Cable Guy: DirectAccess and the Thin Edge Network

项目
08/17/2016

电缆专家 DirectAccess 和瘦的边缘网络

Joseph Davies

这篇文章部分基于预发布的代码。如更改，恕本文档所提及的所有信息。

内容

Internet 上的受保护的通信
端到端寻址和连接
双向连接和远程客户端管理
防火墙和 Web 代理遍历
Intranet 上与的确定。 Internet 上
将在与 Internet 通信分开 Intranet
摘要

为远程用户提供 Intranet 资源可用性，网络目前典型的组织使用某种边缘网络包含各种类型的远程访问服务器。这些服务器可以是集中器、终端服务器 (TS) 的网关服务器或各种如 Microsoft Outlook Web Access (OWA) 的应用程序边缘服务器虚拟专用网络 (VPN) 服务器。

边缘网络存在到 Internet 是一个特别的恶意的网络环境，在 Intranet 上分开 Internet 中。直接连接到 Internet 没有这种分离的他或她的 Intranet 的 IT 架构师和足够安全系统，立即查找另一行的工作。但是，分离引入了远程用户的复杂性。

如果直接连接到同时 Intranet 的无缝访问 Internet 和远程用户的 Internet 资源的 Intranet 不是实际的选项，然后解决方案在于无缝地连接远程用户同时在 Intranet 和 Internet。

当前远程访问 VPN 解决方案，Windows Server 2008，包括路由和远程访问尝试通过用户启动第二层连接到此解决方案。但是，远程访问 VPN 连接是几乎不流畅，因为它们需要用户操作尝试连接并重新连接。此外，多数的 VPN 部署 VPN 客户端计算机是连接到 Internet （当 VPN 连接不活动）或同时连接到 Intranet （当 VPN 连接为活动时），但不是能同时。

则可以通过发送 Internet 通信通过 Intranet 或配置拆分隧道路由，以便 Internet 和 Intranet 的通信分隔解决并发 Internet 和 Intranet 的 VPN 连接的访问的问题。但是，发送 Internet 通信通过 Intranet 进行 Internet 访问连接的 VPN 客户端降低，设置和维护拆分隧道路由可以管理很难。

对于当前的 VPN 解决方案的另一个问题是远程计算机仅间歇性地连接到 Intranet。用户启动连接的模型使得在难管理与最新的更新或安全策略的远程计算机的 IT 管理员。通过检查，并要求系统运行状况更新完成 VPN 连接之前，可以减轻远程计算机管理。但是，类要求可以将大量的等待时间添加到 VPN 连接过程。

现在一项新功能 Windows 7 和 Windows Server 2008 R 2 调用 DirectAccess 下来步骤近到解决方案；远程客户端可以无缝和并发访问都 Intranet 和 Internet 资源而不添加正在进行的管理开销且不牺牲性能或安全性。

使用 DirectAccess，可以减少您的远程访问和应用程序的边缘服务器依赖通向细边缘网络的概念。是例如因为 DirectAccess 客户端可以现在直接访问 Intranet 上的资源服务器，可以减少您的 VPN 基础结构。如 图 1 所示 DirectAccess 可以转换边缘网络。为此，但是，许多工程问题必须解决。

图 1 与 DirectAccess 转换您边缘网络

Internet 上的受保护的通信

DirectAccess 在隧道和传输模式下使用 Internet 协议安全 (IPSec)，验证连接的计算机，并保护通过 Internet 被交换与 DirectAccess 服务器的通信。现有的 VPN 解决方案还使用 IPSec 加密。您可以指定 IPsec 保护，对于运行 Windows 7 可以集中配置通过具有高级的安全组策略设置的 Windows 防火墙的连接安全规则的计算机。

端到端寻址和连接

归因于公用 IPv 4 地址空间不足和专用 IPv 4 地址空间由 ISP 和 Intranet 的重用，端到端连接的远程客户端提供全局唯一的地址不可能使用 IPv 4。解决方案是通信的 IPv 6 提供了全局唯一的地址，并简化了 Internet 和 Intranet 的分离。 IPv 6 连接是 DirectAccess 必要条件。 DirectAccess 客户端可以访问的唯一资源是与 IPv 6 可到达的。因此，Intranet 必须是 IPv 6 的支持，本地或通过部署在站点内自动隧道寻址协议 (ISATAP)。或者，DirectAccess 客户端都可以通过网络地址转换协议转换 (NAT PT) 设备访问 Intranet 仅 IPv 4 的资源。

定向通信

让我们假定虚构 Contoso 公司的 DNS 名称空间，所有 Intranet 资源名称是 corp.contoso.com，与 Intranet DNS 服务器 FDA5:2 C 09： 1F3C:E215::1 和 FDA5:2 C 09： 1F3C:E215::2。

在这种情况下为 Contoso 的 DirectAccess 客户端 NRPT 将包含项：命名空间是 corp.contoso.com 和 DNS 服务器都是 FDA5:2 C 09： 1F3C:E215::1，FDA5:2 C 09： 1F3C:E215::2。命名空间

当用户运行 Microsoft Outlook 并尝试连接到 EXCHNG071 电子邮件服务器时，则 TCP/IP 堆栈会将计算机 (corp.contoso.com) 的域后缀追加到电子邮件服务器名称来获取 exchng071.corp.contoso.com 中。此名称进行比较，NRPT。因为名称匹配项 corp.contoso.com，DirectAccess 客户端向在 FDA5:2 C 09 Intranet DNS 服务器发送 DNS 名称查询请求： 1F3C:E215::1 和 FDA5:2 C 09： 1F3C:E215::2。 Microsoft Outlook 使用 DNS 名称查询响应中返回，并直接连接的 Intranet Exchange 服务器的 IPv 6 地址。

让我们假定的用户 Windows 7 和 DirectAccess，Contoso IT 在转换期间部门已保留在其边缘网络的其 OWA 服务器。 DirectAccess 客户端上的一个用户使用 Internet Explorer 访问 OWA 服务器在地址 https://exmail.contoso.com/Exchange/，TCP/IP 堆栈将尝试解析 DNS 名称 exmail.contoso.com。此名称进行比较，NRPT。因为该名称与在 NRPT 中的该条目不匹配 DNS 名称查询请求发送到 Internet DNS 服务器，并在边缘网络的 Internet Explorer 建立与 OWA 服务器直接连接。

双向连接和远程客户端管理

DirectAccess 客户端会尝试连接到 DirectAccess 服务器中，在计算机启动时。用户登录时一组不同的凭据用于连接到 Intranet 资源。与 DirectAccess 通过典型的 VPN 连接，主要区别是 DirectAccess 客户端计算机将始终连接到，已注册，并登录到 Intranet 域。 IT 部门可以现在管理就像 Intranet 连接计算机的远程计算机和安装更新，传播组策略设置，以及确保系统配置和远程计算机的运行状况的正在进行基础上进行其他更改。

防火墙和 Web 代理遍历

因为 IPv 6 是初始第 3 层传输，而且最远程计算机通讯 IPv4 Internet 上，DirectAccess 客户端计算机将尝试使用 6 to 4 和 Teredo IPv 6 转换技术与 DirectAccess 服务器通信。但是，Web 代理服务器和某些防火墙将不转发 6 to 4 和 Teredo 封装通信。在本例中，DirectAccess 客户端使用 IP 的 HTTPS，Windows 7 和 Windows Server 2008 R 2 的隧道基于 IPv 4 的 HTTPS 会话中的 IPv 6 数据包中的新协议。

确定的 Intranet 与 Internet 上的

DirectAccess 客户端使用网络位置服务器可以访问只与 Intranet，确定是否已连接到 Intranet 的直接连接的。当 DirectAccess 客户端启动该消息队列将尝试连接到网络位置服务器指定的 URL。如果该 URL 的网页可成功获取，DirectAccess 客户端上 Intranet，DirectAccess 未使用。

将在与 Internet 通信分开 Intranet

为前面描述某些 VPN 解决方案使用网络层路由表项分隔与 Internet 通信的 Intranet。 DirectAccess 通过来汇总整个组织具有单个 IPv 6 地址前缀的 IPv 6 地址空间中解决此问题，在应用层，通过更加智能化的名称解析和网络层中。而不是定向仅基于目标地址的通信，DirectAccess 客户端还指示根据名称所需的应用程序的通信。 DirectAccess 客户端使用名称解析策略表 (NRPT) 包含 DNS 命名空间项和一相应组 Intranet DNS 服务器解析的 DNS 名称空间的名称。

DirectAccess 客户端上的应用程序会尝试解析名称时, 它会进行第一次比较，NRPT 中的项名称。如果匹配 DirectAccess 客户端将使用指定的 Intranet DNS 服务器解析名称。如果有不匹配，DirectAccess 客户端将使用在上其Internet 连接配置的 DNS 服务器通常是 Internet DNS 服务器。请参阅"定向 Traffic"边栏的工作方式示例。

摘要

DirectAccess 启用透明、并发的 Intranet 和 Internet 的远程访问，并简化通过合并了大量技术和组件的远程计算机的管理：端到端连接 (IPv 6)、安全 (IPSec)，Web 代理服务器及防火墙遍历 (IP HTTPS)、位置确定（网络位置服务器）和通信分离 (NRPT) 技术和组件。使用 DirectAccess，可以替换的一些您的远程访问和 DirectAccess 的服务器应用程序边缘服务器减少边缘网络专门为远程访问连接上的服务器的数量。

Joseph Davies 是主要技术编写器编写 Microsoft 团队在 Windows 网络上。他是作者或数由 Microsoft Press，包括 Windows Server 2008 Networking and Network Access Protection (NAP)，出版书籍的也是 Understanding IPv6, Second Edition，和 Windows Server 2008 TCP/IP Protocols and Services。

内容

其他资源