DirectAccess 可以使用下列項目的組合來部署:
- 存取模型:定義 DirectAccess 用戶端可以存取之內部網路資源的類型,以及 DirectAccess 用戶端及內部網路伺服器是否使用網際網路通訊協定安全性 (IPsec) 來執行驗證以及流量保護
- 延展性模型:定義您要調整的 DirectAccess 基礎結構的 DirectAccess 伺服器數量,以符合 DirectAccess 用戶端的需求
存取模型
您可以使用 [DirectAccess 安裝] 精靈以及下列存取模型來部署 DirectAccess 伺服器:
- 端點對外緣
- 所選伺服器的端點對端點
端點對外緣
端點對外緣存取模型允許 DirectAccess 用戶端連線至內部網路內的所有資源,但不使用 IPsec 來保護與內部網路伺服器進行的端點對端點通訊。IPsec 式通道原則需要驗證與加密,以及 IPsec 工作階段預設終止於 DirectAccess 伺服器。這個存取模型可運作於執行 Windows Server 2003 但不支援 IPv6 流量以原則為主之 IPsec 保護的網路伺服器。
所選伺服器的端點對端點
除了 DirectAccess 用戶端與伺服器之間透過網際網路的流量加密外,所選伺服器的端點對端點存取模型還可以保證 DirectAccess 用戶端與內部網路伺服器之間的通訊都要經過驗證並受到保護。這樣可以讓 DirectAccess 用戶端確認,自己是和所要的伺服器進行通訊。
對於這個存取模型,您還可以指定使用無保護驗證,也就是使用 Windows 7 及 Windows Server 2008 R2 提供之新的 [僅驗證 (Null 封裝)] IPsec 原則選項。無保護驗證需要 DirectAccess 用戶端和內部網路資源執行 IPsec 對等驗證,但所交換的後續資料封包無 IPsec 標頭保護。含有封包處理、或者無法剖析或轉送受 IPsec 保護之流量的轉送裝置的網路,可能需要這個選項。
延展性模型
DirectAccess 可以使用單一伺服器來安裝,這樣可以允許 DirectAccess 提供作業所需的所有基準功能。不過,由於 DirectAccess 的用途在於提供遠端使用者連線能力,因此,多部伺服器的可靠性與延展性以及工作的劃分也非常重要。
單一伺服器
在單一伺服器案例,DirectAccess 的所有元件都是裝載於同一部伺服器電腦上。這種案例的優點是部署相對簡單,僅需要單一 DirectAccess 伺服器便足夠。這種方案的限制是單一失敗點以及伺服器效能瓶頸可能會限制 DirectAccess 同時連線的最大數目。[DirectAccess 安裝] 精靈將設定單一伺服器案例。
多部伺服器
如果高可用性為優先考慮,多部伺服器可以將任何網路中斷時間最小化至約二分鐘。至少需要部署四部伺服器才能夠做到這一點。配置兩部伺服器的網路負載平衡 (NLB) 叢集可以在網際網路上提供 DirectAccess 用戶端的 IPv6 連線。兩部伺服器可提供 IPsec 工作階段終止以及容錯移轉。如果有任何伺服器失敗,服務將可透過運作中的伺服器重新路由連線而復原。
如需多部伺服器延展性模型以及如何在不同伺服器上設定 DirectAccess 元件的相關資訊,請參閱 Microsoft TechNet 上的 DirectAccess 首頁 (