DirectAccess是Windows 7和Windows Server2008R2中引入的一项新的功能,它能够让漫游的计算机通过IPv6隧道接入的企业的内网,让漫游的用户更好的访问企业内部的资源,同时能够让管理员更灵活的管理漫游的计算机。

在Windows Server  2012中对DirectAccess的管理和部署有了一些改进和加强,接下来我就通过DirectAccess部署向导来展示新的改进和功能。

在本次实验中我已经配置好了域控制器、证书服务器等所需的其他组件,主要详细说明DirectAccess的配置过程。

1. 首先打开服务器管理,然后单击右上角的管理,然后单击添加角色和功能

clip_p_w_picpath002

2. 然后选择“基于角色或基于功能的安装”,然后单击下一步

clip_p_w_picpath004

3. 选择要安装的目标服务器,然后单击下一步。这里是Windows Server 8的服务器管理器新的一个新特性,它能够远程的管理服务器并且在服务器上进行角色和功能的安装。

clip_p_w_picpath006

4. 在选择服务器角色中,选择“远程访问”角色,远程访问角色是Windows server 8中的新角色,它将×××和DirectAccess集成到了统一的管理,为用户提供远程接入。

clip_p_w_picpath008

5. 在功能选择页面,保持默认设置,然后点击下一步

clip_p_w_picpath010

6. 在角色服务配置页面,保持默认选择“DirectAccess和×××(RAS)”状态,然后点击下一步

clip_p_w_picpath012

7. 在确认页面,单击安装。

clip_p_w_picpath014

通过以上步骤已经完成了角色的安装,接下来配置远程访问角色。

1. 打开“远程访问管理”

clip_p_w_picpath016

2. 在打开的向导中,有两种方式可以使用。一种是“开始向导”,这种方法将按照默认的方式来快速配置DirectAccess和×××;另外一种方式是“远程访问设置向导”,这种方式将自定义的配置DirectAccess和×××,如果要进行高可用、负载均衡或者一些高级的配置选项,将要使用这种方式。在这次实验中将按照默认的方式来快速配置DirectAccess和×××

clip_p_w_picpath018

3. 打开开始向导,选择“同时部署DirectAccess和×××”,这个向导将引导我们同时配置DirectAccess和×××

clip_p_w_picpath020

4. 然后选择外网的类型,在这里可以配置网络的拓扑。

clip_p_w_picpath022

在Windows Server 2008R2时候的DirectAccess服务器是必须拥有公网的IP地址的,因此造成了一些安全的隐患。在Windows Server 8的时候可以将DirectAccess服务器放置到边缘的设备之后。

clip_p_w_picpath024

5. 在这次配置中使用DirectAccess服务器在边缘的配置。在输入公网的名称之后,单击下一步。然后在完成页面,单击完成。

clip_p_w_picpath026

6. 接下来将有一个向导来自动设置

clip_p_w_picpath028

然后就可以正式开始配置DirectAccess了。

clip_p_w_picpath030

1. 在步骤1中,单击编辑,打开配置页面。然后设置部署方案为完全的DirectAccess,然后单击下一步。

clip_p_w_picpath032

2. 添加需要使用DirectAccess接入到内网的计算机组,然后设置是否只为移动计算机启用DirectAccess(这个设置将会判断计算机是否为移动计算机,例如笔记本,它将只会对移动的计算机启用DirectAccess,而不会为台式计算机启用DirectAccess),另外一个设置是是否使用强制的隧道。设置完成,单击下一步。

clip_p_w_picpath034

3. 接下来配置网络连接助手,他将能够帮助用户判断是否已经通过DirectAccess接入到企业的内网。在这里能够配置用于验证的服务器地址,Helpdesk的邮件,和显示的名称。配置完成后,单击完成。

clip_p_w_picpath036

4. 然后进行步骤2的配置,这个配置中主要进行接入服务器的配置。首先配置网络的拓扑结构和在公网中的名称,单击下一步

clip_p_w_picpath038

5. 配置DirectAccess服务器的内网网卡和外网网卡,然后配置建立IP-HTTPS隧道使用的证书,然后单击下一步。

clip_p_w_picpath040

6. 配置身份验证选项和计算机证书,此外还可以配置Windows 7是否能够使用DirectAccess和NAP,单击下一步

clip_p_w_picpath042

7. 设置对于×××客户端的地址分配策略,单击完成。

clip_p_w_picpath044

8. 进行步骤3的设置,在步骤3中主要进行基础架构的安装。首先配置网络位置服务器的地址,网络位置服务器主要用于判断用户是否已经连接企业内网,它是一个HTTPS的站点。验证成功后,单击下一步。

clip_p_w_picpath046

9. 然后配置DNS,在这里可以配置一些需要排除使用DirectAccess的服务器,单击下一步

clip_p_w_picpath048

10. 然后设置DNS后缀搜索列表,在Windows Server 8中的DirectAccess是支持多个域的,它能够帮助在内网中使用多个域名的企业。而这个特性是在Windows Server 2008R2中不支持的。

clip_p_w_picpath050

11. 设置管理服务器的地址,然后单击完成。

clip_p_w_picpath052

12. 接下来配置步骤4,在这里设置是否对内网应用程序服务器的身份验证设置,然后单击完成。

clip_p_w_picpath054

通过以上的步骤以及完成了DirectAccess服务器的配置,单击下方的完成按钮。

clip_p_w_picpath056

然后对进行的配置进行一些审阅,确认无误后单击应用

clip_p_w_picpath058

这些设置将会自动应用

clip_p_w_picpath060

在组策略管理器中可以单击以及创建的DirectAccess相关的策略

clip_p_w_picpath062

在Windows Server 8中同时也对监控的选项有了很大的改进,可以对服务器的状态,远程连接的客户端的状态进行实时的监控。

1. 首先来看看服务器的监控的改进,可以看到服务器的操作状态,连接的客户端数量,传输使用的数据量等详细的信息。

clip_p_w_picpath064

2. 然后来看看远程客户端的监控状态,在其中可以看到连接的主机名,ISP地址,协议,连接时间等信息。

clip_p_w_picpath066

至此Windows Server 8中的DirectAccess已经做了一个对简单的介绍和配置,最后从网站上搜集到一些Windows Server 8中的DirectAccess的新特性列在下面,供大家参考:

DirectAccess and RRAS coexistence

Simplified DirectAccess management for small and medium organization administrators

Removal of PKI deployment as a DirectAccess prerequisite

Built-in NAT64 and DNS64 support for accessing IPv4-only resources

Support for DirectAccess server behind a NAT device

Simplified network security policy

Load balancing support

Support for multiple domains

NAP integration

Support for OTP (token based authentication)

Automated support for force tunneling

IP-HTTPS interoperability and performance improvements

Manage-out support

Multisite support

Support for Server Core

Windows PowerShell support

User and server health monitoring

Diagnostics

Accounting and reporting

Site-to-site IKEv2 IPsec tunnel mode ×××