直接使用DirectAccess配置与管理

2023-11-09 理论教育版权反馈

【摘要】：任务描述了解DirectAccess，并且能够掌握DirectAccess的理论。任务目标掌握DirectAccess的工作原理。包含客户端的域可以与DirectAccess服务器属于同一林，或者与DirectAccess服务器林或域具有双向信任。DirectAccess服务器必须是域成员。如果DirectAccess服务器位于边缘防火墙或NAT设备后面，则必须将设备配置为允许与DirectAccess服务器之间的通信。另外，管理员需要DirectAccess部署中使用的GPO的权限。当DirectAccess客户端接入企业网络后，NRPT就会被关闭。当互联网上的一个DirectAccess客户端需要利用FQDN连接到资源时，会检查NRPT。

任务描述

了解DirectAccess，并且能够掌握DirectAccess的理论。

任务目标

掌握DirectAccess的工作原理。

1.DirectAccess概述

DirectAccess允许远程用户连接到组织网络资源，而无需传统的虚拟专用网(VPN)连接。使用DirectAccess连接，远程客户端计算机始终连接到组织，不需要远程用户像VPN连接那样启动和停止连接。此外，IT管理员可以在DirectAccess客户端计算机运行且连接Internet时对其进行管理。

2.DirectAccess客户端要求

DirectAccess客户端必须是域成员。包含客户端的域可以与DirectAccess服务器属于同一林，或者与DirectAccess服务器林或域具有双向信任。

需要Active Directory安全组来包含将配置为DirectAccess客户端的计算机。如果在配置DirectAccess客户端时未指定安全组，则默认情况下，客户端GPO将应用于“域计算机”安全组中的所有便携式计算机。(www.chuimin.cn)

3.DirectAccess服务器要求

必须在所有配置文件上启用Windows防火墙，并且公网接口的配置文件为非域配置文件，公网接口地址要求为公网IP地址。

DirectAccess服务器必须是域成员。该服务器可以部署在内部网络的边缘，也可以部署在边缘防火墙或其他设备的后面。

如果DirectAccess服务器位于边缘防火墙或NAT设备后面，则必须将设备配置为允许与DirectAccess服务器之间的通信。

在服务器上部署远程访问的人员需要服务器上的本地管理员权限和域用户权限。另外，管理员需要DirectAccess部署中使用的GPO的权限。

4.名称解析策略表NRPT

DirectAccess客户端使用名称解析策略表(NRPT)确定该使用哪个DNS服务器进行名称解析。当DirectAccess客户端接入企业网络后，NRPT就会被关闭。而当DirectAccess客户端检测到自己处于互联网时，客户端就会开启NRPT，并从中寻找哪个DNS服务器可以让它连接到正确资源。企业可以将内部域名和可用的服务器记录在NRPT上，并配置它使用内部DNS服务器来解析名称。

当互联网上的一个DirectAccess客户端需要利用FQDN连接到资源时，会检查NRPT。如果名字在上面，查询就会被送到内网的DNS服务器上；如果名字不在NRPT上，DirectAccess客户端就会将查询发送到网卡配置上规定的DNS服务器，也就是互联网上的DNS服务器。NLS服务器名称也被置于NRPT中，但是属于免除解析部分，即DirectAccess客户端永远不会使用内部服务器来解析NLS服务器的名称。于是处于互联网上的DirectAccess客户端永远无法解析NLS服务器，客户端将明白自己处于互联网，于是开启DirectAccess客户端组件连接企业内网的DirectAccess服务器。

直接使用DirectAccess配置与管理

相关推荐