电脑计算机论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2643|回复: 0

Windows Server 2008 R2中的DirectAccess功用详解

[复制链接]
admin 发表于 2011-3-22 12:44:25 | 显示全部楼层 |阅读模式
DirectAccess是Windows 7和Windows Server 2008 R2中引入的一项新的功用,它可以或许匡助企业中遨游的客户端从Internet无缝的连接到公司的Intranet,接见个中的资本。
说到从Internet接见公司内部的,人们起首想到的是利用VPN功用,VPN的道理是利用非凡的加密的通信和谈在分歧的收集之间竖立一个地道,然后利用一个和局域网中沟通网段的IP地址,接见企业内网中的资本。跟着VPN的普遍应用,它的瑕玷也露出无疑,首要有以下几个方面:
1、连接VPN需求用户来拨通,虽然这个过程能够设置装备摆设成主动体式格局,然则它的连接过程是系统在上岸之后再停止的,这时假如企业的中的一些设置装备摆设要在系统启动之前更新的话,遨游的客户端将不会生效。
2、在实际的生涯中我们经常会碰到收集不不乱的情形,假如Internet的连接断失落,响应的VPN又要从新拨号。
3、常用的VPN需求连接特定的端口,例如:PPTP 的TCP 1723,L2TP 的 1701,而这些端口在许多有防火墙或者利用署理上彀的场所并没有开启,当然VPN连接也就不克不及正常竖立了。
4、在拨通VPN的情形下,假如您要接见Internet的情形,照样好经由过程intranet来停止中转,即便将网关设置为当地的网关,查询DNS等的流量照样要经由过程intranet来停止中转,无疑如许形成了带宽的虚耗,同时用户接见Internet的体验也有所降落。
正应为VPN有着以上瑕玷,我们经常防止利用VPN,而用特定的应用法式网关来取代,好比:Exchange中的RPC over HTTP,远程桌面网关等,利用http(https)的流量来连接内网的应用法式办事器。
如今有了Windows Server 2008R2中DirectAccess以上的问题能够水到渠成,DirectAccess异常好的连系IPv6和IPsec中长处,在客户端较量争论机和企业内网之间主动竖立了一个双向的连接,是的用户能够无缝的接见公司的intranet,而且企业也能够对遨游的客户机停止一个及时的治理。DirectAccess可以或许在用户登录之前连接到企业的intranet,如许不需求用户的登录,治理员也可以或许对客户端的补丁、软件和平安战略守候一些设置停止更改和更新。
DirectAccess中一个严重的刷新,就是利用了IPv6。想必许多人都据说过,然则都感觉这个器械离本身很远,其其实我们的操作系统中都曾经内置了IPv6,并且有些功用也是经由过程IPv6来完成的。Windows7中的家庭组就利用的IPv6功用,假如您利用PING敕令来测试在家庭组的各台较量争论机的连通性的话,您将会看到返回的是一个IPv6的地址。DirectAccess更是行使了IPv6的长处。将IPv6手艺应用到从Internet接见intranet,许多人感觉不太可能。究竟现有的internet是不克不及直接传送IPv6的流量的,到底是怎样完成的呢?
其其实IPv6的设计之初,就曾经思索到了这个问题。为此制定了一些非凡的IPv6 over IPv4的和谈,例如6to4,teredo等等。有了这些非凡的和谈在现有的IPv4的收集中也可以或许传送IPv6的流量。Windows Server 2008 R2中将这些和谈鸠合应用在一路就发生了DirectAccess,DirectAccess中利用了istap,6to4,teredo和IP-HTTPS等一系列的非凡和谈,在IPv4的收集中竖立了一个IPv6的地道,在个中传送数据。同时这个数据时经由过程IPsec加密过的,包管了数据传送的平安。
DirectAccess主动凭据客户端的情况选择响应的地道和谈。
1、在客户利用公网的IPv4地址时将会利用6TO4来竖立IPv6地道,例如在家里利用ADSL是将利用这种体式格局。
2、假如较量争论机处在NAT之后,将会利用teredo和谈来竖立IPv6地道,例如在利用路由器共享上彀的时刻就是采用的这种体式格局。
3、当客户端无法经由过程以上两种体式格局竖立地道的时刻,将会利用HTTPS来竖立一个IP-HTTPS的地道,客户端在防火墙之后或者利用署理上彀的时刻就利用的是这种体式格局。
DirectAccess利用了IPsec来包管了连接过程中数据的平安。DirectAccess连接过程中会竖立两条分歧的IPsec加密的地道。个中一条地道是利用较量争论机证书竖立的,用来接见域控制器(DC)和intranet中的DNS办事器,别的一条是利用较量争论机证书和用户凭证竖立的,用来接见intranet中的应用办事器
DirectAccess经由过程Name Resolution Policy Table称号解析战略表(NRPT)来判定客户要接见Internet照样intranet。
它将按 DNS 定名空间而不是按收集接口来界说 DNS 办事器。行使 NRPT,客户端能够防止本来的 DNS查询,能够直接接见 DirectAccess 办事器。当客户端接见具有和Intranet沟通的域名的办事器时,将直接经由过程IPv6地道接见Intranet内部的办事器。在接见其他域名的办事器时,将照样经由过程DNS办事器停止查询,然后接见到Internet。如许就完成了Internet和intranet流量的星散,节约了不用要的带宽开支。
DirectAccess供应了加倍天真和平安的珍爱体式格局。凭据用户的设置装备摆设有两种珍爱形式:点对点、点对边缘。在点对点的珍爱形式中,DirectAccess客户端和要接见的办事器之间竖立了IPsec会话,如许供应更佳的珍爱。点对边缘的形式中,DirectAccess客户只与DirecAccess办事器竖立IPsec会话,这种形式固然平安根基有所降低,然则这种形式的合用局限加倍辽阔。
以上说了DirectAccess这么多的长处,有几个长处我的体味对照深入:其一是DirectAccess的在利用署理和在防火墙之后的利用。在本来利用VPN的时刻,在有的处所因为利用了防火墙组织了相关VPN的端口或者经由过程署理上彀的时不克不及连接到公司VPN,如许也就没法接见公司的资本了。然则在利用DirectAccess时就不会发作这种现象,因为DirectAccess利用了IP-HTTPS地道,在防火墙之后或者在利用署理是只需HTTPS端口是开放的,就能连通。其二是DirectAccess对Internet照样intranet流量的星散。本来在家里的时刻要接见公司的资本就要拨通VPN,而在拨通VPN的时刻Internet常常要中止一下,并且拨通VPN后上Internet的速度有了显着的降落,并且假如公司的DNS没有设置装备摆设对外网查询时就没法上彀了。
如今利用DirectAccess时,因为机械启动之后就连接了DirectAccess,接见公司内部的时刻就和在公司利用时没有什么两样,同时接见Internet的速度没有涓滴的降落,并且在连接Internet时照样利用的客户机设置装备摆设的DNS办事器,不会泛起因为DNS设置装备摆设而形成的不克不及上彀的情形。其三就是DirectAccess的不乱性。本来利用VPN的时刻,在Internet的连接不不乱的时刻(例如在利用3G上彀卡时),一旦Internet的连接中止,VPN就要从新拨号。而DirectAccess会主动顺应收集的转变,在Internet恢复的时刻主动从新连接,这个过程完整是主动的,用户基本没有感受。
因为DirectAccess其实是太新了,他和VPN比拟还有一些局限。起首是因为触及到Name Resolution Policy Table、IP-HTTPS和新增的组战略守候一系列的转变,它只合用于Windows7和Windows Server 2008R2,不支撑本来的VISTA和XP等操作系统,而VPN简直支撑一切的操作系统。其次是DirectAccess需求客户端较量争论机到场域,而VPN 不论能否加域都可以或许连接。
再次是DirectAccess需求客户端较量争论机到场域到场域,然后治理员将较量争论机到场到响应的“组”中来停止初始化的设置装备摆设,而VPN只需求一个办事器地址加上用户名暗码就可以或许能够了。还有,DirectAccess需求接见的公司intranet的办事器必需含有一个IPv6的地址,一些基于IPv4的应用是没法经由过程DirectAccess来接见的。固然有以上的一些局限,然则瑕不掩瑜。从Internet接见intranet的一切手艺中,DirectAccess在连接的不乱性、靠得住性、平安性和连接的速度都具有很大的优势。
DirectAccess是Windows7和Windows Server 2008R2中一项主要功用,同时是今朝将IPv6手艺应用在操作系统中的一项异常胜利的理论,置信跟着时候的推移,DirectAccess手艺也会赓续的改善和更新,同时在收集中IPv6的应用也会加倍的普遍。
您需要登录后才可以回帖 登录 | 注册

本版积分规则


QQ|手机版|小黑屋|电脑计算机论坛 ( 京ICP备2022023538号-1 )

GMT+8, 2024-11-23 20:16 , Processed in 0.102453 second(s), 21 queries .

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表