Windows Server 2012 R2 DirectAccess 功能測試(混合IPv4與IPv6)
簡介:
DirectAccess是微軟下一代***技術,主要用來替代傳統***以及解決一些現有技術難以解決的疑難雜症,它是Windows 7和Windows Server 2008 R2中的一項新功能。憑藉這個功能,外網的用戶可以在不需要建立***連接的情況下,高速、安全的從Internet直接訪問公司防火牆之後的資源。
Direct Access克服了***的很多侷限性,它可以自動地在外網客戶機和公司內網服務器之間建立雙向的連接。DirectAccess使用IPSec進行計算機之間的驗證,這也允許了IT部門在用戶登錄之前進行計算機的管理。
Direct Access工作時,客戶機建立一個通向DirectAccess服務器的IPv6隧道連接。這個IPv6的隧道連接,可以在普通的IPv4網絡上工作。DirectAccess 服務器承擔了網關的角色連接內網和外網。
優點:
提高漫遊員工工作效率:提供內部與外部辦公同樣的連接體驗,只要有互聯網連接便可以訪問內部網絡資源的能力,無論他在旅行還是在家。
遠程用戶更易於管理:如果沒有DirectAccess,只有當用戶連接到***或進入辦公室,才能對移動計算機進行管理。通過DirectAccess,只要移動計算機有互聯網連接就可以進行管理,即使用戶沒有登錄。這允許對移動計算機進行定期管理,有助於確保移動用戶保持最新的安全性和系統健康策略。DirectAccess有助於企業對漫遊在企業網絡外的財產進行安全監督和數據保護。
改進的安全性:直接訪問使用IPSec進行認證和加密。您可以選擇用智能卡(Smart Card)進行用戶身份驗證。DirectAccess集成NAP,規定DirectAccess客戶端必須符合系統健康要求才能允許連接到DirectAccess服務器。
以下幾點爲網友總結,比較經典:
1、當用戶在外辦公時遇到網絡不穩定時,***需要斷線重撥,而DirectAccess完全是自動的,30秒的間隔會自動重新連接服務器
2、當我們在外出差的時候,公司有了新的域策略或者是修改了域策略,那麼用戶就接收不到最新的策略了。而DirectAccess是用戶打開電腦後,登錄系統前就會建立好連接,並將域策略刷新過來,當然了,如果還要撥寬帶連接的話就做不到了。實際測試的過程中會發現,這跟你服務器的部署方式也會有點關係。
3、用***是不能雙向訪問的,通過DirectAccess管理員可以直接遠程桌面到在外出差辦公的客戶機。
4、DirectAccess還支持NAP,能對連接進網絡的用戶進行健康檢查和准入控制。
5、***不能靈活控制哪些服務器能訪問、哪些不能訪問,DirectAccess不但可以進行靈活的控制,還能對訪問隧道進行IPSec加密防止通信被第三方竊取!
拓撲圖(點擊圖片可查看大圖):
一、安裝DC
安裝AD+DNS+DHCP過程(略)
域名爲corp.sxleilong.com,電腦名稱爲DC
IPv4地址配置如下所示
IPv6地址如下,說明:IPv6也必須配置靜態IP地址
DHCP地址池地址分配如下所示
爲DirectAccessClients創建一個全局安全組。
打開AD管理中心,切換到“corp(本地)”,選中“Users”,在“任務”面板,點擊“新建”,選擇“組”
QTB1WUFBS3Y1RlZjY1VzOTgyLmpwZw==" src="http://www.it165.net/uploadfile/files/2014/0210/2014021010062257.jpg" title="5.png" />
填寫組名DA-Clients,此時,也可以添加成員,我稍後在添加
創建網絡位置服務器DNS記錄。
打開DNS管理器,展開到“corp.sxleilong.com”並右擊,選擇“新建主機”
名稱填寫NLS,地址填寫10.0.0.3,然後點擊“添加主機”
創建ICMPv4和ICMPv6回顯請求防火牆規則。
用命令gpmc.msc打開組策略管理控制檯,展開到“組策略對象”,右擊“DefaultDomain Policy”選擇“編輯”
依次展開默認域策略—》計算機配置—》策略—》Windows設置—》安全設置—》高級安全,選定“入站規則”並右擊,選擇“新建規則”
選中“自定義”,下一步
協議類型選擇“ICMPv4”,然後點擊“自定義”,勾選特定ICMP類型下的“回顯請求”
勾選“允許連接”,下一步
3項務必全部選中,下一步
填寫新建的入站規則名稱,點擊“完成”
同理,再創建一個ICMPv6的入站回顯請求規則