DirectAccess元件

DirectAccess架構

DirectAccess是一種遠端存取技術, 允許遠端用戶在連接到網際網路時無需手動啟動 VPN連接即可自動連接到公司內部網路, 要理解 DirectAccess的運作需要了解其主要元件及其角色:

1. DirectAccess伺服器:

DirectAccess伺服器位於企業邊界, 作為遠端用戶與內部網路之間的中介, 它處理來自 DirectAccess用戶端的連接請求, 建立安全隧道, 並將這些請求轉發至內部網路資源, 並根據設定的安全原則進行驗證和授權, 依需求取得 IPSec電腦憑證及 IP-HTTPS 的安全通訊端層, 啟用IPv6 協定w-studio.idv.tw

2. DirectAccess用戶端:

運行 Windows並設定為使用 DirectAccess的遠端用戶端設備, 它們在連接到網際網路時自動與 DirectAccess伺服器建立安全的通道進而連線內部網路, 通常需要 Windows 7 Enterprise或更高版本以及適當設定的群組原則, 最好能提供 IPSec使用的電腦憑證, 啟用 IPv6協定

3. 網路位置伺服器(NLS):

NLS是一個內部網站, DirectAccess用戶端使用它來檢測它們是否在內部網路內, 如果用戶端可以存取 NLS, 它們就知道它們在內部網路, 否則它們會認定在外部網路並啟動 DirectAccess連接

4. 內部資源:

內部資源包括所有需要遠端使用者存取的公司內部網路資源, 如文件伺服器、電子郵件伺服器和應用程式伺服器w-studio.idv.tw

5. AD網域及DNS:

AD網域提供用戶和電腦的身份驗證和授權服務, DirectAccess用戶端和伺服器都需要加入網域, 需要適當設定網域控制站和群組原則以支持 DirectAccess的部署和運行, DNS伺服器負責解析內部網路中的主機名, DirectAccess用戶端需要通過這些伺服器來查找內部資源

6. 群組原則:

群組原則用於分配 DirectAccess設定給用戶端和伺服器, 包括網路設定、安全原則和連接設定, 需要建立和部署特定的 DirectAccess群組原則物件(GPO), 以確保所有相關設備都正確設定

7. 公鑰基礎架構(PKI):

部署CA, PKI提供憑證, 用於加密和驗證 DirectAccess連接的安全性, 包括伺服器憑證、用戶端憑證和 IPsec通道的憑證w-studio.idv.tw

8. 名稱解析原則表(NRPT):

NRPT是 DirectAccess用戶端使用的機制, 用於確定應使用哪個 DNS伺服器來解析它們正在存取的資源的名稱, 對於內部資源, 用戶端將使用內部 DNS伺服器, 對於網際網路上的資源, 用戶端將使用本機設定的 DNS伺服器