Windows Server 2008 R2中的DirectAccess功能
DirectAccess是Windows 7和Windows Server 2008 R2中引入的一項新的功能,它能夠幫助企業中漫遊的客戶端從Internet無縫的連接到公司的Intranet,訪問其中的資源。
說到從Internet訪問公司內部的,人們首先想到的是使用***功能,***的原理是使用特殊的加密的通訊協議在不同的網絡之間建立一個隧道,然後使用一個和局域網中相同網段的IP地址,訪問企業內網中的資源。隨着***的廣泛應用,它的缺點也暴露無疑,主要有以下幾個方面:1、連接***需要用戶來撥通,儘管這個過程可以配置成自動方式,但是它的連接過程是系統在登陸之後再進行的,這時如果企業的中的一些配置要在系統啓動之前更新的話,漫遊的客戶端將不會生效。2、在現實的生活中我們常常會遇到網絡不穩定的情況,如果Internet的連接斷掉,響應的***又要重新撥號。3、常用的***需要連接特定的端口,例如:PPTP 的TCP 1723,L2TP 的 1701,而這些端口在很多有防火牆或者使用代理上網的場合並沒有開啓,當然***連接也就不能正常建立了。4、在撥通***的情況下,如果您要訪問Internet的情況,還是好通過intranet來進行中轉,即使將網關設置爲本地的網關,查詢DNS等的流量還是要通過intranet來進行中轉,無疑這樣造成了帶寬的浪費,同時用戶訪問Internet的體驗也有所下降。
正應爲***有着以上缺點,我們常常避免使用***,而用特定的應用程序網關來代替,比如:Exchange中的RPC over HTTP,遠程桌面網關等,使用http(https)的流量來連接內網的應用程序服務器。
現在有了Windows Server 2008R2中DirectAccess以上的問題可以迎刃而解,DirectAccess非常好的結合IPv6和IPsec中優點,在客戶端計算機和企業內網之間自動建立了一個雙向的連接,是的用戶可以無縫的訪問公司的intranet,並且企業也可以對漫遊的客戶機進行一個實時的管理。DirectAccess能夠在用戶登錄之前連接到企業的intranet,這樣不需要用戶的登錄,管理員也能夠對客戶端的補丁、軟件和安全策略等待一些設置進行更改和更新。
DirectAccess中一個重大的革新,就是使用了IPv6。想必很多人都聽說過,但是都覺得這個東西離自己很遠,其實在我們的操作系統中都已經內置了IPv6,而且有些功能也是通過IPv6來實現的。Windows7中的家庭組就使用的IPv6功能,如果您使用PING命令來測試在家庭組的各臺計算機的連通性的話,您將會看到返回的是一個IPv6的地址。DirectAccess更是利用了IPv6的優點。將IPv6技術應用到從Internet訪問intranet,很多人覺得不太可能。畢竟現有的internet是不能直接傳遞IPv6的流量的,到底是怎麼實現的呢??其實在IPv6的設計之初,就已經考慮到了這個問題。爲此制訂了一些特殊的IPv6 over IPv4的協議,例如6to4,teredo等等。有了這些特殊的協議在現有的IPv4的網絡中也能夠傳遞IPv6的流量。Windows Server 2008 R2中將這些協議集合應用在一起就產生了DirectAccess,DirectAccess中使用了istap,6to4,teredo和IP-HTTPS等一系列的特殊協議,在IPv4的網絡中建立了一個IPv6的隧道,在其中傳遞數據。同時這個數據時通過IPsec加密過的,保證了數據傳遞的安全。
DirectAccess自動根據客戶端的環境選擇響應的隧道協議。1、在客戶使用公網的IPv4地址時將會使用6TO4來建立IPv6隧道,例如在家裏使用ADSL是將使用這種方式。2、如果計算機處在NAT之後,將會使用teredo協議來建立IPv6隧道,例如在使用路由器共享上網的時候就是採用的這種方式。
3、當客戶端無法通過以上兩種方式建立隧道的時候,將會使用HTTPS來建立一個IP-HTTPS的隧道,客戶端在防火牆之後或者使用代理上網的時候就使用的是這種方式。
DirectAccess使用了IPsec來保證了連接過程中數據的安全。DirectAccess連接過程中會建立兩條不同的IPsec加密的隧道。其中一條隧道是使用計算機證書建立的,用來訪問域控制器(DC)和intranet中的DNS服務器,另外一條是使用計算機證書和用戶憑據建立的,用來訪問intranet中的應用服務器
DirectAccess通過Name Resolution Policy Table名稱解析策略表(NRPT)來判斷客戶要訪問Internet還是intranet。
它將按 DNS 命名空間而不是按網絡接口來定義 DNS 服務器。利用 NRPT,客戶端可以避免原來的 DNS查詢,可以直接訪問 DirectAccess 服務器。當客戶端訪問具有和Intranet相同的域名的服務器時,將直接通過IPv6隧道訪問Intranet內部的服務器。在訪問其他域名的服務器時,將還是通過DNS服務器進行查詢,然後訪問到Internet。這樣就實現了Internet和intranet流量的分離,節約了不必要的帶寬開銷。
DirectAccess提供了更加靈活和安全的保護方式。根據用戶的配置有兩種保護模式:點對點、點對邊緣。在點對點的保護模式中,DirectAccess客戶端和要訪問的服務器之間建立了IPsec會話,這樣提供更佳的保護。點對邊緣的模式中,DirectAccess客戶只與DirecAccess服務器建立IPsec會話,這種模式雖然安全基本有所降低,但是這種模式的適用範圍更加廣闊。
以上說了DirectAccess這麼多的優點,有幾個優點我的體會比較深刻:其一是DirectAccess的在使用代理和在防火牆之後的使用。在原來使用***的時候,在有的地方由於使用了防火牆組織了相關***的端口或者通過代理上網的時不能連接到公司***,這樣也就沒法訪問公司的資源了。但是在使用DirectAccess時就不會發生這種現象,由於DirectAccess使用了IP-HTTPS隧道,在防火牆之後或者在使用代理是隻要HTTPS端口是開放的,就能連通。其二是DirectAccess對Internet還是intranet流量的分離。原來在家裏的時候要訪問公司的資源就要撥通***,而在撥通***的時候Internet往往要中斷一下,而且撥通***後上Internet的速度有了明顯的下降,而且如果公司的DNS沒有配置對外網查詢時就沒法上網了。現在使用DirectAccess時,由於機器啓動之後就連接了DirectAccess,訪問公司內部的時候就和在公司使用時沒有什麼兩樣,同時訪問Internet的速度沒有絲毫的下降,而且在連接Internet時還是使用的客戶機配置的DNS服務器,不會出現由於DNS配置而造成的不能上網的情況。其三就是DirectAccess的穩定性。原來使用***的時候,在Internet的連接不穩定的時候(例如在使用3G上網卡時),一旦Internet的連接中斷,***就要重新撥號。而DirectAccess會自動適應網絡的變化,在Internet恢復的時候自動重新連接,這個過程完全是自動的,用戶根本沒有感覺。
由於DirectAccess實在是太新了,他和***相比還有一些侷限。首先是由於涉及到Name Resolution Policy Table、IP-HTTPS和新增的組策略等待一系列的變化,它只適用於Windows7和Windows Server 2008R2,不支持原來的VISTA和XP等操作系統,而***幾乎支持所有的操作系統。其次是DirectAccess需要客戶端計算機加入域,而*** 不管是否加域都能夠連接。再次是DirectAccess需要客戶端計算機加入域加入域,然後管理員將計算機加入到相應的“組”中來進行初始化的配置,而***只需要一個服務器地址加上用戶名密碼就能夠可以了。還有,DirectAccess需要訪問的公司intranet的服務器必須含有一個IPv6的地址,一些基於IPv4的應用是沒法通過DirectAccess來訪問的。雖然有以上的一些侷限,但是瑕不掩瑜。從Internet訪問intranet的所有技術中,DirectAccess在連接的穩定性、可靠性、安全性和連接的速度都具有很大的優勢。
DirectAccess是Windows7和Windows Server 2008R2中一項重要功能,同時是目前將IPv6技術應用在操作系統中的一項非常成功的實踐,相信隨着時間的推移,DirectAccess技術也會不斷的改進和更新,同時在網絡中IPv6的應用也會更加的廣泛。