可以使用以下组合部署 DirectAccess:
- 访问模型,用于定义 DirectAccess 客户端可以访问的内部网络资源的类型,以及 DirectAccess 客户端和内部网络服务器是否使用 Internet 协议安全 (IPsec) 执行身份验证和通信保护
- 可伸缩性模型,用于定义需要将您的 DirectAccess 基础结构扩展到多少台 DirectAccess 服务器以满足 DirectAccess 客户端的需求。
访问模型
可以将 DirectAccess 安装向导与下列访问模型一起使用来部署 DirectAccess 服务器:
- 端到边缘
- 针对选定服务器的端到端
端到边缘
端到边缘访问模型允许 DirectAccess 客户端连接到内部网络内的所有资源,但不使用 IPsec 保护与内部网络服务器之间的端到端通信。基于 IPsec 的隧道策略要求身份验证和加密,并且在默认情况下,IPsec 会话在 DirectAccess 服务器上终止。此访问模型与运行 Windows Server 2003 并且不支持对 IPv6 通信进行基于策略的 IPsec 保护的网络服务器一起工作。
针对选定服务器的端到端
除了对 DirectAccess 客户端与服务器之间通过 Internet 的通信进行加密外,针对选定服务器的端到端访问模型还确保对 DirectAccess 客户端与内部网络服务器之间的通信进行身份验证和保护。这允许 DirectAccess 客户端确认它们是否在与其所需的服务器进行通信。
对于此访问模型,也可以指定使用不带保护的身份验证,它使用在 Windows 7 和 Windows Server 2008 R2 中提供的新 IPsec 策略选项“仅身份验证(空封装)”。不带保护的身份验证要求 DirectAccess 客户端和内部网络资源执行 IPSec 对等端身份验证,但不使用 IPsec 标头保护后续交换的数据包。对于包含无法分析或转发受 IPsec 保护通信的数据包处理或转发设备的网络,可能需要此选项。
可伸缩性模型
可以使用单服务器设置 DirectAccess,这允许 DirectAccess 提供运行所需的所有基本功能。但是,由于 DirectAccess 的目的是提供与远程用户的连接,因此多服务器的可靠性和可伸缩性以及划分任务同样十分重要。
单服务器
在单服务器方案中,DirectAccess 的所有组件托管在同一台服务器计算机中。此方案的优点在于相对简单的部署,只需要单台 DirectAccess 服务器。此方案的局限性在于单一故障点和服务器性能瓶颈会限制最大并发 DirectAccess 连接数。DirectAccess 安装向导配置单服务器方案。
多服务器
如果优先考虑可用性,则多服务器可以使任何网络中断时间尽可能缩短到约两分钟。为此,至少需要部署四台服务器。配置了两台服务器的网络负载平衡 (NLB) 群集提供与 Internet 上的 DirectAccess 客户端的 IPv6 连接。两台服务器提供 IPsec 会话终止和故障转移。如果任何服务器出现故障,将通过运行中的服务器重新路由该连接,从而还原服务。
有关多服务器可伸缩性模型及如何在不同服务器上配置 DirectAccess 组件的详细信息,请参阅 Microsoft Technet 上的 DirectAccess 主页 (