Windows 7 直接访问

Windows 7 直接访问

Windows 7 直接访问是一种无需使用第三方软件即可安全直接访问网络的功能。

它的要求是什么以及如何设置此功能?

答案1

DirectAccess 要求

  • 一台或多台运行 Windows Server 2008 R2 的 DirectAccess 服务器,具有两个网络适配器:一个直接连接到 Internet,另一个连接到 Intranet。
  • 在 DirectAccess 服务器上,至少有两个连续的公共 IPv4 地址分配给连接到 Internet 的网络适配器。
  • 运行 Windows 7 的 DirectAccess 客户端。
  • 至少有一个运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器和域名系统 (DNS) 服务器。当端到端保护需要基于智能卡的身份验证时,您必须在 Windows Server 2008 R2 中使用 Active Directory 域服务 (AD DS)。
  • 用于颁发计算机证书、智能卡证书以及 NAP 健康证书的公钥基础结构 (PKI)。有关详细信息,请参阅http://www.microsoft.com/pki
  • IPsec 策略用于指定对流量的保护。有关详细信息,请参阅http://www.microsoft.com/ipsec
  • 可用于 DirectAccess 服务器的 IPv6 转换技术:ISATAP、Teredo 和 6to4。

答案2

此功能确实看起来很棒。我认为 SSL VPN 的销量应该会下降...

Windows 7 和 Windows Server 2008 R2 中的 DirectAccess 技术概述

答案3

要配置 DirectAccess (DA),您可以查看 vzczc 提供的答案以了解需要什么。一旦您拥有系统和基础设施,您需要执行以下操作:

准备 AD/DNS

  1. 为将成为 DA 客户端的计算机创建安全组
  2. 为 Intranet DA 客户端的网络位置服务器创建 DNS 主机记录。
  3. 为内联网中托管证书吊销列表 (CRL) 的服务器创建 DNS 主机记录。
  4. 在公共 DNS 上,为将为基于 Internet 的 DA 客户端提供对 CRL 的访问的主机创建 DNS 主机记录。

配置 PKI 环境

  1. 添加/配置 CA 服务器角色
  2. 配置 CRL 分发设置
  3. 将 CRL 发布到指定的内联网位置
  4. 创建证书模板并在模板上配置安全设置,以便经过身份验证的用户可以注册证书
  5. 分发计算机证书(可以通过 GPO 和自动注册完成)

配置 DA 客户端

  1. 验证 DA 客户端是否具有 DA 身份验证所需的计算机证书
  2. 验证客户端是否可以连接到内网资源

配置 DA 服务器

  1. 在 DA 服务器中安装两个网卡
  2. 在 DA 服务器上安装 Web 服务器角色
  3. 创建虚拟目录来托管 CRL
  4. 将 CRL 发布到虚拟目录
  5. 安装 DA 管理控制台功能
  6. 运行 DA 管理向导来配置 DA

DA 客户端使用网络位置服务器功能来确定它们是否在 Intranet 上。根据网络位置服务器的响应(或无响应),DA 客户端将制定适合 DA 或非 DA(Intranet)访问的配置文件和规则。

网络位置服务器可以在 DA 服务器上运行,它需要 Web 服务器角色才能运行。

相关内容