DirectAccess,也稱統一遠端訪問(Unified Remote Access),是一種類VPN技術,它可以為已連接網際網路的客戶端電腦提供內部網路連通性。不同於許多傳統的必須由使用者明確啟動與終止的虛擬私人網路(VPN)連接,DirectAccess連接被設計成在電腦連接到網際網路後就儘快自動連接。DirectAccess在Windows Server 2008 R2中引入,為Windows 7Windows 8企業版客戶端提供此服務。2010年,Microsoft Forefront統一接入閘道器英語Microsoft Forefront Unified Access Gateway(UAG)發布,這簡化了DirectAccess在Windows 2008 R2上的部署[1],包含額外組件使其更容易整合而無需在網路上部署IPv6,並有專用的使用者介面用於組態和監控。雖然DirectAccess基於微軟技術,但也有第三方解決方案使用DirectAccess來訪問內部的UNIXLinux伺服器。在Windows Server 2012中,DirectAccess被完全整合到作業系統,提供有使用者介面用於組態,並有原生的IPv6和IPv4支援。[2]

技術

編輯

DirectAccess在客戶端與DirectAccess伺服器之間建立IPsec隧道,並使用IPv6聯絡內部網路或其他DirectAccess客戶端。這些技術將IPv6流量封裝在IPv4封包內以通過網際網路傳輸到內部網路,因此仍主要依賴於IPv4流量。所有傳輸到內部網路的流量都使用IPsec加密並封裝在IPv4封包內,因此大多數情況下不需要組態防火牆代理伺服器[3]DirectAccess客戶端可以使用數種隧道技術之一,這取決於客戶端的網路連接組態。只要伺服器組態正確從而能使用,客戶端可以使用6to4Teredo隧道IP-HTTPS。例如,直接連接到網際網路的客戶端可使用6to4,而在NAT網路內的客戶端將使用Teredo。此外,Windows Server 2012提供兩種向下相容服務:DNS64NAT64,這允許DirectAccess客戶端與企業網路中的伺服器通訊,即使這些伺服器只有IPv4網路連接。由於IPv6的全域可路由性,公司網路上的電腦也可以啟動與DirectAccess客戶端的連接,從而可以隨時遠端管理這些客戶端。[4]

優勢

編輯

DirectAccess可以為多個站點部署。它允許通過組策略控制,維護一個安全加密的VPN網路。

必要條件

編輯

Windows Server 2008 R2中的DirectAccess或UAG需要:

  • 一個或多個有兩個網路配接器的執行Windows Server 2008 R2的DirectAccess伺服器:一個直接連接網際網路,另一個連接到內部網路。
  • 在DirectAccess伺服器上,連接到網際網路的網路配接器已被分配至少兩個連續的公網IPv4位址。
  • DirectAccess客戶端執行Windows 7 Ultimate版或企業版,或Windows 8企業版。
  • 至少一個網域控制器域名系統(DNS)伺服器,執行Windows Server 2008 SP2或Windows Server 2008 R2。
  • 公開金鑰基礎建設(PKI)來頒發電腦憑證。

Windows Server 2012中的DirectAccess需要:

  • 一個或多個有一個或兩個網路配接器的執行Windows Server 2012的DirectAccess伺服器
  • 至少一個網域控制器域名系統(DNS)伺服器,執行Windows Server 2008 SP2或Windows Server 2008 R2。
  • DirectAccess客戶端執行Windows 7 Ultimate版或企業版,或Windows 8企業版。
  • 公鑰基礎設施對Windows 8客戶端不是必要條件。[5]

智慧卡憑證和用於網路存取保護技術的健康憑證可以配合PKI使用。

參考資料

編輯
  1. ^ Got DirectAccess? Get UAG!. [2017-03-23]. (原始內容存檔於2009-07-21) (美國英語). 
  2. ^ What's New in DirectAccess in Windows Server. [2017-03-23]. (原始內容存檔於2017-03-23) (英語). 
  3. ^ DirectAccess: Microsoft's Newest VPN Solution - Part 1: Overview of Current Remote Access Solutions - TechGenix. [2017-03-23]. (原始內容存檔於2013-01-17) (美國英語). 
  4. ^ Configuring Manage Out to DirectAccess Clients | PACKT Books. [2017-03-23]. (原始內容存檔於2017-03-23) (英語). 
  5. ^ What's New in DirectAccess in Windows Server. [2017-03-23]. (原始內容存檔於2017-03-23) (英語). 

外部連結

編輯