實(shí)現(xiàn)雙向網(wǎng)絡(luò)訪(fǎng)問(wèn)

配置Direct Access服務(wù)器

在Direct Access服務(wù)器上打開(kāi)服務(wù)器管理器，點(diǎn)擊“添加角色和功能”項(xiàng)，在向?qū)Ы缑嬷羞x擇“遠(yuǎn)程訪(fǎng)問(wèn)”角色，其余采用默認(rèn)設(shè)置，安裝所需的角色。

在配置向?qū)Ы缑妫ㄈ鐖D1） 中選擇“僅部署DirecAccess”項(xiàng)，在“選擇服務(wù)器的網(wǎng)絡(luò)拓?fù)洹睓谥羞x擇“邊緣”項(xiàng)，在窗口底部輸入客戶(hù)端用于連接到遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器的公用名稱(chēng)或IPv4地址，例如“zda.daceshi.com”。

注意，該地址或者DNS域名必須在公網(wǎng)DNS服務(wù)器上注冊(cè)過(guò)的。

圖1 配置Direct Access服務(wù)

例如，在上述公網(wǎng)DNS服務(wù)器上打開(kāi)DNS管理器，在左側(cè)選擇“正向查找區(qū)域”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建區(qū)域”項(xiàng)，在向?qū)Ы缑嬷羞x擇“主要區(qū)域”項(xiàng)，輸入?yún)^(qū)域名稱(chēng)（例如“daceshi.com”），在動(dòng)態(tài)更新窗口中選擇“允許非安全和動(dòng)態(tài)更新”項(xiàng)。點(diǎn)擊完成按鈕，創(chuàng)建該區(qū)域。

選擇“正向查找區(qū)域”-“daceshi.com”項(xiàng)，在右側(cè)窗口的右鍵菜單中點(diǎn)擊“新建主機(jī)（A或AAAA）”項(xiàng)，創(chuàng)建一條A記錄，其名稱(chēng)為“zda”，IP為 61.102.0.2，即 Direct Access服務(wù)器的公網(wǎng)接口。

當(dāng)然，這里僅僅是舉一個(gè)例子進(jìn)行說(shuō)明，在具體配置時(shí)，需要向?qū)I(yè)的域名管理機(jī)構(gòu)注冊(cè)所需的域名。在上述配置遠(yuǎn)程訪(fǎng)問(wèn)窗口中點(diǎn)擊下一步按鈕，點(diǎn)擊“此處”鏈接，在遠(yuǎn)程訪(fǎng)問(wèn)審閱窗口中的“遠(yuǎn)程客戶(hù)端”欄中點(diǎn)擊“更改”鏈接，在遠(yuǎn)程訪(fǎng)問(wèn)設(shè)置窗口中不選擇“僅為移動(dòng)計(jì)算機(jī)啟用DirectAccess”項(xiàng)。

在默認(rèn)情況下，允許域中的“Domain Computers” 組中的主機(jī)訪(fǎng)問(wèn)DirectAccess服務(wù)器。

點(diǎn)擊刪除按鈕，刪除該默認(rèn)安全組。點(diǎn)擊“添加”按鈕，導(dǎo)入之前配置好的“DAkehu”組。

客戶(hù)端獲取訪(fǎng)問(wèn)權(quán)限

當(dāng)DirectAccess服務(wù)器初始化配置完成后，在遠(yuǎn)程訪(fǎng)問(wèn)管理控制臺(tái)左側(cè)點(diǎn)擊“操作狀態(tài)”項(xiàng)，在右側(cè)顯示所有的項(xiàng)目全部以綠色顯示，才表示DirectAccess服務(wù)器處于可用狀態(tài)。

然后在DC域控制器上打開(kāi)DNS管理器，可以看到出現(xiàn)了“direcaccess-corpConnectivityHost”，“direcaccess-corpConnectivityHost”（IPv6主 機(jī)），“DirectAccess-NLS”，“directaccess-WebProbeHost”等新的記錄。后面兩個(gè)域名用于檢測(cè)檢測(cè)DirectAccess服務(wù)的連通性。

在本例中其指向DirectAccess服務(wù)器的IP，這是因?yàn)镹etwork Location Server定位服務(wù)其實(shí)位于Direct Access服務(wù)器上的緣故。

打開(kāi)組策略管理器，顯示新出現(xiàn)的名為“DirectAccess服務(wù)器設(shè)置”和“DirectAccess客戶(hù)端設(shè)置”的策略項(xiàng)目。

在上述名為“DAclient”的主機(jī)上執(zhí)行“gpupdate/force”命令，執(zhí)行組策略刷新操作。

然后重啟該計(jì)算機(jī)，使該機(jī)獲得訪(fǎng)問(wèn)DirectAccess服務(wù)器的權(quán)限，并激活配置信息。

在Windows 8的網(wǎng)絡(luò)連接面板中會(huì)顯示“工作區(qū)連接”信息，在其中的對(duì)應(yīng)的網(wǎng)絡(luò)連接項(xiàng)目的右側(cè)菜單中點(diǎn)擊“查看連接屬性”項(xiàng)，在DirectAccess屬性窗口中的的“狀態(tài)”欄中顯示“已連接”字樣，說(shuō)明其已經(jīng)感知到該機(jī)處于內(nèi)部網(wǎng)絡(luò)中。

實(shí)現(xiàn)雙向網(wǎng)絡(luò)訪(fǎng)問(wèn)

將“DAclient”的 主 機(jī)移動(dòng)到別的網(wǎng)絡(luò)中（例如家庭網(wǎng)絡(luò)），將其IP更改為192.168.0.101，子網(wǎng)掩碼為255.255.255.0，DNS地址為61.102.0.1，其通過(guò)網(wǎng)關(guān)主機(jī)連接Internet。

該網(wǎng)關(guān)上安裝了兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，IP為192.168.0.1，子網(wǎng)掩碼為 255.255.255.0，另 一 塊連 接Internet，其IP為61.102.0.5，子網(wǎng)掩碼為255.255.255.0。該網(wǎng)關(guān)上安裝的是Windows Server 2003。

運(yùn)行路由和遠(yuǎn)程訪(fǎng)問(wèn)程序，在其控制臺(tái)左側(cè)選擇服務(wù)器名，在其右鍵菜單上點(diǎn)擊“配置和啟用路由和遠(yuǎn)程訪(fǎng)問(wèn)”項(xiàng)，在向?qū)Ы缑嬷械呐渲么翱谥羞x擇“網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）”項(xiàng)，選擇“使用此公共接口連接到Internet”項(xiàng)，在網(wǎng)絡(luò)列表中選擇外網(wǎng)連接項(xiàng)目，點(diǎn)擊下一步按鈕，完成配置操作。

這 樣， 該“DAclient”主機(jī)就可以順利訪(fǎng)問(wèn)Internet。 在Direct Access服務(wù)器上打開(kāi)遠(yuǎn)程訪(fǎng)問(wèn)管理控制臺(tái)，在“連接的客戶(hù)端”列表中可以看到，名為“DAclient”的主機(jī)已經(jīng)連接回企業(yè)內(nèi)網(wǎng)，包括其用戶(hù)名，主機(jī)名，ISP地址，協(xié)議/隧道，持續(xù)時(shí)間等信息，說(shuō)明其可以訪(fǎng)問(wèn)企業(yè)內(nèi)網(wǎng)中的共享資源，網(wǎng)站等內(nèi)容。

例如訪(fǎng)問(wèn)“\172.16.0.20”地址，可以看到內(nèi)網(wǎng)主機(jī)上的共享文件夾，訪(fǎng)問(wèn)內(nèi)網(wǎng)網(wǎng)站“www.xxx.com”，可以正常瀏覽。

當(dāng)然，在相關(guān)內(nèi)網(wǎng)主機(jī)上需要關(guān)閉防火墻或者配置合適的防火墻策略，來(lái)允許其訪(fǎng)問(wèn)。而且，該機(jī)還可以順利訪(fǎng)問(wèn)Internet，這就說(shuō)明了DirectAccess服務(wù)具有雙向訪(fǎng)問(wèn)的特點(diǎn)。

管理Direct Access遠(yuǎn)程訪(fǎng)問(wèn)

在遠(yuǎn)程訪(fǎng)問(wèn)管理控制臺(tái)左側(cè)點(diǎn)擊“配置”項(xiàng)，在右側(cè)顯示完整的遠(yuǎn)程訪(fǎng)問(wèn)撲結(jié)構(gòu)，在“步驟1 遠(yuǎn)程客戶(hù)端”欄中點(diǎn)擊“編輯”按鈕，在彈出窗口左側(cè)點(diǎn)擊“網(wǎng)絡(luò)連接助手”項(xiàng)，在右側(cè)的“驗(yàn)證內(nèi)部網(wǎng)絡(luò)連接的資源”列表中顯示用于檢測(cè)連通性的地址信息。默認(rèn)其位于DirectAccess服務(wù)器上。

為了減輕其壓力，可以新建一個(gè)連接驗(yàn)證項(xiàng)目，或選擇“HTTP”或者“PING”方式。

注意，在對(duì)應(yīng)內(nèi)網(wǎng)主機(jī)上必須針對(duì)該P(yáng)ING操作，為防火墻設(shè)置合適的策略，允許進(jìn)行PING探測(cè)。

在“DirectAccess連 接名稱(chēng)”欄中可以更改默認(rèn)的“工作區(qū)連接”內(nèi)容。在“步驟2 遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器”欄中點(diǎn)擊“編輯”按鈕。

在彈出窗口左側(cè)點(diǎn)擊“網(wǎng)絡(luò)適配器”項(xiàng)，可以設(shè)置DirecAccess服務(wù)器中連接到的內(nèi)部和外部的網(wǎng)卡項(xiàng)目。可以看到，在內(nèi)部連接使用的是IPv6協(xié)議。

實(shí)際上在該“Daclient”主機(jī)上執(zhí)行“ping chengyuan.xxx.com”命令。探測(cè)企業(yè)內(nèi)網(wǎng)中的FGDN名為“chengyuan.xxx.com”的服務(wù)區(qū)，根據(jù)返回信息顯示是IPv6的地址格式。

執(zhí)行“ping 61.102.0.1”的Internet上的主機(jī)，顯示的是IPv4格式的地址，這就說(shuō)明DirectAccess服務(wù)器利用IPv4來(lái)封裝IPv6協(xié)議，來(lái)發(fā)起連接。

利用證書(shū)保證安全訪(fǎng)問(wèn)

這里選擇了“使用DirectAccess自動(dòng)創(chuàng)建的自簽名證書(shū)”項(xiàng)，利用自簽名證書(shū)保證安全連接。在左側(cè)選擇“身份驗(yàn)證”項(xiàng)，在右側(cè)可選擇合適的用戶(hù)身份驗(yàn)證方式，包括Active Directory憑據(jù)（用戶(hù)名/密碼），雙重身份驗(yàn)證（智能卡或一次性密碼）。選擇“是Windows 7客戶(hù)端計(jì)算機(jī)能夠通過(guò)DirectAccess進(jìn)行連接”項(xiàng)，允許Windows客戶(hù)端進(jìn)行連接，但是必須配置計(jì)算機(jī)證書(shū)。在“步驟4 應(yīng)用程序服務(wù)器”欄中點(diǎn)擊“編輯”按鈕，在彈出窗口中選擇“不將身份驗(yàn)證擴(kuò)展到應(yīng)用服務(wù)器”項(xiàng)，如果選擇“將身份驗(yàn)證擴(kuò)展到所選擇的應(yīng)用程序服務(wù)器”項(xiàng)，點(diǎn)擊“添加”按鈕，添加所需的應(yīng)用服務(wù)器。這樣客戶(hù)端連接到內(nèi)網(wǎng)后只能訪(fǎng)問(wèn)指定應(yīng)用服務(wù)器。