简介：

    DirectAccess是微软下一代×××技术，主要用来替代传统×××以及解决一些现有技术难以解决的疑难杂症，它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能，外网的用户可以在不需要建立×××连接的情况下，高速、安全的从Internet直接访问公司防火墙之后的资源。

Direct Access克服了×××的很多局限性，它可以自动地在外网客户机和公司内网服务器之间建立双向的连接。DirectAccess使用IPSec进行计算机之间的验证，这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时，客户机建立一个通向DirectAccess服务器的IPv6隧道连接。这个IPv6的隧道连接，可以在普通的IPv4网络上工作。DirectAccess 服务器承担了网关的角色连接内网和外网。

优点：

     提高漫游员工工作效率：提供内部与外部办公同样的连接体验，只要有互联网连接便可以访问内部网络资源的能力，无论他在旅行还是在家。

远程用户更易于管理：如果没有DirectAccess，只有当用户连接到×××或进入办公室，才能对移动计算机进行管理。通过DirectAccess，只要移动计算机有互联网连接就可以进行管理，即使用户没有登录。这允许对移动计算机进行定期管理，有助于确保移动用户保持最新的安全性和系统健康策略。DirectAccess有助于企业对漫游在企业网络外的财产进行安全监督和数据保护。

改进的安全性：直接访问使用IPSec进行认证和加密。您可以选择用智能卡(Smart Card)进行用户身份验证。DirectAccess集成NAP，规定DirectAccess客户端必须符合系统健康要求才能允许连接到DirectAccess服务器。

以下几点为网友总结，比较经典：

   1、当用户在外办公时遇到网络不稳定时，×××需要断线重拨，而DirectAccess完全是自动的，30秒的间隔会自动重新连接服务器

   2、当我们在外出差的时候，公司有了新的域策略或者是修改了域策略，那么用户就接收不到最新的策略了。而DirectAccess是用户打开电脑后，登录系统前就会建立好连接，并将域策略刷新过来，当然了，如果还要拨宽带连接的话就做不到了。实际测试的过程中会发现，这跟你服务器的部署方式也会有点关系。

   3、用×××是不能双向访问的，通过DirectAccess管理员可以直接远程桌面到在外出差办公的客户机。

   4、DirectAccess还支持NAP，能对连接进网络的用户进行健康检查和准入控制。

   5、×××不能灵活控制哪些服务器能访问、哪些不能访问，DirectAccess不但可以进行灵活的控制，还能对访问隧道进行IPSec加密防止通信被第三方窃取！

拓扑图（点击图片可查看大图)：

一、安装DC

安装AD+DNS+DHCP过程（略）

域名为，电脑名称为DC

IPv4地址配置如下所示

IPv6地址如下，说明：IPv6也必须配置静态IP地址

DHCP地址池地址分配如下所示

为DirectAccessClients创建一个全局安全组。

打开AD管理中心，切换到“corp(本地)”，选中“Users”，在“任务”面板，点击“新建”，选择“组”

填写组名DA-Clients，此时，也可以添加成员，我稍后在添加

创建网络位置服务器DNS记录。

打开DNS管理器，展开到“”并右击，选择“新建主机”

名称填写NLS，地址填写10.0.0.3，然后点击“添加主机”

创建ICMPv4和ICMPv6回显请求防火墙规则。

用命令gpmc.msc打开组策略管理控制台，展开到“组策略对象”，右击“DefaultDomain Policy”选择“编辑”

依次展开默认域策略—》计算机配置—》策略—》Windows设置—》安全设置—》高级安全，选定“入站规则”并右击，选择“新建规则”

选中“自定义”，下一步

协议类型选择“ICMPv4”，然后点击“自定义”，勾选特定ICMP类型下的“回显请求”

勾选“允许连接”，下一步

3项务必全部选中，下一步

填写新建的入站规则名称，点击“完成”

同理，再创建一个ICMPv6的入站回显请求规则

二、安装及配置App1服务器

APP1服务器IPv4地址配置如下所示：

IPv6地址配置如下

变更服务器名称为App1，并将其加入域中，然后重启

安装AD CA和Web服务器IIS角色。

同时，也勾选“证书颁发机构Web注册”，下一步

提示功能安装完成。点击“配置目标服务器上的Active Directory证书服务器”

采用默认，下一步

同时勾选“证书颁发机构”和“证书颁发机构Web注册”，下一步

选中“企业CA”，下一步

选中“根CA”，下一步

选中“创建新的私钥”，下一步

默认是选择SHA1算法，我这里选择“SHA256”算法，下一步

确认无误后点击“下一步”

提示AD证书服务器配置成功

开启计算机证书自动注册。

登录DC，打开组策略管理器，展开到安全设置下的“公钥策略”，右击“证书服务客户端-自动注册”，选择“属性”

配置模式选择“启动”，并勾选“续订过期证书、更新未决证书并删除吊销的证书”和“更新使用证书模板的证书”

配置客户端-服务器验证模板自动注册。

打开证书颁发机构，展开“corp-APP1-CA”，右击“证书模板”选择“管理”

选中“工作站身份验证”并右击，选择“复制模板”

切换到“常规”选项卡，填写模板显示名称为“客户端-服务器认证”，并勾选“在ActiveDirectory中发布证书”

切换到“扩展”选项卡，选中“应用程序策略”，点击“编辑”，再点击“添加”

选中“服务器身份验证”，确定

切换到“安全”选项卡，选中“DomainComputers”，然后选中“自动注册”

在证书颁发机构控制台，右击“证书模板”，选择“新建”的子菜单“要颁发的证书模板”

选中“客户端-服务器认证”，确定

和以上方法类似，定制Web服务器证书，并配置Web服务器证书模板权限。

以命令:certtmpl.msc打开证书模板控制台，右击“Web服务器”，选择“复制模板”

切换到“安全”选项卡，选中“AuthenticatedUsers”，并勾选允许“注册”

点击“添加”，添加“DomainComputers”，并勾选允许“注册”

切换到“常规”选项卡，填写模板显示名称，并勾选“在AD中发布证书”

切换到“请求处理”选项卡，勾选“允许导出私钥”

如下图所示。2个模板已经全部定制好

为APP1申请一个附加证书。

命令行中输入mmc，打开控制台1，选则“文件”下拉菜单“添加/删除管理单元”

选中“证书”，点击“添加”，选择“计算机帐户”

选中“本地计算机”，点击“完成”

依次展开证书（本地计算机）—》个人—》证书，并右击选择“所有任务”子菜单“申请新证书”

选中“ActiveDirectory注册策略”，下一步

勾选“WebServer 2012 R2”和“客户端-服务器认证”，点击“注册此证书需要详细信息。单击这里以配置设置。”

切换到“使用者”选项卡，选择类型为“公用名”，值为：nls.，然后点击“添加”

点击“注册”，直至最终提示注册策略成功

关闭控制台1，点击“否”，无需将控制台设置存入控制台1。

配置Https安全绑定。

打开IIS管理器，展开到“Default Web Site”，点击右侧的“绑定”，再点击“添加”，类型选择为Https，SSL证书选择“nls.”

创建一个共享文件夹。

在APP1服务器磁盘根目录下创建一个共享文件夹ShareFiles，并在其中创建一个记事本Example.txt，内容如下所示。

将ShareFiles共享给特定的用户。测试环境中，我将其赋予Everyone读取权限。

至此，App1服务器角色安装及配置完成。

三、安装及配置App2服务器

说明：微软官方文档中APP2使用Windows Server 2003 SP2 Enterprise Edition，扮演一个使用DNS64和NAT64功能能通过DirectAccess连接的仅有IPv4资源的主机。App2服务器我依旧使用Windows Server 2012 R2。

配置App2的IP地址、子网掩码、默认网关和首选DNS

直接去掉“Internet协议版本6(TCP/IPv6)”前的对勾

变更App2的计算机名称，并将其加入域中

App2将作为一个Web服务器，所以要安装Web服务器（IIS）服务器角色，下一步

完全采用默认安装，直至最终提示安装完成

下面我将App2的IE增强关掉了

在App2上创建一个共享文件夹。

在C盘根目录下创建一个名为Share的文件夹，并在其目录下新建一个名为Notepad的记事本，并在其中写入：This is atext document on APP2，an IPv4 only server.

赋予新建的文件夹Everyone读取权限

至此，App2服务器安装及配置完成。

四、安装Client计算机

安装一台名为Client的客户端计算机，用于充当漫游客户端。如下图，指定计算机名称为Client

点击“Useexpress settings”

到登陆提示时，选则创建一个本地帐户，注意，如果当Client连接到Corpnet subnet时有提示“Turn on sharing and connect to devices”，点击“YES”。

加入Client到域。

加入域完成后有提示重启，重启完Client后以域帐户登录Client计算机。测试中我直接以域帐户Administrator登录。

测试从Client访问Corpnet网络的资源。

打开IE，输入地址http://app1./并回车，可以看到App1上默认的IIS8 Web页面。再打开App1上的共享文件夹ShareFiles，可以看到里面的Example记事本，所以，成功验证Client能访问内网App1上的Web和文件共享资源。

五、安装DirectAccess服务器

DirectAccess服务器必须要有2块网卡，一个连接到内网，另一个连接到模拟的公网。OS安装完成后配置内网IPv4地址如下所示，注意，务必要配置DNS后缀

配置IPv6地址

配置模拟公网IPv4地址，同样需要配置DNS后缀，这是DirectAccess的要求。

将另一个公网IP地址添加进来

然后变更DirectAccess服务器名称，且将其加入到域中

六、安装及配置Inter服务器

Inter服务器主要用来模拟公网DNS、DHCP。

配置IPv4地址如下所示，并指定DNS后缀：

开启“文件和打印机共享”

变更计算机名称，然后重启Inter服务器

安装DHCP、DNS和Web服务器IIS，下一步

提示角色安装完成

在Inter上创建DNS记录。

打开DNS管理器，右击“正向查找区域”，选则“新建区域”，采用默认“主要区域”，下一步

填写区域的名称，下一步

点选“允许非安全和安全动态更新”，下一步

选中刚新建的区域并右击，选则“新建主机（A或AAAA）”

填写名称为Inter，IP地址为131.107.0.1，然后点击“添加主机”

再创建一个新区域sxleilong.com，用来模拟从公网申请的域名

以同样的方法添加DirectAccess服务器的A记录

最后还需要创建一个区域，并添加2条A记录，具体如下图所示。

[当Windows系统连接网络时，会自动向微软发送一个域名访问的请求，返回的结果用来作为网络连接状况的指示器（NetworkConnectivity Status Indicator，NCSI）的状态显示，NCSI首先在dns.上执行一次DNS查询，然后请求访问文件http://www./ncsi.txt，这是一个明文的文本文件，只有一行字母“Microsoft NCSI”。dns.应该解析为131.107.255.255，如果地址不匹配，那么它会猜测网络连接工作不正常]

注意：NCSI配置请参见：http://technet.microsoft.com/zh-cn/library/ee126135(v=ws.10).aspx

配置DHCP。

在IPv4上新建作用域，指定名称为Internet，下一步

填写DHCP作用地址范围和子网掩码，下一步

指定默认网关地址为:131.107.0.1，下一步

指定父域名称，下一步

配置NCSIWeb site。

进入C盘中c:\inetpub\wwwroot目录下，新建一个记事本文件并命名为ncsi.txt，并写入Microsoft NCSI，注意，写完后不要按回车键再添加一空行，保存并退出。注意，这块务必配置正确，否则客户端会提示：DirectAccess“no Internet access”。

七、安裝DA及配置DA

在DA上安装一个IP-HTTPS证书。该证书用于当客户端通过HTTPS连接是作为认证需求。运行窗口中输入mmc，确认后打开控制台，点击“File”，选则“Add/Remove Snap-in”

选中“Certificates”，点击“Add”，选则“Computer account”

选中“Local Computer”，点击“Finish”

依次展开Certificates—》Personal—》Certificates并右击，选则All Tasks子菜单“Request New Certificate”

勾选“Web Server 2012 R2”，并点击“More Information is required……”

Subject name下类型选择“Common name”，值填写，然后点击“Add”，备用名称下类型选择“DNS”，值填写与上面相同，并进行添加

切换到“General”选项卡，填写Friendly name为IP-HTTPS Certificate

完成以上操作后，点击“注册”，直至出现如下成功界面

点击关闭控制台，此时会提示是否需要保存设置，点击“No”

在DA服务器上安装Remote Access服务器角色。勾选“Remote Access”，下一步

勾选“DirectAccess and ×××(RAS)”，下一步

直到提示安装成功。点击“Openthe Getting Started Wizard”，下一步

直到提示安装成功。点击“Openthe Getting Started Wizard”，下一步

选中“Edge”，系统会自动识别Public name，下一步

（说明：以下2步也可以先跳过，后续再进行配置）点击“here”，再点击Remote Clients前的“Change”，添加之前在域控上创建的DA-Clients组，删除其它的组，并去掉勾选“Enable DirectAccess for mobile computers only”

变更DirectAccess Connection name，点击Finish

直到最终配置远程访问成功

配置DirectAccess。

打开远程管理控制台，选中“DirectAccessand ×××”，然后点击“Edit”

勾选“Deploy full DirectAccess for client access and remote management”，下一步

由于前面已经做过设定，所以直接下一步

采用默认，下一步

点击Step2下的“Edit”

核对一下看是否选中“Edge”，另外Public name地址为：，如果无误，下一步

在内网和公网这块，务必核对看是否IP地址对应，IP-HTTPS连接这里默认会自动选中“CN=”，下一步

采用默认，下一步

勾选“Use computer certificates”，点击“Browse”，选中CA证书，我这里是corp-APP1-CA

点击Step3下的“Edit”

勾选“The network location server is deployed on a remote web server”，并填写nls的地址:https://nls.，点击“Validate”，下一步

采用默认，下一步

采用默认，下一步

采用默认，下一步。

说明：如果域中有System Center Configuration Manager Server，且处于关机状，要么将其开机，要么从管理服务器组中移除。

配置完成DirectAccess后显示如下。

说明：有个Network adapters的警告，目前只有2012服务器会有，2008不会出现警告。

处理警告。

以管理员身份打开命令提示符窗口

输入以下命令，并回车

netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface=”Corpnet”

再次查看网络适配器警告已经消除

配置组策略设置。

在DirectAccess服务器上，运行命令gpmc.msc打开组策略管理控制台，依次展开Forest—》Domains—》—》Group Policy Objects，选中DirectAccess Client Settings，确保该策略只应用到之前创建的DA-Clients群组

DirectAccess Server Settings只应用到DA服务器

输入命令wf.msc打开防火墙设置

确保Domain Profile和Public Profile处于Active状态，注意：DirectAccess要求防火墙必须开启。

选中“Connection Security Rules”，以下2条规则中第一条规则用来建立内网通道，而第二条规则用于建立基础设施通道。

八、Client访问测试

配置Client。

首先先登录域控，将要测试的漫游客户端Client添加到创建的DA-Clients组中

将漫游客户端Client放置在内网，让其自由获取IP地址，并应用组策略。使用域帐号登录Client，会看到已经自动通过DirectAccess成功连接到内网

以管理员身份打开PowerShell，输入命令：Get-DnsClientNrptPolicy，可以查看名称解析策略表NRPT中nls服务器为nls.，它是APP1服务器的别名。所有其它内部网络名称解析为的将使用DA服务器的内部IPv6地址2001:db8::1:2与外网通信。

输入命令：Get-NCSIPolicyConfiguration，可以查看到网络位置服务器的URL，用于确定Client的位置，成功连接到url的客户端被认为是位于内部网络上，并且不会使用DirectAccess策略

输入命令：Get-DAConnectionStatus，由于Client能访问到网络位置服务器的URL，所以状态会显示ConnectedLocally。

测试从公网进行远程访问。

当切换客户端到公网时，客户端会提示如下图所示，点击“YES”

可以看到DirectAccess连接状态依旧显示“Connected”

此时，我们再次使用命令：Get-DAConnectionStatus，可以查看到状态显示为：ConnectedRemotely。

Ping Inter.测试，会得到4条来自131.107.0.1的响应。Ping App1.测试，由于App1是一个启动了IPv6的内网资源，所以ICMP响应是来自App1服务器的IPv6地址2001:db8:1::3。Ping App2.测试，因为我这里是使用WindowsServer 2012模拟一个只有IPv4通信的文件服务器，所以系统动态的创建了一个NAT64地址，地址为fdb5:9e49:468c:7777::a00:4 （为fdxx:xxxx:xxxx:7777::/96格式）

分别验证访问、App1.corp.sxleilong和App2.均正常

验证访问App1上的共享文件夹和App2上的共享文件夹，也均测试通过

以管理员身份打开PowerShell，输入命令Get-NetIPHTTPSConfiguration，检查组策略应用到客户端指向到https://:443/IPHTTPS的设置

输入命令wf.msc，打开高级安全防火墙控制台，展开Monitoring—》Security Associations，可以看到认证方式使用ComputerKerberos和UserKerberos，可以使用ComputerCertificate和UserKerberos

选中“ConnectionSecurity Rules”，可以查看提供DirectAccess连接的规则策略

九、Homenet网络配置及Client测试

NAT客户端也需要2块网卡，一块连接公共网络，另一块连接家庭私有网络。公网网卡可以配置IP静态IP地址，也可以自动获取，私有网络采用自动获取就行。

以本地管理员身份登录NAT操作系统，打开公网网卡属性，切换到“Sharing”选项卡，勾选以下2个选项，点击确定

此时，可以看到家庭私有网卡已经自动获取到IP地址:192.168.137.1

测试Homenet网络访问公司内网资源。

将Client计算机移动到家庭私有网络，以域管理员身份登录Client计算机。以管理员身份打开PowerShell，输入命令：Get-DAConnectionStatus，可以看到显示ConnectedRemotely。查看启动获取到的IP地址，我这里是192.168.137.184

下图也显示已经成功连接到DirectAccess服务器了

分别pingapp1.和pingapp2.，均可以正常ping通

以IE形式打开App1、App2和Inter服务器Web资源，也均可以正常访问

以网络路径形式分别访问App1服务器和App2服务器的共享资源，也可以正常访问

在回到DirectAccess服务器，打开远程访问管理控制台，选中“OperationsStatus”可以看到DirectAccess所有组件都工作正常

选中“仪表板”，点击右侧“ConfigureRefresh Interval”，可以调整远程客户端活动刷新和服务器活动刷新时间

点击“StartTracing”，可以进行数据包捕获和日志记录追踪

至此，整个WindowsServer 2012 R2 混合IPv4及IPv6 DirectAccess 功能测试完成。

转自： “Ray Loong” 博客。