DirectAccess 简介
当今,雇员的移动性比以往任何时候都强,无论到哪里,他们都希望能访问 Intranet 资源。而在以前,以一种安全、可管理和无缝的方式来提供这种级别的连接一直是十分困难的。Windows Server 2008 R2 和 Windows 7 操作系统支持一种称为 DirectAccess 的新功能,该功能可以实现对 Intranet 资源的无缝远程访问。传统的虚拟专用网络 (VPN) 需要用户干预才能启动与 Intranet 的连接,而与之不同的是,DirectAccess 允许客户端计算机上的任何应用程序都具有对 Intranet 资源的访问权限,同时允许 IT 管理员指定对哪些资源甚至限制客户端方的应用程序进行远程访问。
用户将享受与 Intranet 资源的无缝连接,而无需再为长时间地等候 VPN 尝试连接或重新连接而烦恼。您的组织也将获益,因为可以使用同样的管理和更新服务器来管理远程计算机(如同在本地一样),确保其始终为最新状态且符合安全性和系统健康策略。安全管理员可以为远程访问定义比当前的 VPN 解决方案所允许的更为详细的访问控制策略,而且,这些策略还可为远程计算机提供持续的保护,使其免受被称为 Internet 的潜在恶意网络上威胁的攻击,让您安心无忧。
DirectAccess 允许远程用户直接连接到 Intranet 服务器,这意味着组织可以通过减少当前部署的应用程序特定的前端服务器的数目,来降低成本并简化其网络边缘。
DirectAccess 标志着向瘦边缘网络转变的开始和基于策略的安全性的延续。通过实施 DirectAccess,您的组织将为未来部署连接性和安全性的基础。
DirectAccess 方案
Contoso, Ltd 是一家领先的办公用品分销商,该公司引以为荣的是其个性化的客户服务。Contoso 共有 250 名销售员工,每位员工几乎在每个季度都会亲自上门拜访每位客户。
Francisco Javier Castrejón,Contoso 的销售总经理,在为客户洽谈疲劳奔波一天之后,即将前往其旅馆。办理完旅馆入住手续,找到旅馆房间后,他便将便携计算机连接到旅馆的来宾网络,开始访问 Contoso 的 Intranet 并上传一些新的销售订单。
连接到 Internet 之后,他打开 Web 浏览器,开始从他收藏的在线音乐网站收听音乐。当 Internet 上流出音乐时,他打开其内部销售应用程序,上传了今天完成的销售订单。上传完毕时,Francisco 在通知区域看到一条消息,通知其 IT 管理员推出了该销售应用程序的重要更新。
DirectAccess 的优点
DirectAccess 为提供以下优点而设计:
- 始终打开的连接 – 无论客户端计算机是否在线(在 Internet 上),它都具有与 Intranet 的连接。此连接可使远程客户端计算机轻松地进行访问和更新,并使 Intranet 资源始终为可用状态。
- 无缝连接 – 提供一致的连接体验,无论客户端计算机是本地还是远程,用户都无需再为复杂的连接选项和连接过程而操心,从而可以将更多的精力用于提高工作效率。此一致性可减少用户的培训成本并减少支持事件。
- 双向访问 – 只要 DirectAccess 客户端计算机在线,它在 Intranet 上即为可见,从而可以方便地用于更新和远程管理。此双向访问将减少更新所花的时间、增强安全性,降低错过更新的机率,并改善合规监视。
- 增强的安全性 – 与传统的提供“全或无”网络访问方式的 VPN 不同,DirectAccess 基于多种特点提供了许多级别的访问控制。这种更严格的控制使得安全架构师能够准确地控制谁在远程时可访问指定的资源。
- 集成的解决方案 – DirectAccess 完全集成了服务器和域隔离解决方案,以及网络访问保护 (NAP) 解决方案,从而产生了无缝集成 Intranet 计算机与远程计算机的安全、访问和健康要求策略。
DirectAccess 要求
更新时间: 2010年9月
应用到: Windows Server 2008 R2
DirectAccess 要求如下:
- 运行 Windows Server 2008 R2(带有或不带有 UAG)的一个或多个 DirectAccess 服务器,该服务器具有两个网络适配器:一个网络适配器直接连接到 Internet,另一个网络适配器连接到 Intranet。DirectAccess 服务器必须是 AD DS 域的成员。
- 在 DirectAccess 服务器上,至少有两个连续的公用 IPv4 地址分配给连接到 Internet 的网络适配器。
- 运行 Windows 7 企业版或 Windows 7 旗舰版的 DirectAccess 客户端计算机。DirectAccess 客户端必须是 AD DS 域的成员。
- 至少有一个域控制器和 DNS 服务器运行的是 Windows Server 2008 SP2 或 Windows Server 2008 R2。使用 UAG 时,若启用了 NAT64 功能,则可以将 DirectAccess 部署在运行 Windows Server 2003 的 DNS 服务器和域控制器上。
- 用于颁发计算机证书或者为智能卡身份验证颁发智能卡证书以及为 NAP 颁发健康证书的公钥基础结构 (PKI)。有关详细信息,请参阅 Microsoft 网站上的公钥基础结构(可能为英文网页)。
- 不带 UAG 的可选 NAT64 设备为 DirectAccess 客户端提供仅限 IPv4 资源的访问权限。带有 UAG 的 DirectAccess 提供内置的 NAT64。
适用于 Windows Server 2008 R2 的 DirectAccess
更多内容请访问:http://technet.microsoft.com/zh-cn/library/dd758757(WS.10).aspx
添加新评论0 条评论