Windows Server 2012 R2 DirectAccess 功能测试(混合IPv4与IPv6)
简介:
DirectAccess是微软下一代×××技术,主要用来替代传统×××以及解决一些现有技术难以解决的疑难杂症,它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立×××连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。
Direct Access克服了×××的很多局限性,它可以自动地在外网客户机和公司内网服务器之间建立双向的连接。DirectAccess使用IPSec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。
Direct Access工作时,客户机建立一个通向DirectAccess服务器的IPv6隧道连接。这个IPv6的隧道连接,可以在普通的IPv4网络上工作。DirectAccess 服务器承担了网关的角色连接内网和外网。
优点:
提高漫游员工工作效率:提供内部与外部办公同样的连接体验,只要有互联网连接便可以访问内部网络资源的能力,无论他在旅行还是在家。
远程用户更易于管理:如果没有DirectAccess,只有当用户连接到×××或进入办公室,才能对移动计算机进行管理。通过DirectAccess,只要移动计算机有互联网连接就可以进行管理,即使用户没有登录。这允许对移动计算机进行定期管理,有助于确保移动用户保持最新的安全性和系统健康策略。DirectAccess有助于企业对漫游在企业网络外的财产进行安全监督和数据保护。
改进的安全性:直接访问使用IPSec进行认证和加密。您可以选择用智能卡(Smart Card)进行用户身份验证。DirectAccess集成NAP,规定DirectAccess客户端必须符合系统健康要求才能允许连接到DirectAccess服务器。
以下几点为网友总结,比较经典:
1、当用户在外办公时遇到网络不稳定时,×××需要断线重拨,而DirectAccess完全是自动的,30秒的间隔会自动重新连接服务器
2、当我们在外出差的时候,公司有了新的域策略或者是修改了域策略,那么用户就接收不到最新的策略了。而DirectAccess是用户打开电脑后,登录系统前就会建立好连接,并将域策略刷新过来,当然了,如果还要拨宽带连接的话就做不到了。实际测试的过程中会发现,这跟你服务器的部署方式也会有点关系。
3、用×××是不能双向访问的,通过DirectAccess管理员可以直接远程桌面到在外出差办公的客户机。
4、DirectAccess还支持NAP,能对连接进网络的用户进行健康检查和准入控制。
5、×××不能灵活控制哪些服务器能访问、哪些不能访问,DirectAccess不但可以进行灵活的控制,还能对访问隧道进行IPSec加密防止通信被第三方窃取!
拓扑图(点击图片可查看大图):
一、安装DC
安装AD+DNS+DHCP过程(略)
域名为corp.sxleilong.com,电脑名称为DC
IPv4地址配置如下所示
IPv6地址如下,说明:IPv6也必须配置静态IP地址
DHCP地址池地址分配如下所示
为DirectAccessClients创建一个全局安全组。
打开AD管理中心,切换到“corp(本地)”,选中“Users”,在“任务”面板,点击“新建”,选择“组”
填写组名DA-Clients,此时,也可以添加成员,我稍后在添加
创建网络位置服务器DNS记录。
打开DNS管理器,展开到“corp.sxleilong.com”并右击,选择“新建主机”
名称填写NLS,地址填写10.0.0.3,然后点击“添加主机”
创建ICMPv4和ICMPv6回显请求防火墙规则。
用命令gpmc.msc打开组策略管理控制台,展开到“组策略对象”,右击“DefaultDomain Policy”选择“编辑”
依次展开默认域策略—》计算机配置—》策略—》Windows设置—》安全设置—》高级安全,选定“入站规则”并右击,选择“新建规则”
选中“自定义”,下一步
协议类型选择“ICMPv4”,然后点击“自定义”,勾选特定ICMP类型下的“回显请求”
勾选“允许连接”,下一步
3项务必全部选中,下一步
填写新建的入站规则名称,点击“完成”
同理,再创建一个ICMPv6的入站回显请求规则
转载于:https://blog.51cto.com/sxleilong/1357230
999
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
