Windows Server 2008 R2中的DirectAccess功能详解

DirectAccess是Windows 7和Windows Server 2008 R2中引入的一项新的功能,它能够帮助企业中漫游的客户端从Internet无缝的连接到公司的Intranet,访问其中的资源。

说到从Internet访问公司内部的,人们首先想到的是使用VPN功能,VPN的原理是使用特殊的加密的通讯协议在不同的网络之间建立一个隧道,然后使用一个和局域网中相同网段的IP地址,访问企业内网中的资源。随着VPN的广泛应用,它的缺点也暴露无疑,主要有以下几个方面:

1、连接VPN需要用户来拨通,尽管这个过程可以配置成自动方式,但是它的连接过程是系统在登陆之后再进行的,这时如果企业的中的一些配置要在系统启动之前更新的话,漫游的客户端将不会生效。

2、在现实的生活中我们常常会遇到网络不稳定的情况,如果Internet的连接断掉,响应的VPN又要重新拨号。

3、常用的VPN需要连接特定的端口,例如:PPTP 的TCP 1723,L2TP 的 1701,而这些端口在很多有防火墙或者使用代理上网的场合并没有开启,当然VPN连接也就不能正常建立了。

4、在拨通VPN的情况下,如果您要访问Internet的情况,还是好通过intranet来进行中转,即使将网关设置为本地的网关,查询DNS等的流量还是要通过intranet来进行中转,无疑这样造成了带宽的浪费,同时用户访问Internet的体验也有所下降。

正应为VPN有着以上缺点,我们常常避免使用VPN,而用特定的应用程序网关来代替,比如:Exchange中的RPC over HTTP,远程桌面网关等,使用http(https)的流量来连接内网的应用程序服务器。

现在有了Windows Server 2008R2中DirectAccess以上的问题可以迎刃而解,DirectAccess非常好的结合IPv6和IPsec中优点,在客户端计算机和企业内网之间自动建立了一个双向的连接,是的用户可以无缝的访问公司的intranet,并且企业也可以对漫游的客户机进行一个实时的管理。DirectAccess能够在用户登录之前连接到企业的intranet,这样不需要用户的登录,管理员也能够对客户端的补丁、软件和安全策略等待一些设置进行更改和更新。

DirectAccess中一个重大的革新,就是使用了IPv6。想必很多人都听说过,但是都觉得这个东西离自己很远,其实在我们的操作系统中都已经内置了IPv6,而且有些功能也是通过IPv6来实现的。Windows7中的家庭组就使用的IPv6功能,如果您使用PING命令来测试在家庭组的各台计算机的连通性的话,您将会看到返回的是一个IPv6的地址。DirectAccess更是利用了IPv6的优点。将IPv6技术应用到从Internet访问intranet,很多人觉得不太可能。毕竟现有的internet是不能直接传递IPv6的流量的,到底是怎么实现的呢?

其实在IPv6的设计之初,就已经考虑到了这个问题。为此制订了一些特殊的IPv6 over IPv4的协议,例如6to4,teredo等等。有了这些特殊的协议在现有的IPv4的网络中也能够传递IPv6的流量。Windows Server 2008 R2中将这些协议集合应用在一起就产生了DirectAccess,DirectAccess中使用了istap,6to4,teredo和IP-HTTPS等一系列的特殊协议,在IPv4的网络中建立了一个IPv6的隧道,在其中传递数据。同时这个数据时通过IPsec加密过的,保证了数据传递的安全。

DirectAccess自动根据客户端的环境选择响应的隧道协议。

1、在客户使用公网的IPv4地址时将会使用6TO4来建立IPv6隧道,例如在家里使用ADSL是将使用这种方式。

2、如果计算机处在NAT之后,将会使用teredo协议来建立IPv6隧道,例如在使用路由器共享上网的时候就是采用的这种方式。

3、当客户端无法通过以上两种方式建立隧道的时候,将会使用HTTPS来建立一个IP-HTTPS的隧道,客户端在防火墙之后或者使用代理上网的时候就使用的是这种方式。

DirectAccess使用了IPsec来保证了连接过程中数据的安全。DirectAccess连接过程中会建立两条不同的IPsec加密的隧道。其中一条隧道是使用计算机证书建立的,用来访问域控制器(DC)和intranet中的DNS服务器,另外一条是使用计算机证书和用户凭据建立的,用来访问intranet中的应用服务器

DirectAccess通过Name Resolution Policy Table名称解析策略表(NRPT)来判断客户要访问Internet还是intranet。

它将按 DNS 命名空间而不是按网络接口来定义 DNS 服务器。利用 NRPT,客户端可以避免原来的 DNS查询,可以直接访问 DirectAccess 服务器。当客户端访问具有和Intranet相同的域名的服务器时,将直接通过IPv6隧道访问Intranet内部的服务器。在访问其他域名的服务器时,将还是通过DNS服务器进行查询,然后访问到Internet。这样就实现了Internet和intranet流量的分离,节约了不必要的带宽开销。

DirectAccess提供了更加灵活和安全的保护方式。根据用户的配置有两种保护模式:点对点、点对边缘。在点对点的保护模式中,DirectAccess客户端和要访问的服务器之间建立了IPsec会话,这样提供更佳的保护。点对边缘的模式中,DirectAccess客户只与DirecAccess服务器建立IPsec会话,这种模式虽然安全基本有所降低,但是这种模式的适用范围更加广阔。

以上说了DirectAccess这么多的优点,有几个优点我的体会比较深刻:其一是DirectAccess的在使用代理和在防火墙之后的使用。在原来使用VPN的时候,在有的地方由于使用了防火墙组织了相关VPN的端口或者通过代理上网的时不能连接到公司VPN,这样也就没法访问公司的资源了。但是在使用DirectAccess时就不会发生这种现象,由于DirectAccess使用了IP-HTTPS隧道,在防火墙之后或者在使用代理是只要HTTPS端口是开放的,就能连通。其二是DirectAccess对Internet还是intranet流量的分离。原来在家里的时候要访问公司的资源就要拨通VPN,而在拨通VPN的时候Internet往往要中断一下,而且拨通VPN后上Internet的速度有了明显的下降,而且如果公司的DNS没有配置对外网查询时就没法上网了。

现在使用DirectAccess时,由于机器启动之后就连接了DirectAccess,访问公司内部的时候就和在公司使用时没有什么两样,同时访问Internet的速度没有丝毫的下降,而且在连接Internet时还是使用的客户机配置的DNS服务器,不会出现由于DNS配置而造成的不能上网的情况。其三就是DirectAccess的稳定性。原来使用VPN的时候,在Internet的连接不稳定的时候(例如在使用3G上网卡时),一旦Internet的连接中断,VPN就要重新拨号。而DirectAccess会自动适应网络的变化,在Internet恢复的时候自动重新连接,这个过程完全是自动的,用户根本没有感觉。

由于DirectAccess实在是太新了,他和VPN相比还有一些局限。首先是由于涉及到Name Resolution Policy Table、IP-HTTPS和新增的组策略等待一系列的变化,它只适用于Windows7和Windows Server 2008R2,不支持原来的VISTA和XP等操作系统,而VPN几乎支持所有的操作系统。其次是DirectAccess需要客户端计算机加入域,而VPN 不管是否加域都能够连接。

再次是DirectAccess需要客户端计算机加入域加入域,然后管理员将计算机加入到相应的“组”中来进行初始化的配置,而VPN只需要一个服务器地址加上用户名密码就能够可以了。还有,DirectAccess需要访问的公司intranet的服务器必须含有一个IPv6的地址,一些基于IPv4的应用是没法通过DirectAccess来访问的。虽然有以上的一些局限,但是瑕不掩瑜。从Internet访问intranet的所有技术中,DirectAccess在连接的稳定性、可靠性、安全性和连接的速度都具有很大的优势。

DirectAccess是Windows7和Windows Server 2008R2中一项重要功能,同时是目前将IPv6技术应用在操作系统中的一项非常成功的实践,相信随着时间的推移,DirectAccess技术也会不断的改进和更新,同时在网络中IPv6的应用也会更加的广泛。


您的回应...

相关话题

查看全部

也许你感兴趣

换一批

热门标签

更多