Windows Server 2012 R2 DirectAccess功能测试(1)—DC配置

Windows Server 2012 R2 DirectAccess 功能测试(混合IPv4IPv6


简介:

    DirectAccess是微软下一代VPN技术,主要用来替代传统VPN以及解决一些现有技术难以解决的疑难杂症,它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。

Direct Access克服了VPN的很多局限性,它可以自动地在外网客户机和公司内网服务器之间建立双向的连接。DirectAccess使用IPSec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时,客户机建立一个通向DirectAccess服务器的IPv6隧道连接。这个IPv6的隧道连接,可以在普通的IPv4网络上工作。DirectAccess 服务器承担了网关的角色连接内网和外网。


优点:

     提高漫游员工工作效率:提供内部与外部办公同样的连接体验,只要有互联网连接便可以访问内部网络资源的能力,无论他在旅行还是在家。

远程用户更易于管理:如果没有DirectAccess,只有当用户连接到VPN或进入办公室,才能对移动计算机进行管理。通过DirectAccess,只要移动计算机有互联网连接就可以进行管理,即使用户没有登录。这允许对移动计算机进行定期管理,有助于确保移动用户保持最新的安全性和系统健康策略。DirectAccess有助于企业对漫游在企业网络外的财产进行安全监督和数据保护。

改进的安全性:直接访问使用IPSec进行认证和加密。您可以选择用智能卡(Smart Card)进行用户身份验证。DirectAccess集成NAP,规定DirectAccess客户端必须符合系统健康要求才能允许连接到DirectAccess服务器。


以下几点为网友总结,比较经典:

   1、当用户在外办公时遇到网络不稳定时,VPN需要断线重拨,而DirectAccess完全是自动的,30秒的间隔会自动重新连接服务器

   2、当我们在外出差的时候,公司有了新的域策略或者是修改了域策略,那么用户就接收不到最新的策略了。而DirectAccess是用户打开电脑后,登录系统前就会建立好连接,并将域策略刷新过来,当然了,如果还要拨宽带连接的话就做不到了。实际测试的过程中会发现,这跟你服务器的部署方式也会有点关系。

   3、用VPN是不能双向访问的,通过DirectAccess管理员可以直接远程桌面到在外出差办公的客户机。

   4、DirectAccess还支持NAP,能对连接进网络的用户进行健康检查和准入控制。

   5、VPN不能灵活控制哪些服务器能访问、哪些不能访问,DirectAccess不但可以进行灵活的控制,还能对访问隧道进行IPSec加密防止通信被第三方窃取!


拓扑图(点击图片可查看大图):


一、安装DC

安装AD+DNS+DHCP过程(略)

域名为corp.sxleilong.com,电脑名称为DC


IPv4地址配置如下所示


IPv6地址如下,说明:IPv6也必须配置静态IP地址


DHCP地址池地址分配如下所示


DirectAccessClients创建一个全局安全组。

打开AD管理中心,切换到“corp(本地)”,选中“Users”,在“任务”面板,点击“新建”,选择“组”


填写组名DA-Clients,此时,也可以添加成员,我稍后在添加


创建网络位置服务器DNS记录。

打开DNS管理器,展开到“corp.sxleilong.com”并右击,选择“新建主机”


名称填写NLS,地址填写10.0.0.3,然后点击“添加主机”


创建ICMPv4ICMPv6回显请求防火墙规则。

用命令gpmc.msc打开组策略管理控制台,展开到“组策略对象”,右击“DefaultDomain Policy”选择“编辑”


依次展开默认域策略—》计算机配置—》策略—》Windows设置—》安全设置—》高级安全,选定“入站规则”并右击,选择“新建规则”


选中“自定义”,下一步


协议类型选择“ICMPv4”,然后点击“自定义”,勾选特定ICMP类型下的“回显请求”


勾选“允许连接”,下一步


3项务必全部选中,下一步


填写新建的入站规则名称,点击“完成”


同理,再创建一个ICMPv6的入站回显请求规则


本文出自 “Lelon” 博客,请务必保留此出处http://sxleilong.blog.51cto.com/5022169/1357230

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。