DirectAccess

DirectAccess，也称统一远程访问（Unified Remote Access），是一种类VPN技术，它可以为已连接互联网的客户端计算机提供内部网连通性。不同于许多传统的必须由用户明确启动与终止的虛擬私人網路（VPN）连接，DirectAccess连接被设计成在计算机连接到互联网后就尽快自动连接。DirectAccess在Windows Server 2008 R2中引入，为Windows 7和Windows 8企业版客户端提供此服务。2010年，Microsoft Forefront统一接入网关（英语：Microsoft Forefront Unified Access Gateway）（UAG）发布，这简化了DirectAccess在Windows 2008 R2上的部署^[1]，包含额外组件使其更容易集成而无需在网络上部署IPv6，并有专用的用户界面用于配置和监控。虽然DirectAccess基于微软技术，但也有第三方解决方案使用DirectAccess来访问内部的UNIX和Linux服务器。在Windows Server 2012中，DirectAccess被完全集成到操作系统，提供有用户界面用于配置，并有原生的IPv6和IPv4支持。^[2]

技术

DirectAccess在客户端与DirectAccess服务器之间建立IPsec隧道，并使用IPv6联系内部网或其他DirectAccess客户端。这些技术将IPv6流量封装在IPv4封包内以通过互联网传输到内部网，因此仍主要依赖于IPv4流量。所有传输到内部网的流量都使用IPsec加密并封装在IPv4封包内，因此大多数情况下不需要配置防火墙或代理服务器。^[3]DirectAccess客户端可以使用数种隧道技术之一，这取决于客户端的网络连接配置。只要服务器配置正确从而能使用，客户端可以使用6to4、Teredo隧道或IP-HTTPS。例如，直接连接到互联网的客户端可使用6to4，而在NAT网络内的客户端将使用Teredo。此外，Windows Server 2012提供两种向后兼容服务：DNS64和NAT64，这允许DirectAccess客户端与企业网络中的服务器通信，即使这些服务器只有IPv4网络连接。由于IPv6的全局可路由性，公司网络上的计算机也可以启动与DirectAccess客户端的连接，从而可以随时远程管理这些客户端。^[4]

优势

DirectAccess可以为多个站点部署。它允许通过组策略控制，维护一个安全加密的VPN网络。

必要条件

Windows Server 2008 R2中的DirectAccess或UAG需要：

一个或多个有两个网络适配器的运行Windows Server 2008 R2的DirectAccess服务器：一个直接连接互联网，另一个连接到内部网。
在DirectAccess服务器上，连接到互联网的网络适配器已被分配至少两个连续的公网IPv4地址。
DirectAccess客户端运行Windows 7 Ultimate版或企业版，或Windows 8企业版。
至少一个網域控制器和域名系统（DNS）服务器，运行Windows Server 2008 SP2或Windows Server 2008 R2。
公開金鑰基礎建設（PKI）来颁发计算机证书。

Windows Server 2012中的DirectAccess需要：

一个或多个有一个或两个网络适配器的运行Windows Server 2012的DirectAccess服务器
至少一个網域控制器和域名系统（DNS）服务器，运行Windows Server 2008 SP2或Windows Server 2008 R2。
DirectAccess客户端运行Windows 7 Ultimate版或企业版，或Windows 8企业版。
公钥基础设施对Windows 8客户端不是必要条件。^[5]

智能卡证书和用于網路存取保護技術的健康证书可以配合PKI使用。

参考资料

^ Got DirectAccess? Get UAG!. [2017-03-23]. （原始内容存档于2009-07-21）（美国英语）.
^ What's New in DirectAccess in Windows Server. [2017-03-23]. （原始内容存档于2017-03-23）（英语）.
^ DirectAccess: Microsoft's Newest VPN Solution - Part 1: Overview of Current Remote Access Solutions - TechGenix. [2017-03-23]. （原始内容存档于2013-01-17）（美国英语）.
^ Configuring Manage Out to DirectAccess Clients | PACKT Books. [2017-03-23]. （原始内容存档于2017-03-23）（英语）.
^ What's New in DirectAccess in Windows Server. [2017-03-23]. （原始内容存档于2017-03-23）（英语）.

外部链接

Microsoft's DirectAccess in Windows Server 2012（页面存档备份，存于互联网档案馆）
Microsoft's DirectAccess in Windows Server 2008 R2（页面存档备份，存于互联网档案馆）
MS-IPHTTPS on MSDN（页面存档备份，存于互联网档案馆）：PDF中包含规范。
Blogger's posting on DirectAccess（页面存档备份，存于互联网档案馆）
Richard Hicks' DirectAccess Blog（页面存档备份，存于互联网档案馆）
Differences between UAG and native 2008 R2 DirectAccess（页面存档备份，存于互联网档案馆）

[UAGNOTREQUIRED-1] Got DirectAccess? Get UAG!. [2017-03-23]. （原始内容存档于2009-07-21）（美国英语）.

[2] What's New in DirectAccess in Windows Server. [2017-03-23]. （原始内容存档于2017-03-23）（英语）.

[SSLport-3] DirectAccess: Microsoft's Newest VPN Solution - Part 1: Overview of Current Remote Access Solutions - TechGenix. [2017-03-23]. （原始内容存档于2013-01-17）（美国英语）.

[4] Configuring Manage Out to DirectAccess Clients | PACKT Books. [2017-03-23]. （原始内容存档于2017-03-23）（英语）.

[5] What's New in DirectAccess in Windows Server. [2017-03-23]. （原始内容存档于2017-03-23）（英语）.

[1]

[2]

[3]

[4]

[5]

查论编虚拟专用网
軟體	AnyConnect Gbridge Hamachi（英语：Hamachi） Microsoft Intelligent Application Gateway（英语：Microsoft Intelligent Application Gateway） n2n（英语：n2n） Openswan OpenVPN SoftEther VPN strongSwan Remobo Socialvpn（英语：Socialvpn） tinc Wippien WireGuard Cisco Systems VPN Client（英语：Cisco Systems VPN Client）
機制	SSTP（英语：Secure Socket Tunneling Protocol） · IPsec · L2TP · L2TPv3（英语：L2TPv3） · PPTP · 隧道分离（英语：Split tunneling） · SSL/TLS
廠商	L2F DirectAccess
风险	内容控制软件深度内容检测（英语：Deep content inspection）深度包检测 IP封锁网络枚举（英语：Network enumeration）狀態防火牆 TCP重置攻击 VPN屏蔽