BranchCache和DirectAccess：改善分支机构的使用体验

图 10 DirectAccess 客户端的首选连接选项

信息来源：Microsoft

在 Intranet 一端，如果没有本机 IPv6，则 DirectAccess 允许使用 ISATAP，ISATAP 将从 IPv4 地址生成一个 IPv6 地址，并实现其自身的邻居发现。ISATAP 使用已启用 DirectAccess 的客户端来访问 IPv4 网络上的资源。例如，当 ISATAP 客户端启动时，它必须找到一个 ISATAP 路由器。它将通过针对 ISATAP.<域名> 发出 DNS 查询进行查找。因此，对于 Corp.net，它将查找 ISATAP.corp.net。Windows 2008 DNS 实现了 GlobalQueryBlockList，这是一项默认情况下包含 ISATAP 的附加安全功能。该功能将使其忽略任何 ISATAP.<域名> 请求。因此，您必须将 ISATAP 从列表中清除。为此，可以使用 DNSCMD 命令或创建一个注册表项。

在命令提示符下，输入 dnscmd /config /globalqueryblocklist wpad，然后按 Enter。这会将 GlobalQueryBlockList 定义为仅包含 WPAD（从而删除 ISATAP）。您还可通过访问位于以下位置的注册表项来完成此工作：

HKLM:\System\Current Control Set\Services\DNS\Parameters。编辑 GlobalQueryBlockList 并删除 ISATAP。

您还可以单独在各个主机上或在整个网络上实现 6to4，并通过 IPv4 网络传输 IPv6 数据包。有趣的是，如果 6to4 是针对整个网络实现的，则它仅需要一个 IPv4 地址。它不支持 IPv4 主机和纯 IPv6 主机之间的通信。

Teredo 也提供要路由到 IPv4 网络的 IPv6 数据包，但仅在客户端位于没有针对 IPv6 进行配置的网络地址转换 (NAT) 服务器后面时才使用这些数据包。它在允许从 NAT 进行转发的 IPv4 数据报中存储 IPv6 数据包。

Windows 7 和 Server 2008 R2 实现了一个称为 IP-HTTPS 的协议，该协议在 IPv4 HTTPS 中通过隧道传送 IPv6 数据包。虽然与其他协议相比 IP-HTTPS 的性能较差，但您可以添加更多 IP-HTTPS 服务器以在一定程度上提高性能。IP-HTTPS 是一个比较容易实现的协议，可以进行 IPv6-over-IPv4 网络连接。

在设计 DirectAccess 客户端配置时，您可以使用 DNS 和 NRPT 将 Internet 通信和 Intranet 通信分开，或者可以使用称为“强制隧道”的功能并强制通过隧道进行全部通信。需要 IP-HTTPS 的强制隧道功能可通过组策略设置“计算机配置”\“策略”\“管理模板”\“网络”\“网络连接”\“通过内部网络路由所有流量”来启用。需要将此策略应用于 DirectAccess 客户端。如前所述，DirectAccess 客户端可在连接到 Intranet 之后访问本地资源。对于 IP-HTTPS 客户端也是如此，但假如用户尝试访问 Internet 站点，则将通过 Intranet 对其进行路由。

当然，IPv6 要求和复杂配置是 DirectAccess 的弊端，但用户体验的改善以及 IT 人员远程管理客户端的便

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!