远程用户现在可以通过更安全的方式访问您公司的网络。DirectAccess 是 Windows 7 和 Windows Server 2008 R2 中的新功能。通过这项功能,远程用户无需连接到虚拟专用网络 (VPN),就可以安全地访问 Intranet 资源。
此外,Windows Server 2008 R2 和 Windows 7 中还内置了网络访问保护 (NAP) 功能。当客户端计算机尝试连接网络或与网络通信时,NAP 可监视和评估该计算机的运行状态。
二者结合将获得更强大的功能。使用 NAP 实现 DirectAccess,让您可以指定只有符合系统健康要求的 DirectAccess 客户端才能通过 Internet 访问 Intranet 资源。
DirectAccess隧道
使用完全 Intranet 访问或选定服务器访问模式的 DirectAccess 客户端将创建以下连接到 DirectAccess 服务器的 Internet 协议安全性 (IPsec) 隧道:
基础结构隧道:连接 Intranet 域名系统 (DNS) 服务器和 Active Directory 域服务 (AD DS) 域控制器。默认情况下,此隧道要求使用计算机证书和计算机帐户 NT LAN 管理器版本 2 (NTLMv2) 凭据进行身份验证。DirectAccess 客户端在用户登录之前创建此隧道。
管理隧道:在用户登录之前连接到其他 Intranet 位置。Intranet 管理服务器也可以创建此隧道,以便远程管理 DirectAccess 客户端。与基础结构隧道相同,默认情况下此隧道也要求使用计算机证书和计算机帐户 NTLMv2 凭据进行身份验证。
Intranet 隧道:在用户登录之后连接到不在基础结构和管理隧道规则的目标地址列表中的 Intranet 位置。默认情况下,此隧道要求计算机证书和用户帐户 Kerberos 凭据以进行身份验证。
NAP和IPsec强制
您可以使用很多强制方法部署 NAP,以对连接或通信强制实施系统健康要求。IPsec 强制方法使用健康证书(在增强型密钥用法 [EKU] 字段中包含系统健康身份验证对象标识符 [OID] 的数字证书),要求对 Intranet 流量进行 IPsec 保护的 IPsec 连接安全性规则,以及使用健康证书的 IPsec 对等身份验证。
这种组合可强制使 Intranet 上计算机之间的通信符合系统健康要求。不符合系统健康要求和缺少健康证书的计算机无法在 Intranet 上发起通信。
IPsec 强制部署需要以下内容:
健康注册机构 (HRA):一台 Web 服务器,接收并响应 NAP 客户端以及客户端发出的验证系统健康并获得健康证书的请求。
NAP 证书颁发机构 (CA):公钥基础结构 (PKI) 中的 CA(通常是专用的),负责为合规的 NAP 客户端颁发健康证书。
NAP 健康策略服务器:负责验证系统健康请求的网络策略服务器 (NPS)。
更新服务器:包含资源的服务器。NAP 客户端需要这些资源来更正其不合规的系统健康状态。
通过 HRA 获得的健康证书的生命期很短,通常为数个小时。您也可以向需要健康证书以进行 IPsec 对等身份验证但不需要执行系统健康验证的服务器颁发生命期更长的豁免健康证书。
使用NAP实现DirectAccess
使用 NAP 实现 DirectAccess 是将系统健康合规性与 DirectAccess 连接过程相集成。当您结合使用 DirectAccess 和 NAP,以便在允许访问 Intranet 资源之前强制实施系统健康要求时,实际上是利用 NAP 基础结构来颁发健康证书(HRA、NAP C、NAP 健康策略服务器)并更正系统健康状态(更新服务器)。您还针对基础结构、管理和 Intranet 隧道使用 DirectAccess 连接安全性规则。
默认情况下,在 DirectAccess 客户端和服务器上为基础结构、管理和 Intranet 隧道配置的连接安全性规则不需要在进行身份验证时使用健康证书。是否需要修改规则集以便要求健康证书,取决于以下内容:
NAP 部署模式(报告或完全强制)
报告模式不要求系统健康合规。不合规的 DirectAccess 客户端可以访问 Intranet。因此,不需要更改 DirectAccess 连接安全性规则。
完全强制模式要求系统健康合规。在此模式中,您必须配置连接安全性规则以要求健康证书,而不是要求普通的计算机证书。
HRA 和更新服务器的位置
您可以在 Intranet 或 Internet 上找到 HRA 和更新服务器。
下文将分别介绍 HRA 和更新服务器的这两种位置,以及您因此需要做出的更改,以便连接安全性规则要求健康证书。
基于Intranet的HRA和更新服务器
当 HRA 和更新服务器位于 Intranet 上时,DirectAccess 客户端必须能够使用计算机证书(而不是健康证书)来访问它们。健康验证发生在创建基础结构和管理隧道之后。DirectAccess 客户端需要基础结构隧道来访问 Intranet DNS 服务器以解析 Intranet 名称,并需要管理隧道来访问 HRA 和更新服务器。
图 1 当 HRA 和更新服务器位于 Intranet 上时,使用 NAP 实现的 DirectAccess。
但是,对于完全强制模式,DirectAccess 客户端需要健康证书才能访问其他 Intranet 资源。因此,健康证书要求只适用于 Intranet 隧道的连接安全性规则。
配置步骤
当 HRA 和更新服务器位于 Intranet 上时,若要配置使用 NAP 的 DirectAccess,您需要:
向管理服务器列表中添加 HRA 和更新服务器的 IPv6 地址。您可以使用 DirectAccess 安装向导中的第三步或使用 Netsh.exe 命令来完成添加。
使用 Netsh.exe 命令在 DirectAccess 服务器组策略对象 (GPO) 中配置 Intranet 隧道规则以要求健康证书。
有关详细步骤,请参见为 NAP 配置 DirectAccess 连接安全性规则。
您使用 Netsh.exe 自定义 DirectAccess 连接安全性规则时,所做的更改将在您下次应用 DirectAccess 安装向导的设置时被覆盖。若要确保保留这些自定义设置,您要么放弃使用 DirectAccess 安装向导来更改配置,要么在脚本中编译自定义更改列表,然后在每次应用 DirectAccess 安装向导的设置时运行该脚本。
工作原理
以下过程描述了当 HRA 和更新服务器只位于 Intranet 上时,使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客户端:
当 DirectAccess 客户端启动并尝试使用其计算机帐户登录 AD DS 域时,它使用其计算机证书创建基础结构隧道。