,Microsoft 推荐使用 Forefront UAG DirectAccess。Forefront UAG DirectAccess 包括一些技术增强功能,使 DirectAccess 能够满足企业的需求。有关 UAG DirectAccess 部署方案和注意事项的详细信息,请参见《UAG DirectAccess 设计指南》,网址为:http://technet.microsoft.com/zh-cn/library/ee406191(en-us).aspx

小结

Windows Server 2008 R2 提供了比以往更为丰富的远程访问选择方案。我们提供从例如拨号远程访问的旧式方法到最现代的 DirectAccess 技术,供您根据您机构的需求选择提供公司网络远程用户访问的最佳方式,包括带宽考虑、现有的基础结构、兼容性问题、用户和管理易用性以及其他相关需求等。最佳实践是结合这些方法,为您的用户提供最灵活的远程访问体验。例如,如果您机构的计算机已连接到 Active Directory 域,可对它们进行配置以使用 DirectAccess,并设置 Windows,使用户能够默认使用 VPN 重新连接作为主 VPN,但是在 VPN 重新连接被干预防火墙阻挡时退回 SSTP,然后退回 PPTP。

部署这些访问方法所需的所有服务器和客户端软件均随 Windows Server 2008 R2 操作系统一起提供,并且根据客户端操作系统版本,Windows 桌面操作系统还包含一些或全部的客户端软件。

原文地址

文章来源:微软TechNet中文网

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号