DirectAccess概述

DirectAccess是一种安全的远程访问技术,用于连接远程工作站和移动设备到企业网络,而无需使用传统的虚拟私人网络(VPN)连接。DirectAccess 可以自动建立安全的 IPv6 连接,而无需用户干预,这使得远程用户可以方便地访问企业内部资源,如文件、应用程序和网络服务,同时也可以获得与内部用户相同的安全保护

相较于传统的 VPN,DirectAccess 具有以下优势:

  1. 无需手动连接:用户无需手动启动 VPN 客户端,只需联网即可自动连接到企业网络。
  2. 持续连接:DirectAccess 可以在后台持续运行,无需中断连接或重新连接。
  3. 更高的安全性:DirectAccess 使用强加密算法和公钥基础设施(PKI)证书来保护远程连接,比 VPN 更加安全可靠。
  4. 更好的用户体验:用户可以像在内部网络中一样访问企业资源,无需在远程访问时受到网络速度或带宽的限制。

DirectAccess 技术最初是在 Windows Server 2008 R2 中引入的,并在后续版本的 Windows Server 中得到改进和增强。在 Windows 10 中,DirectAccess 已经被改名为 Always On VPN,并且提供了更加灵活的配置选项和支持多种 VPN 协议。

DirectAccess架构

微软新一代VPN解决方案DirectAccess_DirectAccess

如上述所示:将DA服务器放置在DMZ区,NLS放置在内网。

1.      DA:主服务器,策略配置,显示所有操作状态。

2.      NLS:以此来鉴定客户端位于内网还是外网。

3.      DA和NLS、DA客户端系统防火墙必须开启。

基本环境准备    

准备DA公用名

1)      由于DA服务器需要发布Internet,所以需要给予一个发布到公网的公用名和公网IP地址;

2)      在防火墙映射一个公网IP给DA服务器,其中公用名称:daconnect.contoso.com,IP地址:1.1.1.1;

3)      确保Internet上能够正常ping通该地址和主机名;

 创建A记录

1)      登陆DC服务器,打开DNS管理控制台,分别创建DA和NLS的A记录,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_02

微软新一代VPN解决方案DirectAccess_DirectAccess_03

2) 登陆到父域的DC,由于DA发布公网的公用名使用的是父域contoso.com后缀名,所以需要在此创建相应的A记录,确保企业内网也能够ping通该地址;

微软新一代VPN解决方案DirectAccess_DirectAccess_04

      创建通讯组

1)      针对DA客户端的计算机账号,创建相应的通讯组,命名DA_Clients,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_05

      创建自定义证书模板

1)      打开证书颁发机构,右击证书模板,选择“管理”,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_06

1)      选择计算机模板,右击“复制模板”;

2)      切换到“常规”选项卡,填写模板显示名称为“DA-computers”,并勾选“在ActiveDirectory中发布证书”,及修改有效期,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_07

4)      切换到“请求处理”选项卡,勾选“允许导出私钥”;

微软新一代VPN解决方案DirectAccess_DirectAccess_08

5)      切换至“安全”选项卡,添加赋予上述创建的DA_Clients组权限,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_09

6)      并且赋予Authenticated Users注册权限,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_10

7)      按照同样的方式复制web服务器模板,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_11

8)      切换到“常规”选项卡,填写模板显示名称为“2012R2 WEB”,并勾选“在ActiveDirectory中发布证书”,及修改有效期,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_12

9)      切换到“请求处理”选项卡,勾选“允许导出私钥”;

微软新一代VPN解决方案DirectAccess_DirectAccess_13

10)      切换到“安全”选项卡,选中“AuthenticatedUsers”,并勾选允许“注册”;

微软新一代VPN解决方案DirectAccess_DirectAccess_14

11)      点击“添加”,添加“DomainComputers”,并勾选允许“注册”;

微软新一代VPN解决方案DirectAccess_DirectAccess_15

12)      在证书颁发机构控制台,右击“证书模板”,选择“新建”的子菜单“要颁发的证书模板;选中上述创建的两个模板,确定;

微软新一代VPN解决方案DirectAccess_DirectAccess_16

微软新一代VPN解决方案DirectAccess_DirectAccess_17

    创建组策略

1、DC服务器上,用命令gpmc.msc打开组策略管理控制台,新建GPO,命名“DA_ICMP”,并选择“编辑”; 依次展开默认域策略—》计算机配置—》策略—》Windows设置—》安全设置—》高级安全,选定“入站规则”并右击,选择“新建规则”;

微软新一代VPN解决方案DirectAccess_DirectAccess_18

2、在“规则类型”页上,单击“自定义”,然后单击“下一步”;

微软新一代VPN解决方案DirectAccess_DirectAccess_19

微软新一代VPN解决方案DirectAccess_DirectAccess_20

微软新一代VPN解决方案DirectAccess_DirectAccess_21

微软新一代VPN解决方案DirectAccess_DirectAccess_22

微软新一代VPN解决方案DirectAccess_DirectAccess_23

3、同样地创建入站规则的ICMPv6-in bound,以及出站规则的ICMPv4-回显示请求和ICMPv6-回显示请求,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_24

微软新一代VPN解决方案DirectAccess_DirectAccess_25

4、 配置计算机证书自动注册。在组策略管理编辑器的控制台中,打开“计算机配置\策略\ Windows设置\安全设置\公钥策略”,选中“证书服务客户端-自动注册”,启用;

微软新一代VPN解决方案DirectAccess_DirectAccess_26

配置NLS服务器

申请证书

1)      将NLS计算机加入域;

2)      命令行中输入mmc,打开控制台1,选则“文件”下拉菜单“添加/删除管理单元”;选中“证书”,点击“添加”,选择“计算机帐户”;

3)      依次展开证书(本地计算机)—》个人—》证书,并右击选择“所有任务”子菜单“申请新证书”;

微软新一代VPN解决方案DirectAccess_DirectAccess_27

4)      选中“ActiveDirectory注册策略”,下一步,勾选“2012 R2 WEB”和“DA-computers”,点击“注册此证书需要详细信息。单击这里以配置设置。

微软新一代VPN解决方案DirectAccess_DirectAccess_28

5)      切换到“使用者”选项卡,选择类型为“公用名”,值为:NLS.Dev.contoso.com,然后点击“添加”;

微软新一代VPN解决方案DirectAccess_DirectAccess_29

微软新一代VPN解决方案DirectAccess_DirectAccess_30

安装IIS角色

微软新一代VPN解决方案DirectAccess_DirectAccess_31

1、打开IIS管理器,单击“Default Web Site”,在右边“操作”窗口中单击“绑定”,在“网站绑定”对话框中单击“添加”;

微软新一代VPN解决方案DirectAccess_DirectAccess_32

2、 在“类型”中选择“https”,在“SSL证书”中选择“NLS.contoso.com”,然后单击“确定”;

微软新一代VPN解决方案DirectAccess_DirectAccess_33

部署和配置DA服务器

申请IP-HTTP证书

1)      将DA计算机加入域;

2)      命令行中输入mmc,打开控制台1,选则“文件”下拉菜单“添加/删除管理单元”;选中“证书”,点击“添加”,选择“计算机帐户”;

3)      依次展开证书(本地计算机)—》个人—》证书,并右击选择“所有任务”子菜单“申请新证书”,选中“ActiveDirectory注册策略”,下一步,勾选“2012 R2 WEB”,点击“注册此证书需要详细信息。单击这里以配置设置;

微软新一代VPN解决方案DirectAccess_DirectAccess_34

4)      切换到“使用者”选项卡,选择类型为“公用名”,“备用名称”选项卡,选择类型“DNS”值为:daconnect.contoso.com,然后点击“添加”;

微软新一代VPN解决方案DirectAccess_DirectAccess_35

微软新一代VPN解决方案DirectAccess_DirectAccess_36

6)      按照同样的方法申请“DA-computers”证书,如下所示;

微软新一代VPN解决方案DirectAccess_DirectAccess_37

安装并配置DirectAccess服务器

1)      在DA服务器上安装Remote Access服务器角色。勾选“远程访问”,下一步;

微软新一代VPN解决方案DirectAccess_DirectAccess_38

2)      在角色服务中,选择DirectAccess and VPN(RAS),如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_39

3)打开远程访问管理控制台,在配置界面,选择“运行远程访问设置向导”,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_40

4)      选择“仅部署DirectAccess”,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_41

5)      选择步骤1的配置,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_42

微软新一代VPN解决方案DirectAccess_DirectAccess_43

6)      添加上述为DA客户端计算机账号创建的组DA_Clients,下一步;

微软新一代VPN解决方案DirectAccess_DirectAccess_44

微软新一代VPN解决方案DirectAccess_DirectAccess_45

7)      选择步骤2的配置,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_46

8)      拓扑选择位于边缘设备之后(具有一个网络适配器),并且输入上述证书赋予的公用名daconnect.contoso.com,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_47

微软新一代VPN解决方案DirectAccess_DirectAccess_48

9)      勾选“使用计算机证书”,浏览CA根证书,,并且勾选支持windows7选项,单击完成;

微软新一代VPN解决方案DirectAccess_DirectAccess_49

10)      选择步骤3的配置,如下;

微软新一代VPN解决方案DirectAccess_DirectAccess_50

11)      输入NLS服务器访问的全称https://NLS.Dev.contoso.com,下一步;

微软新一代VPN解决方案DirectAccess_DirectAccess_51

微软新一代VPN解决方案DirectAccess_DirectAccess_52

微软新一代VPN解决方案DirectAccess_DirectAccess_53

12)      如下窗口,单击完成

微软新一代VPN解决方案DirectAccess_DirectAccess_54

13)      完成后如下所示;

微软新一代VPN解决方案DirectAccess_DirectAccess_55

微软新一代VPN解决方案DirectAccess_DirectAccess_56