DirectAccess

DirectAccess，也称统一远程访问（Unified Remote Access），是一种类VPN技术，它可以为已连接互联网的客户端计算机提供内部网连通性。不同于许多传统的必须由用户明确启动与终止的虛擬私人網路（VPN）连接，DirectAccess连接被设计成在计算机连接到互联网后就尽快自动连接。DirectAccess在Windows Server 2008 R2中引入，为Windows 7和Windows 8企业版客户端提供此服务。2010年，Microsoft Forefront统一接入网关（英语：Microsoft Forefront Unified Access Gateway）（UAG）发布，这简化了DirectAccess在Windows 2008 R2上的部署^[1]，包含额外组件使其更容易集成而无需在网络上部署IPv6，并有专用的用户界面用于配置和监控。虽然DirectAccess基于微软技术，但也有第三方解决方案使用DirectAccess来访问内部的UNIX和Linux服务器。在Windows Server 2012中，DirectAccess被完全集成到操作系统，提供有用户界面用于配置，并有原生的IPv6和IPv4支持。^[2]

技术

DirectAccess在客户端与DirectAccess服务器之间建立IPsec隧道，并使用IPv6联系内部网或其他DirectAccess客户端。这些技术将IPv6流量封装在IPv4封包内以通过互联网传输到内部网，因此仍主要依赖于IPv4流量。所有传输到内部网的流量都使用IPsec加密并封装在IPv4封包内，因此大多数情况下不需要配置防火墙或代理服务器。^[3]DirectAccess客户端可以使用数种隧道技术之一，这取决于客户端的网络连接配置。只要服务器配置正确从而能使用，客户端可以使用6to4、Teredo隧道或IP-HTTPS。例如，直接连接到互联网的客户端可使用6to4，而在NAT网络内的客户端将使用Teredo。此外，Windows Server 2012提供两种向后兼容服务：DNS64和NAT64，这允许DirectAccess客户端与企业网络中的服务器通信，即使这些服务器只有IPv4网络连接。由于IPv6的全局可路由性，公司网络上的计算机也可以启动与DirectAccess客户端的连接，从而可以随时远程管理这些客户端。^[4]

优势

DirectAccess可以为多个站点部署。它允许通过组策略控制，维护一个安全加密的VPN网络。

必要条件

Windows Server 2008 R2中的DirectAccess或UAG需要：

• 一个或多个有两个网络适配器的运行Windows Server 2008 R2的DirectAccess服务器：一个直接连接互联网，另一个连接到内部网。
• 在DirectAccess服务器上，连接到互联网的网络适配器已被分配至少两个连续的公网IPv4地址。
• DirectAccess客户端运行Windows 7 Ultimate版或企业版，或Windows 8企业版。
• 至少一个網域控制器和域名系统（DNS）服务器，运行Windows Server 2008 SP2或Windows Server 2008 R2。
• 公開金鑰基礎建設（PKI）来颁发计算机证书。

Windows Server 2012中的DirectAccess需要：

• 一个或多个有一个或两个网络适配器的运行Windows Server 2012的DirectAccess服务器
• 至少一个網域控制器和域名系统（DNS）服务器，运行Windows Server 2008 SP2或Windows Server 2008 R2。
• DirectAccess客户端运行Windows 7 Ultimate版或企业版，或Windows 8企业版。
• 公钥基础设施对Windows 8客户端不是必要条件。^[5]

智能卡证书和用于網路存取保護技術的健康证书可以配合PKI使用。

参考资料

1. Got DirectAccess? Get UAG!. [2017-03-23]. （原始内容存档于2009-07-21） （美国英语）. 
2. What's New in DirectAccess in Windows Server. [2017-03-23]. （原始内容存档于2017-03-23） （英语）. 
3. DirectAccess: Microsoft's Newest VPN Solution - Part 1: Overview of Current Remote Access Solutions - TechGenix. [2017-03-23]. （原始内容存档于2013-01-17） （美国英语）. 
4. Configuring Manage Out to DirectAccess Clients | PACKT Books. [2017-03-23]. （原始内容存档于2017-03-23） （英语）. 
5. What's New in DirectAccess in Windows Server. [2017-03-23]. （原始内容存档于2017-03-23） （英语）. 

外部链接

• Microsoft's DirectAccess in Windows Server 2012（页面存档备份，存于互联网档案馆）
• Microsoft's DirectAccess in Windows Server 2008 R2（页面存档备份，存于互联网档案馆）
• MS-IPHTTPS on MSDN（页面存档备份，存于互联网档案馆）：PDF中包含规范。
• Blogger's posting on DirectAccess（页面存档备份，存于互联网档案馆）
• Richard Hicks' DirectAccess Blog（页面存档备份，存于互联网档案馆）
• Differences between UAG and native 2008 R2 DirectAccess（页面存档备份，存于互联网档案馆）