2013Q1 工作心得 (1)

DirectAccess 基本介紹

遠端存取企業內部資源,首先想到的技術就是虛擬私有網路 ( Virtual Private Network,VPN ) ,而微軟提出的 VPN 解決方案就是 DirectAccess。

DirectAccess 能滿足由任何地方無縫且安全的存取企業內部資源,適合不斷變化的網路環境,使用者不需要執行任何動作,就能自動永久啟動連結,一般的 VPN 連線皆需要透過 MIS 進行相關工具的安裝和設定,而 DirectAccess 是提供更方便使用管理,且更具安全性的的解決方案。

可是要滿足由任何地方無縫且安全的存取企業內部資源,必須要符合技術上的需求,以客戶端為例必須要原生支援 IPv6 的技術,此時會搭配 Teredo 、 6to4、IP-HTTPS 等網路協定的介面來進行連線,且在連線傳輸時會透過 Tunnel 的技術將 IPv4 的封包傳遞給 DirectAccess 伺服器,並且透過 IPSec 和 ESP 進行加密的需求,接著會電腦憑證和使用者憑證建立安全通道以及驗證,最後 DirectAccess 更提供流量分割的功能,降低網路頻寬的消耗,也就是針對 Internet 和 Intranet 的存取,能達到自動分流機制,至於硬體需求相關的測試報告,可參考「DirectAccess Capacity Planning」 (英文)。

DirectAccess 伺服器設定

參考資源

  • Consumerization of IT Test Lab Guide: Windows To Go with DirectAccess (英文)
  • ‘Real World’ Direct Access installation using Windows Server 2012 (英文)

DirectAccess 客戶端設定

Windows 8

  1. 筆電網路設定必須在企業內部,先確認 IPv6 功能和系統內建防火牆已經正常啟動,再確認電腦名稱,接著加入公司網域後,重新開機以網域使用者登入。
  2. 在 Active Directory 伺服器的 DirectAccess 群組加入該筆電之電腦名稱。
  3. 在命令提示字元中執行 gpupdate /force ,部署 DirectAccess 相關的群組原則後重新開機,以網域使用者登入。
  4. 檢視畫面右下方的網路連線表的內容是否有出現新的項目,顯示已連線,按兩下開啟後得知 Direct Access 連線狀態,以及是否已連線,或者透過 Powershell 執行 Get-DAConnectionStatus 指令也可以檢視相關狀態 。
  5. 測試透過網域的電腦名稱,存取企業內部資料夾和進行遠端桌面存取是否正常。
  6. 切換至網際網路連線,可透過手機進行 3G 網路進行無線上線,此時透過 Powershell 執行 Get-DAConnectionStatus 指令也可以檢視相關狀態 。
  7. 最後測試透過網域的電腦名稱,存取企業內部資料夾和進行遠端桌面存取是否正常,若不正常請重新開機以網域使用者登入。

Windows 7

  1. 筆電網路設定必須在企業內部,先確認 IPv6 功能和系統內建防火牆已經正常啟動,再確認電腦名稱,接著加入公司網域後,重新開機以網域使用者登入。
  2. 在 Active Directory 伺服器的 DirectAccess 群組加入該筆電之電腦名稱 (電腦類型)。
  3. 在命令提示字元中執行 certutil /pulse ,接著執行新增憑證嵌入式管理單元到 MMC ,在個人憑證中查看是否有正常取得憑證,若沒請向 Active Directory 伺服器要求憑證,因為 Direct Access 會以 IPSec 的方式進行安全連線,所以需要進行認證。
  4. 在命令提示字元中執行 gpupdate /force,部署 DirectAccess 相關的群組原則後重新開機,此時檢視防火牆進階選項中的連線安全性規則,是否有 DirectAccess 相關的規則,接著再以網域使用者登入。
  5. 在命令提示字元中執行 netsh dns show state ,檢視 DirectAccess 已設定。
  6. 測試透過網域的電腦名稱,存取企業內部資料夾和進行遠端桌面存取是否正常。
  7. 切換至網際網路連線,可透過手機進行 3G 網路進行無線上線,此時在命令提示字元中執行 netsh interface httpstunnel show state ,檢視連線是否正常。
  8. 最後測試透過網域的電腦名稱,存取企業內部資料夾和進行遠端桌面存取是否正常,若不正常請重新開機以網域使用者登入。