本主題提供 DirectAccess 部署元件、DirectAccess 用戶端連線方法、DirectAccess 流量防火牆設定以及智慧卡整合的相關資訊。

DirectAccess 元件

DirectAccess 部署由下列元件組成:

  • DirectAccess 用戶端

  • 至少一部 DirectAccess 伺服器

  • Active Directory(R) 網域服務 (AD DS) 網域

  • 公開金鑰基礎結構 (PKI)

  • 網路位置伺服器

  • 支援網際網路通訊協定第 6 版 (IPv6) 的內部網路及應用程式,或網路位址轉譯-連接埠轉譯 (NAT-PT) 裝置

DirectAccess 用戶端

DirectAccess 用戶端是執行 Windows 7 或 Windows Server 2008 R2 並加入至 AD DS 網域的電腦,而且使用 IPv6 及網際網路通訊協定安全性 (IPsec) 來自動初始與維護從網際網路對內部網路的遠端連線。

未加入 AD DS 網域的電腦或執行 Windows Vista 或舊版 Windows 的電腦都不支援 DirectAccess。

至少一部 DirectAccess 伺服器

DirectAccess 伺服器是執行 Windows Server 2008 R2 並加入 AD DS 網域的電腦,而且使用 IPv6 及 IPsec 來回應網際網路上的 DirectAccess 用戶端並將 DirectAccess 用戶端連線至內部網路。

未加入 Active Directory 網域的電腦或執行 Windows Server 2008 或舊版 Windows Server 的電腦都不支援 DirectAccess 伺服器功能。

若要安裝 DirectAccess,請參閱安裝 DirectAccess

請勿在 DirectAccess 伺服器上裝載任何其他主要功能。DirectAccess 伺服器應該專用於 DirectAccess。視部署以及延展性需求而定,您可能需要多部 DirectAccess 伺服器或者使用手動設定在多部伺服器之間區分 DirectAccess 功能。如需多部伺服器部署的相關資訊,請參閱 Microsoft Technet 上的 DirectAccess 首頁 (https://go.microsoft.com/fwlink/?LinkId=142598 (可能為英文網頁))。

如需 DirectAccess 伺服器需求的相關資訊,請參閱檢查清單:設定 DirectAccess 之前

AD DS 網域

DirectAccess 依賴 AD DS 來完成驗證認證、電腦憑證自動註冊以及透過集中群組原則式設定的 IPsec、IPv6 以及其他設定。DirectAccess 用戶端與伺服器必須是 AD DS 網域的成員。

PKI

DirectAccess 依賴 Active Directory 憑證服務 (AD CS) 憑證授權單位發出的電腦憑證來完成 IPsec 工作階段以及 IP-HTTPS 式連線的驗證。

網路位置伺服器

「網路位置伺服器」是一種內部網路伺服器,其中裝載 HTTPS 式統一資源定位器 (URL)。DirectAccess 用戶端會存取該 URL 來判斷本身是否位於內部網路上。DirectAccess 伺服器可以是網路位置伺服器,但建議使用高可用性網頁伺服器。網頁伺服器不必專用為網路位置伺服器。

支援 IPv6 的內部網路及應用程式,或 NAT-PT 裝置

DirectAccess 用戶端獨佔使用 IPv6 來存取內部網路資源。因此,DirectAccess 用戶端只能夠和可以使用 IPv6 來連線的內部網路伺服器及資源通訊。有三種方式可使用 IPv6 連線至內部網路:

  • 將內部網路路由基礎結構設成支援原始的 IPv6。這樣便可以連上支援 IPv6 的內部網路伺服器及應用程式。執行 Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的電腦預設已設定成使用 IPv6。

  • 請在您的內部網路上部署內部網站自動通道定址通訊協定 (ISATAP)。藉由使用 ISATAP,支援 IPv6 的內部網路伺服器及應用程式可以將 IPv6 流量引導至僅支援 IPv4 的內部網路。執行 Windows 7、Windows Server 2008 R2、Windows Vista 或 Windows Server 2008 的電腦都支援 ISATAP 主控功能。ISATAP 允許這些電腦不需要原始 IPv6 路由便可以使用 IPv6。DirectAccess 伺服器會在您的內部網路上沒有 IPv6 連線時,自動將本身設定為 ISATAP 路由器。

  • 使用網路位址轉譯-通訊協定轉譯 (NAT-PT) 裝置來轉譯使用 IPv6 之 DirectAccess 用戶端與僅使用 IPv4 之伺服器及應用程式之間的流量。Windows Server 2008 R2 不提供 NAT-PT 功能。NAT-PT 裝置通常由第 2 層和第 3 層交換器及路由器廠商供應。請參閱交換器與路由器文件來取得 NAT-PT 功能與設定的相關資訊。

DirectAccess 用戶端連線方法

下表列出可能的 DirectAccess 用戶端設定及其將 IPv6 流量傳送至 DirectAccess 伺服器的對應方法。

用戶端設定慣用的連線方法

指派的全域 IPv6 位址

全域 IPv6 位址

指派的公用 IPv4 位址 (不在 10.0.0.0/8、172.16.0.0/12 以及 192.168.0.0/16 範圍內的位址)

6to4 是一種 IPv6 轉換技術,可為具有公用 IPv4 位址的主機或網站跨越 IPv4 網際網路提供 IPv6 連線。

指派的私人 IPv4 位址 (在 10.0.0.0/8、172.16.0.0/12 以及 192.168.0.0/16 範圍內的位址)

Teredo 是一種 IPv6 轉換技術,可為指派私人 IPv4 位址以及位於不支援 6to4 路由器功能之 IPv4 網路位址轉譯 (NAT) 裝置的後方的主機跨越 IPv4 網際網路提供 IPv6 連線。

用戶端無法使用 6to4 或 Teredo 來連線

IP-HTTPS 是 Windows 7 和 Windows Server 2008 R2 的新通訊協定,允許位於 Web Proxy 伺服器或防火牆後方的主機在 IPv4 式的安全超文字傳輸協定 (HTTPS) 工作階段內部開啟 IPv6 封包通道來建立連線。通常只有在用戶端無法使用其他 IPv6 連線方法來連線到 DirectAccess 伺服器時才使用 IP-HTTPS。

DirectAccess 流量的防火牆設定

介於網際網路與周邊網路之間的外部防火牆必須可以對 DirectAccess 伺服器雙向傳遞下列類型的流量:

  • 原始 IPv6 流量:IPv6 (ICMPv6) 流量 (IPv6 通訊協定 58) 的網際網路控制訊息通訊協定以及 IPsec 封裝安全承載 (ESP) 流量 (IPv6 通訊協定 50)。

  • 6to4 流量:封裝 IPv6 流量 (IPv4 通訊協定 41) 的 IPv4 流量。

  • Teredo 流量:使用使用者資料包通訊協定 (UDP) 連接埠 3544 的 IPv4 流量。

  • IP-HTTPS 流量:使用傳輸控制通訊協定 (TCP) 連接埠 443 的 IPv4 流量。

例如,外部防火牆之網際網路介面的例外格式如下:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

介於周邊網路與內部網路之間的內部防火牆必須可以對 DirectAccess 伺服器雙向傳遞下列類型的流量:

  • 原始 IPv6 流量:所有類型的 IPv6 流量。

  • ISATAP 流量:封裝 IPv6 流量 (IPv4 通訊協定 41) 的 IPv4 流量。

  • IPv4 和 NAT-PT 流量:所有 TCP、UDP 與 UDP 500 網際網路金鑰交換 (IKE)/AuthIP 流量。

若要允許 Teredo 式連線,您必須設定與部署組織中所有網域成員電腦的下列其他「具有進階安全性的 Windows 防火牆」規則:

  • 輸入 ICMPv6 回應要求訊息 (必要)

  • 輸出 ICMPv6 回應要求訊息 (建議)

請勿將預先定義的 [檔案及印表機共用 (回應要求 - ICMPv6-In)] 輸入規則或 [檔案及印表機共用 (回應要求 - ICMPv6-Out)] 輸出規則用於這個目的。如果您使用這些預先定義的規則,可以透過關閉組織內的檔案及印表機共用來停用,這樣將造成缺少 Teredo 式的連線功能。

在組織中的所有成員電腦部署這些 Windows 防火牆設定最簡單的方法是透過預設網域群組原則物件 (GPO)。如需相關資訊,請參閱檢查清單:實作基本防火牆原則設計 (https://go.microsoft.com/fwlink/?LinkId=147688 (可能為英文網頁))。

規則 1:輸入 ICMPv6 回應要求訊息

使用下列設定建立並啟用自訂輸入規則:

  • 所有程式

  • 搭配回應要求訊息的 ICMPv6 通訊協定類型

  • 任何本機與遠端 IP 位址

  • 允許動作

  • 所有設定檔 (網域、工作、公用)

這是必要規則。

規則 2:輸出 ICMPv6 回應要求訊息

使用下列設定建立並啟用自訂輸出規則:

  • 所有程式

  • 搭配回應要求訊息的 ICMPv6 通訊協定類型

  • 任何本機與遠端 IP 位址

  • 允許動作

  • 所有設定檔 (網域、工作、公用)

除非您使用 Windows 防火牆封鎖所有輸出流量,否則建議使用此規則做為最佳作法,在此情況下必須使用此規則。

使用智慧卡整合

您可以在 DirectAccess 用戶端要連線至 DirectAccess 伺服器時要求使用智慧卡。使用者可以登入自己的電腦及存取網際網路而不需要智慧卡,但存取任何內部網路資源時則需要智慧卡驗證。

其他資源

如需 DirectAccess 整合伺服器與網域隔離以及網路存取保護 (NAP) 的資訊,請參閱 Microsoft TechNet 上的 DirectAccess 首頁 (https://go.microsoft.com/fwlink/?LinkId=142598 (可能為英文網頁))。