DirectAccess概述
DirectAccess是一种安全的远程访问技术,用于连接远程工作站和移动设备到企业网络,而无需使用传统的虚拟私人网络(VPN)连接。DirectAccess 可以自动建立安全的 IPv6 连接,而无需用户干预,这使得远程用户可以方便地访问企业内部资源,如文件、应用程序和网络服务,同时也可以获得与内部用户相同的安全保护
相较于传统的 VPN,DirectAccess 具有以下优势:
- 无需手动连接:用户无需手动启动 VPN 客户端,只需联网即可自动连接到企业网络。
- 持续连接:DirectAccess 可以在后台持续运行,无需中断连接或重新连接。
- 更高的安全性:DirectAccess 使用强加密算法和公钥基础设施(PKI)证书来保护远程连接,比 VPN 更加安全可靠。
- 更好的用户体验:用户可以像在内部网络中一样访问企业资源,无需在远程访问时受到网络速度或带宽的限制。
DirectAccess 技术最初是在 Windows Server 2008 R2 中引入的,并在后续版本的 Windows Server 中得到改进和增强。在 Windows 10 中,DirectAccess 已经被改名为 Always On VPN,并且提供了更加灵活的配置选项和支持多种 VPN 协议。
DirectAccess架构
如上述所示:将DA服务器放置在DMZ区,NLS放置在内网。
1. DA:主服务器,策略配置,显示所有操作状态。
2. NLS:以此来鉴定客户端位于内网还是外网。
3. DA和NLS、DA客户端系统防火墙必须开启。
基本环境准备
准备DA公用名
1) 由于DA服务器需要发布Internet,所以需要给予一个发布到公网的公用名和公网IP地址;
2) 在防火墙映射一个公网IP给DA服务器,其中公用名称:daconnect.contoso.com,IP地址:1.1.1.1;
3) 确保Internet上能够正常ping通该地址和主机名;
创建A记录
1) 登陆DC服务器,打开DNS管理控制台,分别创建DA和NLS的A记录,如下;
2) 登陆到父域的DC,由于DA发布公网的公用名使用的是父域contoso.com后缀名,所以需要在此创建相应的A记录,确保企业内网也能够ping通该地址;
创建通讯组
1) 针对DA客户端的计算机账号,创建相应的通讯组,命名DA_Clients,如下;
创建自定义证书模板
1) 打开证书颁发机构,右击证书模板,选择“管理”,如下;
1) 选择计算机模板,右击“复制模板”;
2) 切换到“常规”选项卡,填写模板显示名称为“DA-computers”,并勾选“在ActiveDirectory中发布证书”,及修改有效期,如下;
4) 切换到“请求处理”选项卡,勾选“允许导出私钥”;
5) 切换至“安全”选项卡,添加赋予上述创建的DA_Clients组权限,如下;
6) 并且赋予Authenticated Users注册权限,如下;
7) 按照同样的方式复制web服务器模板,如下;
8) 切换到“常规”选项卡,填写模板显示名称为“2012R2 WEB”,并勾选“在ActiveDirectory中发布证书”,及修改有效期,如下;
9) 切换到“请求处理”选项卡,勾选“允许导出私钥”;
10) 切换到“安全”选项卡,选中“AuthenticatedUsers”,并勾选允许“注册”;
11) 点击“添加”,添加“DomainComputers”,并勾选允许“注册”;
12) 在证书颁发机构控制台,右击“证书模板”,选择“新建”的子菜单“要颁发的证书模板;选中上述创建的两个模板,确定;
创建组策略
1、DC服务器上,用命令gpmc.msc打开组策略管理控制台,新建GPO,命名“DA_ICMP”,并选择“编辑”; 依次展开默认域策略—》计算机配置—》策略—》Windows设置—》安全设置—》高级安全,选定“入站规则”并右击,选择“新建规则”;
2、在“规则类型”页上,单击“自定义”,然后单击“下一步”;
3、同样地创建入站规则的ICMPv6-in bound,以及出站规则的ICMPv4-回显示请求和ICMPv6-回显示请求,如下;
4、 配置计算机证书自动注册。在组策略管理编辑器的控制台中,打开“计算机配置\策略\ Windows设置\安全设置\公钥策略”,选中“证书服务客户端-自动注册”,启用;
配置NLS服务器
申请证书
1) 将NLS计算机加入域;
2) 命令行中输入mmc,打开控制台1,选则“文件”下拉菜单“添加/删除管理单元”;选中“证书”,点击“添加”,选择“计算机帐户”;
3) 依次展开证书(本地计算机)—》个人—》证书,并右击选择“所有任务”子菜单“申请新证书”;
4) 选中“ActiveDirectory注册策略”,下一步,勾选“2012 R2 WEB”和“DA-computers”,点击“注册此证书需要详细信息。单击这里以配置设置。
5) 切换到“使用者”选项卡,选择类型为“公用名”,值为:NLS.Dev.contoso.com,然后点击“添加”;
安装IIS角色
1、打开IIS管理器,单击“Default Web Site”,在右边“操作”窗口中单击“绑定”,在“网站绑定”对话框中单击“添加”;
2、 在“类型”中选择“https”,在“SSL证书”中选择“NLS.contoso.com”,然后单击“确定”;
部署和配置DA服务器
申请IP-HTTP证书
1) 将DA计算机加入域;
2) 命令行中输入mmc,打开控制台1,选则“文件”下拉菜单“添加/删除管理单元”;选中“证书”,点击“添加”,选择“计算机帐户”;
3) 依次展开证书(本地计算机)—》个人—》证书,并右击选择“所有任务”子菜单“申请新证书”,选中“ActiveDirectory注册策略”,下一步,勾选“2012 R2 WEB”,点击“注册此证书需要详细信息。单击这里以配置设置;
4) 切换到“使用者”选项卡,选择类型为“公用名”,“备用名称”选项卡,选择类型“DNS”值为:daconnect.contoso.com,然后点击“添加”;
6) 按照同样的方法申请“DA-computers”证书,如下所示;
安装并配置DirectAccess服务器
1) 在DA服务器上安装Remote Access服务器角色。勾选“远程访问”,下一步;
2) 在角色服务中,选择DirectAccess and VPN(RAS),如下;
3)打开远程访问管理控制台,在配置界面,选择“运行远程访问设置向导”,如下;
4) 选择“仅部署DirectAccess”,如下;
5) 选择步骤1的配置,如下;
6) 添加上述为DA客户端计算机账号创建的组DA_Clients,下一步;
7) 选择步骤2的配置,如下;
8) 拓扑选择位于边缘设备之后(具有一个网络适配器),并且输入上述证书赋予的公用名daconnect.contoso.com,如下;
9) 勾选“使用计算机证书”,浏览CA根证书,,并且勾选支持windows7选项,单击完成;
10) 选择步骤3的配置,如下;
11) 输入NLS服务器访问的全称https://NLS.Dev.contoso.com,下一步;
12) 如下窗口,单击完成
13) 完成后如下所示;
