最近尝试了解了一下微软新一代的×××技术DirectAccess(其实也不新了,从WIN2K8R2就开始有了),看了一些资料,现在自己写点总结来加强理解和记忆。如果有写错了的话,欢迎指正!
* * * * * * * * * * * * * * * * * * * * * *
DirectAcces工作过程中会先后经历两个与内网建立联系的阶段。第一阶段是和内网DNS,直流建立联系第。二阶段才是和要访问的内网资源建立联系.DirectAccess与其他×××解决方案的关键区别在于:
1。,,只要客户端连接了互联网,它就会自动发起与内网DNS,直流的联系,从而使系统管理员可以随时管理在外漫游的客户端。一个典型的应用场景是,漫游客户端只要连上互联网,就可以获得内网推过去的GPO,补丁等。
2。,,采用名称解析政策表(名称解析策略表)技术,实现内网与互联网流量访问的分离。
回到区别1,如何才能自动发起与内网DNS,直流的联系呢?首先需要一个发现机制。为此,这里引入了网络位置服务器的概念.NLS是企业内网中的一台Web服务器。客户端首先尝试与NLS取得联系,如果能取得联系,说明DirectAccess已经在工作。如果不能与NLS取得联系,那么开始进入两个阶段的与内网建立联系的工作过程。也就是说,NLS的作用体现在下图步骤中的第2步。
发现机制之后,才开始了两个阶段的与内网建立联系的过程。建立联系的过程涉及到:建立流量通道,身份验证。第一阶段的验证对象是客户端计算机,需要内网的PKI架构实现对客户端发放证书第。二阶段的验证是对客户端计算机和用户的双重验证,除了验证计算机证书,还要认证域用户的凭据(也就是域用户登录时的那一套验证)。
PS:以下图片截取自http://wenku.baidu.com/view/108a09e704a1b0717fd5dd85
PS2:网上找了前人做的实验《如何在企业内部构建直接访问环境》http://wenku.baidu.com/link?url=jqQ_xzlSAT9I5zoJ_OFjOqN_gGAVSrSY68ItRzKvICceQLpLbewgaXeTrEzNyjnNIUksLiBj_xPzXFtQN6pIyrB2Ov5wc-RQykD16PKjdLW
最开始是看的英文书,看得有点晕,所以后来去搜了上面的中文资料。看懂了中文,再看英文解释就会觉得更好理解了。现在把英语的也贴上来做参考
这个过程一般可以分为以下具体步骤:
1。DirectAccess客户端计算机运行Windows 8, Windows 7的企业,或
Windows 7的最终检测,它是连接到一个网络。
2。DirectAccess客户端计算机决定是否连接到局域网。如果
客户端连接到局域网,它不使用DirectAccess。
3。DirectAccess客户机连接到服务器通过使用IPv6和IPsec DirectAccess。
4。如果客户没有使用IPv6,它将尝试使用6 to4或船蛆隧道发送
IPv4-encapsulated IPv6交通。
5。如果客户不能达到使用6 to4 DirectAccess服务器或船蛆隧道,
客户机试图连接使用互联网协议在超文本传输协议安全
(IP-HTTPS)协议。IP-HTTPS使用安全套接字层(SSL)连接到
封装IPv6交通。
6。作为建立IPsec隧道到内部网的DNS服务器的会话
和域控制器,彼此DirectAccess客户机和服务器身份验证使用
计算机证书身份验证。
7。如果启用了网络访问保护(午睡)和配置卫生验证,
网络策略服务器(NPS)确定是否符合客户端系统
健康需求。如果是兼容的,客户端接收到一个健康证明,
提交DirectAccess服务器进行身份验证。
8。当用户登录时,DirectAccess客户端建立一个IPsec隧道访问
内部网的资源。DirectAccess客户机和服务器身份验证彼此
使用计算机和用户凭证。
9。DirectAccess服务器转发流量之间的DirectAccess客户机和内部网
用户被授予访问资源。
名称解析政策表(NRPT)是用来确定DNS的行为
客户时发出的查询和处理,以便内部资源不暴露在
公众通过互联网和单独的交通不是DirectAccess互联网流量从
DirectAccess互联网流量。通过使用NRPT, DirectAccess客户使用内部网
DNS服务器的内部资源和互联网DNS名称解析的其他资源。
NRPT使用组策略管理,具体来说,电脑配置\政策\ \
窗口设置名称解析政策。
