配置Direct Access服务器

在Direct Access服务器上打开服务器管理器，点击“添加角色和功能”项，在向导界面中选择“远程访问”角色，其余采用默认设置，安装所需的角色。

在配置向导界面（如图1） 中选择“仅部署DirecAccess”项，在“选择服务器的网络拓扑”栏中选择“边缘”项，在窗口底部输入客户端用于连接到远程访问服务器的公用名称或IPv4地址，例如“zda.daceshi.com”。

注意，该地址或者DNS域名必须在公网DNS服务器上注册过的。

图1 配置Direct Access服务

例如，在上述公网DNS服务器上打开DNS管理器，在左侧选择“正向查找区域”项，在其右键菜单上点击“新建区域”项，在向导界面中选择“主要区域”项，输入区域名称（例如“daceshi.com”），在动态更新窗口中选择“允许非安全和动态更新”项。点击完成按钮，创建该区域。

选择“正向查找区域”-“daceshi.com”项，在右侧窗口的右键菜单中点击“新建主机（A或AAAA）”项，创建一条A记录，其名称为“zda”，IP为 61.102.0.2，即 Direct Access服务器的公网接口。

当然，这里仅仅是举一个例子进行说明，在具体配置时，需要向专业的域名管理机构注册所需的域名。在上述配置远程访问窗口中点击下一步按钮，点击“此处”链接，在远程访问审阅窗口中的“远程客户端”栏中点击“更改”链接，在远程访问设置窗口中不选择“仅为移动计算机启用DirectAccess”项。

在默认情况下，允许域中的“Domain Computers” 组中的主机访问DirectAccess服务器。

点击删除按钮，删除该默认安全组。点击“添加”按钮，导入之前配置好的“DAkehu”组。

客户端获取访问权限

当DirectAccess服务器初始化配置完成后，在远程访问管理控制台左侧点击“操作状态”项，在右侧显示所有的项目全部以绿色显示，才表示DirectAccess服务器处于可用状态。

然后在DC域控制器上打开DNS管理器，可以看到出现了“direcaccess-corpConnectivityHost”，“direcaccess-corpConnectivityHost”（IPv6主 机），“DirectAccess-NLS”，“directaccess-WebProbeHost”等新的记录。后面两个域名用于检测检测DirectAccess服务的连通性。

在本例中其指向DirectAccess服务器的IP，这是因为Network Location Server定位服务其实位于Direct Access服务器上的缘故。

打开组策略管理器，显示新出现的名为“DirectAccess服务器设置”和“DirectAccess客户端设置”的策略项目。

在上述名为“DAclient”的主机上执行“gpupdate/force”命令，执行组策略刷新操作。

然后重启该计算机，使该机获得访问DirectAccess服务器的权限，并激活配置信息。

在Windows 8的网络连接面板中会显示“工作区连接”信息，在其中的对应的网络连接项目的右侧菜单中点击“查看连接属性”项，在DirectAccess属性窗口中的的“状态”栏中显示“已连接”字样，说明其已经感知到该机处于内部网络中。

实现双向网络访问

将“DAclient”的 主 机移动到别的网络中（例如家庭网络），将其IP更改为192.168.0.101，子网掩码为255.255.255.0，DNS地址为61.102.0.1，其通过网关主机连接Internet。

该网关上安装了两块网卡，一块连接内网，IP为192.168.0.1，子网掩码为 255.255.255.0，另 一 块连 接Internet，其IP为61.102.0.5，子网掩码为255.255.255.0。该网关上安装的是Windows Server 2003。

运行路由和远程访问程序，在其控制台左侧选择服务器名，在其右键菜单上点击“配置和启用路由和远程访问”项，在向导界面中的配置窗口中选择“网络地址转换（NAT）”项，选择“使用此公共接口连接到Internet”项，在网络列表中选择外网连接项目，点击下一步按钮，完成配置操作。

这 样， 该“DAclient”主机就可以顺利访问Internet。 在Direct Access服务器上打开远程访问管理控制台，在“连接的客户端”列表中可以看到，名为“DAclient”的主机已经连接回企业内网，包括其用户名，主机名，ISP地址，协议/隧道，持续时间等信息，说明其可以访问企业内网中的共享资源，网站等内容。

例如访问“\172.16.0.20”地址，可以看到内网主机上的共享文件夹，访问内网网站“www.xxx.com”，可以正常浏览。

当然，在相关内网主机上需要关闭防火墙或者配置合适的防火墙策略，来允许其访问。而且，该机还可以顺利访问Internet，这就说明了DirectAccess服务具有双向访问的特点。

管理Direct Access远程访问

在远程访问管理控制台左侧点击“配置”项，在右侧显示完整的远程访问扑结构，在“步骤1 远程客户端”栏中点击“编辑”按钮，在弹出窗口左侧点击“网络连接助手”项，在右侧的“验证内部网络连接的资源”列表中显示用于检测连通性的地址信息。默认其位于DirectAccess服务器上。

为了减轻其压力，可以新建一个连接验证项目，或选择“HTTP”或者“PING”方式。

注意，在对应内网主机上必须针对该PING操作，为防火墙设置合适的策略，允许进行PING探测。

在“DirectAccess连 接名称”栏中可以更改默认的“工作区连接”内容。在“步骤2 远程访问服务器”栏中点击“编辑”按钮。

在弹出窗口左侧点击“网络适配器”项，可以设置DirecAccess服务器中连接到的内部和外部的网卡项目。可以看到，在内部连接使用的是IPv6协议。

实际上在该“Daclient”主机上执行“ping chengyuan.xxx.com”命令。探测企业内网中的FGDN名为“chengyuan.xxx.com”的服务区，根据返回信息显示是IPv6的地址格式。

执行“ping 61.102.0.1”的Internet上的主机，显示的是IPv4格式的地址，这就说明DirectAccess服务器利用IPv4来封装IPv6协议，来发起连接。

利用证书保证安全访问

这里选择了“使用DirectAccess自动创建的自签名证书”项，利用自签名证书保证安全连接。在左侧选择“身份验证”项，在右侧可选择合适的用户身份验证方式，包括Active Directory凭据（用户名/密码），双重身份验证（智能卡或一次性密码）。选择“是Windows 7客户端计算机能够通过DirectAccess进行连接”项，允许Windows客户端进行连接，但是必须配置计算机证书。在“步骤4 应用程序服务器”栏中点击“编辑”按钮，在弹出窗口中选择“不将身份验证扩展到应用服务器”项，如果选择“将身份验证扩展到所选择的应用程序服务器”项，点击“添加”按钮，添加所需的应用服务器。这样客户端连接到内网后只能访问指定应用服务器。