真是不好意思各位,一开始实作Direct Access时,是以微软所提供的Step by Step lab,但是在实作出来后,觉得它的环境与现在企业的内部环境有著相当大的差异,因此就花了不少时间在建置一个比较贴近现在企业环境,而这个环境我建置了三个实体网路及两个虚拟网路环境,将用户端置放于不同的地点来观查其运作是否正常,经过不断的测试,总算完成这个环境的建置,很高兴可以跟大家一起分享这个令人兴奋的新***解决方案。
概观
Direct Access是暨微软发展NAP(Network Access Protection)内部网路保护方案之后,宣誓要取代掉现有的***的 Windows Based另一种***的选择方案,虽然现在许多人都在说有可能吗?安全吗?我想,没有任何一种技术是完全安全的,除非像是OTP(One-Time Password)这样的解决方案恐怕…多年后也会被找出问题,你说不是吗?
Direct access主要的作业都是落在管理者的身上,使用者不但不用知道怎么操作,甚至所有的连线过程中,都在使用者不知不觉中就完成了一切连线,方便到你在无形之中就完成了,真是”让你完全忘了它的存在”,即然是这样的产品,使用安全观念的训练就成了一个极要的教育项目了,也因为太方便了,让Jason一时技痒想来布署看看。
环境需求
Direct Access有几个重要的角色,其中包含有Direct Access Server(以下简称DA-Svr),即然是微软的产品,就不能没有你(AD)乙组,基本上Direct Access是利用PKI架构做为基础验证、认证、加密的基础,所以也会有一个Enterprise Root CA,在下面的实例中,是直接建置在root DC之上,最后当然就是client了!
这建置这个环境当然有一些需求限制:
DC-svr:网域及树系架构则必须是至少是Windows 2008或是 Windows server 2008 R2,并且至少必须有Windows 2008 SP2或Windwos 2008 R2做为DC及DNS。
DA-svr:OS必须是Windows server 2008 R2标准版以上,而Foundation有没有则要再来查查。
Win7-Client:没错,一定要是win7而且仅支援Enterprise及Ultimate以上版本。
Enterprise root CA:可以直接挂在DC之上,也可以独立做一台,看经费和效益弹性规划。(PKI架构)
最后,DA-Svr和win7-client都要开启IPv6,可以直接用IPv6就直接用,不行,那么就是用IPv6 over IPv4。
DC-svr:网域及树系架构则必须是至少是Windows 2008或是 Windows server 2008 R2,并且至少必须有Windows 2008 SP2或Windwos 2008 R2做为DC及DNS。
DA-svr:OS必须是Windows server 2008 R2标准版以上,而Foundation有没有则要再来查查。
Win7-Client:没错,一定要是win7而且仅支援Enterprise及Ultimate以上版本。
Enterprise root CA:可以直接挂在DC之上,也可以独立做一台,看经费和效益弹性规划。(PKI架构)
最后,DA-Svr和win7-client都要开启IPv6,可以直接用IPv6就直接用,不行,那么就是用IPv6 over IPv4。
内部伺服器角色及所有环境需求介绍,下列主机均必须建置:
| 网路区域 | 主机角色 | 电脑名称 | 说明 |
| DMZ | Direct Access | DA-Svr | 置放于DMZ区中(视弹性规划使用不一定要放在DMZ)主要负责Direct Access之服务角色,并提供无所不在的网路服务,该角色必须提供两只网路卡,乙只对外(映对两个外部IP: 211.11.1.5; 211.11.1.6)、乙只对内(连接内部网路: 192.168.0.200),且必须join AD,外部网域名称是dac.jason.com.tw |
| Intarnet | DC | DC-Svr | 置放于内部网路中,以确保其安全主要提供DNS服务、AD及CA(Enterprise Root CA)内部ip:192.168.0.1,在本例中网域名称叫做jason.local。 |
| Intarnet | Enterprise Root CA | CA-Svr | 置放于内部网路中,主要是用来提供凭证的放发,尤其是针对有需要做Direct Access服务的验证服务,可与DC置放于同一区域也可以直接与DC合并,可弹性规划。内部IP:192.168.0.1。 |
| Intarnet | Win7 Client | My-PC | 网路使用者,做为使用Direct Access服务的最终享用者,也就是像是业务、老板、在外的人员…等等,透过DC发布的GPO去布署Direct Access Client服务。DHCP取得IP。 |
顺利的布署上面的角色及伺服器时,也必须考虑到在虚拟环境之下,我们透过路由指定的方式将网路的运作分割置放在虚拟机器之上,
DNS-svr:提供外部的信任使用者解析所需的DNS记录,因此在外部必须要能解析网域名称到DA-Svr上。
DNS-svr:提供外部的信任使用者解析所需的DNS记录,因此在外部必须要能解析网域名称到DA-Svr上。
| 网路区域 | 主机角色 | 电脑名称 | 说明 |
| Internet | DNS Server | DNS-Svr | 主要是用来让外部使用者得以顺利的解析到DA-Svr对外的连线。外部IP:168.95.1.1 ,在本例中外部网域叫做Jason.com.tw |
接下来就是另外的两个网段的环境,一个是模拟一个回到家中的网路环境,他是透过家中的IP分享器来做连接运作,另一个是模拟这个用户端直接以网路拨接的方式连接到DirectAccess,基本的网路架构如下图:
上面的Internet的连结是透过一台RRAS来建置四片网卡,做路由指向,使这四个网端可以连结在一起,而IP Shared则是以win7做网路共享的方式来充当,在这个环境之下,也许不如真实环境之下那么的复杂,但是DirectAccess的多种IPv6 over IPv4的支援,也让穿透各种环境的可能性大幅的提升。
不过在建置测试环境时,倒是有一个常常在中国大陆出差的朋友问到,可以穿透对岸的天网吗?这个…可能要等其它有在中国大陆架设***的公司更换测试后才能确定了!
接下来就是各文章的连结,以及Jason在建置这个环境时所参考的资料:
参考资料:
Over View: DirectAccess Technical Overview(说明了这个技术的运作方式及内容)
Design and Deployment Guides: DirectAccess Design and Deployment Guides(档案虽大,但是很值得看!)
Step by step guide: Step By Step Guide: Demonstrate DirectAccess in a Test Lab(因为是demostrate所以架构环境比较小)
Lab Troubleshoot: Step By Step Guide: Troubleshoot DirectAccess in a Test Lab
Over View: DirectAccess Technical Overview(说明了这个技术的运作方式及内容)
Design and Deployment Guides: DirectAccess Design and Deployment Guides(档案虽大,但是很值得看!)
Step by step guide: Step By Step Guide: Demonstrate DirectAccess in a Test Lab(因为是demostrate所以架构环境比较小)
Lab Troubleshoot: Step By Step Guide: Troubleshoot DirectAccess in a Test Lab