Windows 7 直接访问

DirectAccess 要求

• 一台或多台 DirectAccess 服务器运行 Windows Server 2008 R2 并带有两个网络适配器：一个直接连接到 Internet，另一个连接到 Intranet。
• 在 DirectAccess 服务器上，至少有两个连续的公共 IPv4 地址分配给连接到 Internet 的网络适配器。
• 运行 Windows 7 的 DirectAccess 客户端。
• 至少一台运行 Windows Server 2008 或 Windows Server 2008 R2 的域控制器和域名系统 (DNS) 服务器。当端到端保护需要基于智能卡的身份验证时，您必须使用 Windows Server 2008 R2 中的 Active Directory 域服务 (AD DS)。
• 用于颁发计算机证书、智能卡证书以及针对 NAP 的健康证书的公钥基础结构 (PKI)。有关详细信息，请参阅http://www.microsoft.com/pki。
• 用于指定流量保护的 IPsec 策略。有关详细信息，请参阅http://www.microsoft.com/ipsec。
• 可在 DirectAccess 服务器上使用的 IPv6 转换技术：ISATAP、Teredo 和 6to4。

这个功能看起来很摇滚。我认为 SSL VPN 销量应该会下降……

Windows 7 和 Windows Server 2008 R2 中 DirectAccess 的技术概述

要配置 DirectAccess (DA)，您可以查看 vzczc 提供的答案以了解需要什么。建立系统和基础设施后，您需要执行以下操作：

准备 AD/DNS

1. 为将成为 DA 客户端的计算机创建安全组
2. 为 Intranet DA 客户端的网络位置服务器创建 DNS 主机记录。
3. 为 Intranet 中托管证书吊销列表 (CRL) 的服务器创建 DNS 主机记录。
4. 在公共 DNS 上，为主机创建一个 DNS 主机记录，该记录将为基于 Internet 的 DA 客户端提供对 CRL 的访问。

配置您的 PKI 环境

1. 添加/配置 CA 服务器角色
2. 配置 CRL 分发设置
3. 将 CRL 发布到指定的 Intranet 位置
4. 创建证书模板并在模板上配置安全设置，以便经过身份验证的用户可以注册证书
5. 分发计算机证书（这可以通过 GPO 和自动注册来完成）

配置 DA 客户端

1. 验证 DA 客户端是否具有 DA 身份验证所需的计算机证书
2. 验证客户端可以连接到 Intranet 资源

配置 DA 服务器

1. 在DA服务器中安装两个网卡
2. 在 DA 服务器上安装 Web 服务器角色
3. 创建一个虚拟目录来托管 CRL
4. 将 CRL 发布到虚拟目录
5. 安装 DA 管理控制台功能
6. 运行 DA 管理向导以配置 DA

DA 客户端使用网络位置服务器功能来确定它们是否在 Intranet 上。根据网络位置服务器的响应（或不响应），DA 客户端将制定适用于 DA 或非 DA（内联网）访问的配置文件和规则。

Network Location Server 可以在 DA 服务器上运行，它需要 Web 服务器角色才能运行。