本主题提供有关以下内容的信息:DirectAccess 部署的组件、DirectAccess 客户端连接方法、DirectAccess 通信防火墙配置,以及与智能卡集成。

DirectAccess 组件

DirectAccess 部署包含下列组件:

  • DirectAccess 客户端

  • 至少一个 DirectAccess 服务器

  • Active Directory(R) 域服务 (AD DS) 域

  • 公钥基础结构 (PKI)

  • 网络位置服务器

  • 支持 Internet 协议版本 6 (IPv6) 的内部网络和应用程序或网络地址转换-端口转换 (NAT-PT) 设备

DirectAccess 客户端

DirectAccess 客户端是运行加入 AD DS 域的 Windows 7 或 Windows Server 2008 R2 的计算机,并使用 IPv6 和 Internet 协议安全 (IPSec) 自动启动和保持从 Internet 到内部网络的远程连接。

未加入 AD DS 域或运行 Windows Vista 及更早版本 Windows 的计算机不支持 DirectAccess。

至少一个 DirectAccess 服务器

DirectAccess 服务器是运行加入 AD DS 域的 Windows Server 2008 R2 的计算机,并且使用 IPv6 和 IPsec 响应 Internet 上的 DirectAccess 客户端,以及以透明方式将它们连接到内部网络。

未加入 Active Directory 域或运行 Windows Server 2008 及更早版本 Windows Server 的计算机不支持 DirectAccess 服务器功能。

若要安装 DirectAccess,请参阅安装 DirectAccess

不要在 DirectAccess 服务器上托管任何其他主要功能。DirectAccess 服务器应当专用于 DirectAccess。根据您的部署和可伸缩性要求,可能需要多个 DirectAccess 服务器,或者使用手动配置在多个服务器之间划分 DirectAccess 功能。有关多服务器部署的详细信息,请参阅 Microsoft Technet 上的 DirectAccess 主页 (https://go.microsoft.com/fwlink/?LinkId=142598)(可能为英文网页)。

有关 DirectAccess 服务器要求的详细信息,请参阅清单:配置 DirectAccess 的先决条件

AD DS 域

DirectAccess 在以下方面依赖于 AD DS:身份验证凭据、自动注册计算机证书,以及基于组策略集中配置 IPsec、IPv6 和其他设置。DirectAccess 客户端和服务器必须是 AD DS 域的成员。

PKI

DirectAccess 依赖于由 Active Directory 证书服务 (AD CS) 证书颁发机构颁发的计算机证书对 IPsec 会话和基于 IP-HTTPS 的连接进行身份验证。

网络位置服务器

“网络位置服务器”是托管基于 HTTPS 的统一资源定位器 (URL) 的内部网络服务器。DirectAccess 客户端访问 URL 以确定它们是否位于内部网络。DirectAccess 服务器可以是网络位置服务器,但建议使用具有高可用性的 Web 服务器。Web 服务器不必专门用作网络位置服务器。

支持 IPv6 的内部网络和应用程序或 NAT-PT 设备

DirectAccess 客户端仅限使用 IPv6 来访问内部网络资源。因此,DirectAccess 客户端只能与可使用 IPv6 访问的内部网络服务器和资源进行通信。有三种方法可与内部网络建立 IPv6 连接:

  • 配置内部网络路由基础结构以支持本机 IPv6。于是便可以访问支持 IPv6 的内部网络服务器和应用程序。默认情况下,运行 Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的计算机配置为使用 IPv6。

  • 在内部网络上部署站内自动隧道寻址协议 (ISATAP)。通过使用 ISATAP,支持 IPv6 的内部网络服务器和应用程序可以通过仅支持 IPv4 的内部网络对 IPv6 通信进行隧道传送。运行 Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的计算机支持 ISATAP 主机功能。ISATAP 允许这些计算机使用 IPv6,而不需要本机 IPv6 路由。当内部网络缺少 IPv6 连接时,DirectAccess 服务器会自动将自身配置为 ISATAP 路由器。

  • 使用网络地址转换-协议转换 (NAT-PT) 设备在使用 IPv6 的 DirectAccess 客户端与只能使用 IPv4 的服务器和应用程序之间转换通信。Windows Server 2008 R2 不提供 NAT-PT 功能。通常由第 2 层和第 3 层交换机与路由器供应商提供 NAT-PT 设备。有关 NAT-PT 功能和配置的信息,请参阅交换机与路由器文档。

DirectAccess 客户端连接方法

下表列出了可能的 DirectAccess 客户端配置及其向 DirectAccess 服务器发送 IPv6 通信的相应方法。

客户端配置首选连接方法

分配全局 IPv6 地址

全局 IPv6 地址

分配公用 IPv4 地址(不在 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16 范围内的地址)

6to4,一种 IPv6 转换技术,为 IPv4 Internet 上拥有公用 IPv4 地址的主机或站点提供 IPv6 连接。

分配专用 IPv4 地址(位于 10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16 范围内的地址)

Teredo 是一种 IPv6 转换技术,为 IPv4 Internet 上分配了专用 IPv4 地址并且位于不支持 6to4 路由器功能的 IPv4 网络地址转换 (NAT) 设备后面的主机提供 IPv6 连接。

客户端无法使用 6to4 或 Teredo 连接

IP-HTTPS 是 Windows 7 和 Windows Server 2008 R2 的一项新协议,该协议允许位于 Web 代理服务器或防火墙后面的主机通过在基于 IPv4 的安全超文本传输协议 (HTTPS) 会话内隧道传送 IPv6 数据包来建立连接。通常,只有在客户端无法使用其他 IPv6 连接方法连接到 DirectAccess 服务器时才使用 IP-HTTPS。

DirectAccess 通信的防火墙配置

Internet 与您的外围网络之间的外部防火墙必须能够放行与 DirectAccess 服务器之间的以下类型的往返通信:

  • 对于本机 IPv6 通信,IPv6 的 Internet 控制消息协议 (ICMPv6) 通信(IPv6 协议 58)和 IPsec 封装安全有效负载 (ESP) 通信(IPv6 协议 50)。

  • 对于 6to4 通信,封装 IPv6 通信的 IPv4 通信(IPv4 协议 41)。

  • 对于 Teredo 通信,具有用户数据报协议 (UDP) 端口 3544 的 IPv4 通信。

  • 对于 IP-HTTPS 通信,具有传输控制协议 (TCP) 端口 443 的 IPv4 通信。

例如,外部防火墙的 Internet 接口上的例外将具有以下格式:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

外围网络与内部网络之间的内部防火墙必须能够放行与 DirectAccess 服务器之间的以下类型的往返通信:

  • 对于本机 IPv6 通信,所有类型的 IPv6 通信。

  • 对于 ISATAP 通信,封装 IPv6 通信的 IPv4 通信(IPv4 协议 41)。

  • 对于 IPv4 和 NAT-PT 通信,所有 TCP、UDP 和 UDP 500 Internet 密钥交换 (IKE)/AuthIP 通信。

若要允许基于 Teredo 的连接,必须为组织中的所有域成员计算机配置和部署包含高级安全规则的以下附加 Windows 防火墙。

  • 入站 ICMPv6 回显请求消息(必需)

  • 出站 ICMPv6 回显请求消息(推荐)

不要为此目的使用预定义“文件和打印机共享(回显请求 - ICMPv6-In)”入站规则或“文件和打印机共享(回显请求 - ICMPv6-Out)”出站规则。如果使用这些预定义规则,可以通过关闭组织内的文件和打印机共享来禁用它们,这将导致缺少基于 Teredo 的连接。

将这些 Windows 防火墙设置部署到组织中的所有成员计算机的最简单方法是通过默认域组策略对象 (GPO)。有关详细信息,请参阅“清单:实施基本防火墙策略设计”(https://go.microsoft.com/fwlink/?LinkId=147688)(可能为英文网页)。

规则 1:入站 ICMPv6 回显请求消息

使用下列设置创建和启用自定义入站规则:

  • 所有程序

  • 针对回显请求消息的 ICMPv6 协议类型

  • 任何本地和远程 IP 地址

  • 允许操作

  • 所有配置文件(域、工作、公用)

此规则是必需的。

规则 2:出站 ICMPv6 回显请求消息

使用下列设置创建和启用自定义出站规则:

  • 所有程序

  • 针对回显请求消息的 ICMPv6 协议类型

  • 任何本地和远程 IP 地址

  • 允许操作

  • 所有配置文件(域、工作、公用)

除非使用 Windows 防火墙阻止所有出站通信(在这种情况下,此规则是必需的),否则推荐此规则作为最佳实践。

与智能卡集成

当 DirectAccess 客户端与 DirectAccess 服务器建立连接时,可以要求使用智能卡。用户不需要智能卡即可登录到其计算机和访问 Internet,但需要通过智能卡身份验证才能访问任何内部网络资源。

其他资源

有关 DirectAccess 与服务器集成以及域隔离和网络访问保护 (NAP) 的信息,请参阅 Microsoft Technet 上的 DirectAccess 主页 (https://go.microsoft.com/fwlink/?LinkId=142598)(可能为英文网页)。

目录