Direct Access技术之二：DA架构及原理

一、Direct Access组件

如下图

说明：

1. 企业内网PKI技术为企业DirectAccess服务器，DirectAccess客户端和Intranet服务器颁发计算机证书。

2. DirectAccess服务器一般用于连接到内联网和因特网，并且充当Internet上DirectAccess客户端的网关。

3. 网络位置服务器是DirectAccess客户端仅连接到内部网络时可访问到的一台Web服务器。

4. 外部DirectAccess客户端有配置活动名称解析策略表（NRPT）规则和连接安全隧道规则

5. 当访问内网资源，连接安全规则使用IPv6，并使用IPSec隧道或终端到终端的IPsec通信保护

6. 连接到互联网的DirectAccess客户端可以访问内网资源，就像任何其他内网计算机一样。

 

二、Direct Access架构技术

1. 名称解析策略表（NRPT）

2. IPv6转换技术

3. Ipsec

4. 网络位置服务器（NLS）

 

名称解析策略表（NRPT）

NRPT是一张“为不同的命名空间定义相应DNS服务器和安全设置”的表，NRPT的使用优先于网卡DNS设置；

通过NRPT可以：

• 可以为每个DNS命名空间定义DNS服务器，而不是为每个接口定义；

• 对于特定的命名空间的DNS查询可以选用IPsec保护

 

IPv6转换技术

• DirectAccess 使用 IPv6 和 IPsec 在 DirectAccess 客户端计算机和内部企业网络之间创建安全连接。 但是，DirectAccess 不一定需要连接到 IPv6 Internet 或内部网络上的本机 IPv6 支持。  
  相反，它会自动配置并使用 IPv6 转换技术在 IPv4 Internet 上（通过使用 6to4、Teredo 或 IP-HTTPS）和仅支持 IPv4 的 Intranet 上（通过使用 NAT64 或 ISATAP）对 IPv6 通信进行隧道传送

• 穿遂（Tunneling）是一个用来连接IPV4和IPV6的机制。

• 自动穿遂（AutoTunneling）指路由设施自动决定隧道端点的技术，自动穿遂包含6to4穿遂和teredo穿遂。

• 6to4使用IPv6 41协议来封装，隧道端点是由远程已知的IPV4任意播地址所决定，并在本地端嵌入IPV4地址信息到IPV6中。

• Teredo使用UDP封装的穿遂技术，可跨越多个NAT设备。

 

IPsec

• Ipsec在TCP/IP体系中引进了完整的安全机制，包括数据加密、身份认证和数据防篡改功能。

• 如果使用基于证书的 IPsec 身份验证，则 DirectAccess 服务器和客户端需要获得计算机证书。 安装证书的最简单的方法是为计算机证书配置基于组策略的自动注册。

• 此证书具有以下要求：

§ 该证书应包含客户端身份验证扩展密钥用法 (EKU)。

§ 客户端证书和服务器证书应链接到相同的根证书。 必须在 DirectAccess 配置设置中选择该根证书。

 

网络位置服务器（NLS）

• NLS是一个用于检测 DirectAccess 客户端是否位于企业网络中的网站。 企业网络中的客户端不会使用 DirectAccess 访问内部资源，相反，它们会直接进行连接。

• 可以在 DirectAccess 服务器或组织中的另一台服务器上托管网络位置服务器网站。  

  
  如果将网络位置服务器托管在 DirectAccess 服务器上，则安装远程访问服务器角色时将自动创建该网站。    
  如果你将NLS托管在组织中另一台运行 Windows 操作系统的服务器上，则必须确保已在该服务器上安装 Internet 信息服务 (IIS)，且已创建该网站。

 

三、Direct Access客户端连接过程

1) DirectAccess客户端计算机连接到网络。

2) DirectAccess客户端计算机确定它是否连接到企业内部网。如果是，DirectAccess的功能将不使用。如果不是，DirectAccess将被使用。

3) DirectAccess客户端计算机使用IPv6和IPsec连接到DirectAccess服务器。如果本机IPv6网络不可用，客户端使用6to4或者Teredo来发送IPv4封装的IPv6流量。

4) 如果防火墙或代理服务器阻止已到达DirectAccess服务器使用的6to4 VS的Teredo客户端计算机，客户端会自动尝试使用Internet协议安全超文本传输协议（IP-HTTPS）协议连接。 IP-HTTPS使用安全套接字层（SSL）连接到封装IPv6流量。

5) 作为建立IPsec会话隧道到达内网DNS服务器和域控制器的一部分，DirectAccess客户端和服务器使用计算机证书进行相互身份验证。

6) 当用户登录时，DirectAccess客户端建立第二个IPsec隧道访问内网资源。DirectAccess客户端和服务器使用计算机和用户凭据的组合进行相互验证。

7) DirectAccess服务器在DA客户端和授权的内部资源之间转发流量。

DirectAccess的连接过程会自动进行，无需用户干预。

 

四、实施DirectAccess先决条件

DA的详细规划与设计可参考：

https://technet.microsoft.com/zh-cn/library/jj134148.aspx

 

下一篇我们将看一下DA的具体配置。