Windows 7 直接访问是一种无需使用第三方软件即可安全直接访问网络的功能。
它的要求是什么以及如何设置此功能?
答案1
DirectAccess 要求
- 一台或多台运行 Windows Server 2008 R2 的 DirectAccess 服务器,具有两个网络适配器:一个直接连接到 Internet,另一个连接到 Intranet。
- 在 DirectAccess 服务器上,至少有两个连续的公共 IPv4 地址分配给连接到 Internet 的网络适配器。
- 运行 Windows 7 的 DirectAccess 客户端。
- 至少有一个运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器和域名系统 (DNS) 服务器。当端到端保护需要基于智能卡的身份验证时,您必须在 Windows Server 2008 R2 中使用 Active Directory 域服务 (AD DS)。
- 用于颁发计算机证书、智能卡证书以及 NAP 健康证书的公钥基础结构 (PKI)。有关详细信息,请参阅http://www.microsoft.com/pki。
- IPsec 策略用于指定对流量的保护。有关详细信息,请参阅http://www.microsoft.com/ipsec。
- 可用于 DirectAccess 服务器的 IPv6 转换技术:ISATAP、Teredo 和 6to4。
答案2
此功能确实看起来很棒。我认为 SSL VPN 的销量应该会下降...
答案3
要配置 DirectAccess (DA),您可以查看 vzczc 提供的答案以了解需要什么。一旦您拥有系统和基础设施,您需要执行以下操作:
准备 AD/DNS
- 为将成为 DA 客户端的计算机创建安全组
- 为 Intranet DA 客户端的网络位置服务器创建 DNS 主机记录。
- 为内联网中托管证书吊销列表 (CRL) 的服务器创建 DNS 主机记录。
- 在公共 DNS 上,为将为基于 Internet 的 DA 客户端提供对 CRL 的访问的主机创建 DNS 主机记录。
配置 PKI 环境
- 添加/配置 CA 服务器角色
- 配置 CRL 分发设置
- 将 CRL 发布到指定的内联网位置
- 创建证书模板并在模板上配置安全设置,以便经过身份验证的用户可以注册证书
- 分发计算机证书(可以通过 GPO 和自动注册完成)
配置 DA 客户端
- 验证 DA 客户端是否具有 DA 身份验证所需的计算机证书
- 验证客户端是否可以连接到内网资源
配置 DA 服务器
- 在 DA 服务器中安装两个网卡
- 在 DA 服务器上安装 Web 服务器角色
- 创建虚拟目录来托管 CRL
- 将 CRL 发布到虚拟目录
- 安装 DA 管理控制台功能
- 运行 DA 管理向导来配置 DA
DA 客户端使用网络位置服务器功能来确定它们是否在 Intranet 上。根据网络位置服务器的响应(或无响应),DA 客户端将制定适合 DA 或非 DA(Intranet)访问的配置文件和规则。
网络位置服务器可以在 DA 服务器上运行,它需要 Web 服务器角色才能运行。