詳解與DirectAccess有關的10件事情

來源:本網整理

點擊紅叉,先修復錯誤www.anxorj.tw防采集請勿采集本網。

s">

詳解與DirectAccess有關的10件事情

作者:佚名 字體:[增加 減小] 來源:互聯網 時間:07-06 14:54:55 我要評論 Direct Access(直接訪問)是Windows 7(企業版或者更高級版本)和Windows Server 2008 R2中的一項新功能,外界的網絡可以不用建立VPN連接,它克服了VPN的很多局限性,可以直接訪問公司防火墻之后的資源,既高速又安全,Direct Access主要是利用IPv6技術 ">

  Direct Access講遠程訪問帶入了一個新的境界,它可以實現企業員工可以隨時隨時隨地的進行遠程接入,不在受傳統的接入方式的限制,DirectAccess 服務器承擔了網關的角色,連接內網和外網之間,甚至當DirectAccess 客戶端處于限制性的防火墻后,也可以實現連接。下面小編就為大家介紹DirectAccess的功能和它的工作原理。

Direct Access 稱為直接訪問,它是Windows 7(企業版或者更高級版本)和Windows Server 2008 R2中的一項新功能。憑借這個功能,外網的用戶可以在不需要建立VPN連接的情況下,高速、安全的從Internet直接訪問

  1: 可以將企業網絡擴展到任何能夠接入互聯網的客戶端上

利用direct access可以訪問國外網站嗎 新遠程訪問技術,至少一個運行Windows Server 2003或更高版本的域控制器。一個內部PKI用來將機器證書分配給DirectAccess客戶端和DirectAccess 服務器

  DirectAccess的目標是將企業的內部網絡拓展到任何連接到互聯網的DirectAccess 客戶端電腦上。DirectAccess客戶端電腦將作為企業網絡的域成員,與位于企業網絡內的電腦擁有一樣的控制機制。為了讓IT管理員能夠控制任何地理位置的電腦,DirectAccess還為用戶提供了無縫的網絡接入體驗。用戶不必再為了不同的網絡環境記住不同的用戶名和密碼,因為用戶的電腦將一直連接在企業網上。

Direct Access 能夠讓你自定義各種命令的快捷方式,如:運行某個程序、網站、發送電子郵件、插入某些常用文本等。Direct Access 能夠讓你自定義各種命令的快捷方式,如:運行某個程序、網站、發送電子郵件

  當DirectAccess客戶端電腦開啟時,系統將建立一個"結構化"通道。這個通道可以讓DirectAccess 客戶端電腦連接到企業網絡的管理資源和域資源,如域控制器,DNS服務器以及管理服務器。這個通道是雙向的,因此IT

計算機不符合directaccess的要求需要用戶安裝與之相匹配的運行環境。DirectAccess 要求運行 Windows 7 企業版、Windows 7 旗艦版或 Windows Server 2008 R2 的客戶端,并且至少一個運行 Windows

  管理員也可以像在企業內網管理電腦一樣管理通過互聯網接入的DirectAccess客戶端電腦。

可能是打開了一個關于wifi鏈接的提醒開關,要關閉它的話做以下操作: 1、先打開注冊表編輯器,方法是:開始-運行中輸入regedit 然后回車進去。2、 然后找到注冊表鍵值HKEY_LOCAL_MACHINE\\SYSTEM\\

  當用戶登錄后,系統將開啟第二個通道,即"內網通道",確保用戶可以像在內網一樣,訪問到企業內網的各種資源。他們可以使用FQDNs或者僅使用簡單的標簽就可以連接到文件服務器,Web服務器,數據庫服務器,郵件服務器或其他任何服務器,而完全不需要重新設置應用程序。簡單講, DirectAccess的用戶會永遠連接在企業網中,不論他現在身處何地。

  2: DirectAccess的需求

  在部署DirectAccess前,要先看看我們的配置是否符合要求。對于新手,你需要以下準備:

  l 至少一個運行Windows Server 2003或更高版本的域控制器

  l 一個內部PKI用來將機器證書分配給DirectAccess客戶端和DirectAccess 服務器。

  l 一個私有或公有PKI將Web站點證書分配給IP-HTTPS監聽器和Network Location Server(稍后討論)

  另外你還要達到以下要求:

  l DirectAccess 服務器必須是Windows Server 2008 R2標準版,企業版或更高級版本

  l 必須支持IPv6,網絡傳輸設備上也必須開啟IPv6支持。

  l DirectAccess 客戶端必須運行有 Windows 7企業版或旗艦版

  l DirectAccess客戶端必須是活動目錄域成員

  l 企業網絡中必須有高度可靠性的Network Location Server (Web服務器)

  l 如果在DirectAccess 服務器之前或之后有防火墻,數據包過濾器必須允許相關數據包傳輸。

  l DirectAccess 服務器必須配有兩個網卡

  3: IPv6 是 DirectAccess通信的前提

  DirectAccess客戶端使用IPv6協議與DirectAccess 服務器進行通信。DirectAccess服務器會將客戶端傳輸的數據轉發給企業網內相連的支持IPv6的主機。企業網可以使用原生IPv6架構(即路由器,交換機,操作系統以及應用程序全部支持IPv6),或者采用IPv6轉換技術連接企業網內的IPv6資源。

  DirectAccess服務器可以使用ISATAP (Intra-site Automatic Tunnel Addressing Protocol)將IPv6數據包封裝在IPv4報頭中,使得IPv6數據可以在企業的IPv4網絡中傳輸。連接到IPv4互聯網的DirectAccess客戶端可以使用各種流行的IPv6轉換技術來連接DirectAccess服務器,比如6to4, Teredo, 以及IP-HTTPS等。

  4: 端到邊緣和端到端的IPSec安全通信

  由于DirectAccess 客戶端和服務器端的通信要跨越公開的互聯網,因此確保信息在傳遞過程中不會被攔截和篡改就非常重要了。DirectAccess使用 IPsec實現客戶端和服務器端的安全通信。IPsec 通道模式被用來建立結構化通道和內網通道。另外,用戶還可以使用IPsec 傳輸模式配置 DirectAccess,實現客戶端和遠程服務器端的加密通信。DirectAccess還引入了最早出現在Vista 和 Windows Server 2008 中的AuthIP功能,從而實現用戶和計算機證書的雙重連接認證,而不僅僅只采用計算機證書認證。

  5: 客戶端程序必須支持IPv6

  既然目標是要實現客戶端電腦與企業內網中的電腦擁有一樣的用戶體驗,那么在比較DirectAccess客戶端電腦與企業內網電腦時就會發現一個明顯的不同:DirectAccess客戶端必須使用IPv6來連接DirectAccess服務器。這意味著DirectAccess客戶端程序必須是支持IPv6的。如果客戶端程序不支持IPv6(比如目前的OCS客戶端),連接就會失敗。就算使用IPv6 到 IPv4的轉換器也是一樣的。

  6: 活動目錄和組策略

  DirectAccess 服務器和客戶端要進行一系列的配置修改,以便實現DirectAccess 解決方案。而修改配置最有效的方法就是采用活動目錄和活動目錄組策略對象(PGO)。GPO被分配給DirectAccess 服務器和DirectAccess客戶端。另外,Active Directory也被要求進行認證。結構化通道采用 NTLMv2 認證連接到DirectAccess服務器的計算機帳戶,同時計算機帳戶必須與活動目錄域匹配。內網通道則使用Kerberos 認證進行登錄用戶的驗證。

  雖然 活動目錄和GPO都是必須的,但是DirectAccess服務器并不要求接入的成員必須屬于資源域。因為 DirectAccess 服務器域和資源域/森林之間是雙向信任關系,因此這種方案是可行的。

  7: Network Location Servers 讓 DirectAccess 客戶端知道自己在企業網絡中所處的位置

  DirectAccess被設計為自動執行并且是后臺運行的。用戶不必做任何動作來"啟動"DirectAccess連接。用戶只需要開啟電腦就好了。實際上,用戶不用登錄系統都可以。在用戶登錄前,結構化通道就已經建立了,而DirectAccess客戶端的代理程序會連接到內網的管理服務器進行程序升級,獲取配置信息,安全配置設置,以及任何IT管理員希望DirectAccess客戶端應該具備的網絡配置和安全策略。

  要讓整個過程透明化,就必須有某種機制讓DirectAccess客戶端組件知道自己該在什么時候啟動,在什么時候關閉。這就引出了Network Location Server 。Network Location Server (NLS)是一個支持SSL連接請求的Web服務器。NLS

  可以支持匿名或完整驗證信息的連接。當DirectAccess客戶端連接到NLS時,客戶端組件就知道自己已經處于企業內網中,于是關閉DirectAccess客戶端組件。如果DirectAccess客戶端不能與NLS服務器取得聯系,就會認為客戶端目前沒有接入企業內網,于是DirectAccess客戶端會自動開啟,建立IPsec隧道,通過互聯網連接遠程的DirectAccess服務器。DirectAccess客戶端會通過Certificate Revocation List查找 NLS Web服務器證書,因此CRL必須是可用的。否則,連接到NLS SSL Web站點就會失敗,客戶端是否已經連接到內網的檢測也會失敗。

  8: 證書,證書,證書

  在DirectAccess客戶端/服務器的解決方案中,在不同位置多次用到了證書。包括:

  DirectAccess 客戶端電腦。每個DirectAccess客戶端都需要一個計算機證書來確定到DirectAccess 服務器的IPsec連接。 這個證書用來建立IPsec 連接,同時也被IP-HTTPS使用,即DirectAccess服務器在允許IP-HTTPS連接到互聯網前,會再次進行計算機證書驗證。計算機證書最好是由Microsoft Certificate Server 和基于組策略的電腦證書自動注冊的。

  DirectAccess 服務器上的IP-HTTPS監聽器。IP-HTTPS是一種 IPv6轉換技術,可以讓IPv6數據包在IPv4網絡上傳輸。微軟設計這個協議是為了讓DirectAccess 客戶端能夠順利的連接到DirectAccess 服務器,即使客戶端位于一個只允許HTTP/HTTPS 輸出的防火墻背后,或者位于一個Web代理服務器后。IP-HTTPS監聽器需要Web站點證書,同時DirectAccess客戶端必須能夠連接帶有CRL的服務器獲取證書信息。如果 CRL 檢查失敗,IP-HTTPS連接就會失敗。對于IP-HTTPS監聽器來說,商業證書是最好的選擇,因為這類證書在CRL中是全球通用的。

  DirectAccess 服務器。DirectAccess服務器上存有IP-HTTPS Web站點證書,但是他同時還需要計算機證書與DirectAccess客戶端建立IPsec連接。

  9: 名稱解析策略表提供基于策略的DNS查詢

  DirectAccess客戶端使用名稱解析策略表 (NRPT)確定該使用哪個DNS服務器進行名稱解析。當DirectAccess客戶端接入企業網絡后,NRPT就會被關閉。而當DirectAccess客戶端檢測到自己處于互聯網時,客戶端就會開啟NRPT并從中尋找哪個DNS服務器可以讓它連接到正確資源。企業可以將內部域名和可用的服務器記錄在NRPT上,并配置它使用內部DNS服務器來解析名稱。

  當互聯網上的一個 DirectAccess 客戶端需要利用FQDN連接到資源,會檢查NRPT。如果名字在上面,查詢就會被送到內網的DNS服務器上。如果名字不在NRPT上, DirectAccess客戶端就會將查詢發送到網卡配置上規定的DNS服務器,也就是互聯網上的DNS服務器。NLS 服務器名稱也被置于NRPT中,但是屬于免除解析部分,即DirectAccess 客戶端永遠不會使用內部服務器來解析NLS服務器的名稱。于是處于互聯網上的DirectAccess客戶端永遠無法解析NLS服務器,客戶端將明白自己處于互聯網,于是開啟DirectAccess客戶端組件連接企業內網的DirectAccess服務器。

  10: DirectAccess具有"對外管理"能力

  正如前面提到的,IT管理員可以利用結構化通道,跨越互聯網對外管理遠程的DirectAccess客戶端電腦。不過管理員需要在Windows Firewall with Advanced Security (WFAS)中配置防火墻規則,允許系統連接到Teredo客戶端。建立這個規則后,還要確定為防火墻規則開啟了Edge Traversal 。當DirectAccess客戶端位于NAT后面并連接到互聯網時,被看做Teredo客戶端,同時DirectAccess服務器和NAT設備要允許UDP端口 3544輸出數據。

  以上就是突襲網小編為大家介紹的有關DirectAccess的十件事,需要的朋友快來看看吧,想理解更多精彩教程請繼續關注突襲網!

真暈!不裝它們怎么運行?再說你把主板放哪?不都裝在主機里嗎?把主板,顯卡,聲卡等硬件確保裝完后,要把其附帶的驅動逐個安裝到電腦里才行。首先你要通過設備管理器查看都有那些驅動沒有安裝,有?的都是需要安裝的,每個硬件都帶了驅動盤,放進光驅根據提示或你個人的需要進行安裝,后再查看一下是否安裝好了%A內容來自www.anxorj.tw請勿采集。

免責聲明 - 關于我們 - 聯系我們 - 廣告聯系 - 友情鏈接 - 幫助中心 - 頻道導航
Copyright © 2017 www.anxorj.tw All Rights Reserved
陕西快乐10分下载