DirectAccess

提高移動員工生產力 通過提供內部和外部辦公同樣的連接體驗，DirectAccess 可以提高移動工作人員生產力。為用户提供了只要有互聯網連接便可以訪問內部網絡資源的能力，無論是他在旅行、在咖啡廳還是在家。

遠程用户更易於管理 如果沒有DirectAccess，只有當用户連接到VPN或進入辦公室，才能對移動計算機進行管理。通過DirectAccess，只要移動計算機有互聯網連接就可以進行管理，即使用户沒有登錄。這允許對移動計算機進行定期管理，有助於確保移動用户保持最新的安全性和系統健康策略。DirectAccess 有助於企業對漫遊在企業網絡外的財產進行安全監督和數據保護。

改進的安全性 直接訪問使用IPSec進行認證和加密。您可以選擇用智能卡(Smart Card)進行用户身份驗證。DirectAccess集成NAP，規定DirectAccess客户端 必須符合系統健康要求才能允許連接到DirectAccess服務器。 IT管理員可以配置DirectAccess服務器，限制用户和應用程序可以訪問的服務器。

從安全的角度來考慮，DirectAccess訪問的內網資源是可控制的。有兩種資源訪問方式：

顧名思義，就是有選擇性的允許訪問內網特定的服務器。這樣做的優點是可以在DirectAccess服務器上配置訪問規則進行安全控制，但是這種模式需要 被訪問的服務器版本必須是Windows Server 2008或2008 R2，而且這些服務器需要同時支持IPv6和IPsec協議。

這種模式下，DirectAccess服務器把來自用户的請求以非IPSec的方式向內網的服務器轉發。這種模式對內網的服務器要求不高，而且內網情況下的網絡安全也可以得到有效的控制。這類似於Exchange的RPC over Http方式。

DirectAccess的連接建立過程

1. 運行Windows 7的客户端計算機首先檢測到它所連接的網絡；

2. DirectAccess服務嘗試連接管理員所指定的一個內網資源，如果連接成功，則DirectAccess默認計算機已經處在內網的環境中，計算機會把DirectAccess服務關閉以節省系統資源；如果訪問不到，DirectAccess服務繼續工作；

3.客户端計算機接下來使用IPv6和IPSec連接預先指定的DirectAccess服務器。如果計算機所處的不是IPv6網絡，計算機建立一個IPv6-over-IPv4的隧道(使用6to4或者Intra-Site Automatic Tunnel AddressingProtocol ，ISATAP)。這些都是Windows 7在後台完成的，不需要用户的登陸和干預；

4. 如果防火牆不允許連接IPv6 6to4隧道，計算機使用HTTPS協議與DirectAccess服務器進行通訊(性能會有影響)；

5. Windows 7客户端和DirectAccess服務器完成互相的身份驗證(採用計算機證書實現)；

6. DirectAccess服務器根據客户端在AD中的身份和當前登陸用户，決定是否允許訪問。為了避免可能的DDOS攻擊，這裏微軟採用了DSCPs技術(Differentiated Services Code Points)；

7. 如果計算機啓用了NAP檢測，DirectAcces服務器轉向NAP服務器完成客户機的安全檢測。這也可以有效地避免客户機從外網聯接帶來的安全隱患和病毒；

8. 一切都完成後，DirectAccess服務器開始擔當內外網信息傳遞的角色。

以上這些過程都是自動完成的，不需要用户的干預。

DirectAccess的軟件需求

* 一台或多台運行Windows Server 2008 R2的DirectAccess服務器，這些服務器需要兩塊網卡，分別連接內網和外網。

* 至少一台域控制器和DNS服務器運行在Windows Server 2008或Windows Server 2008 R2之上。一些高級的認證協議(two-factor authentication)需要R2的AD DS支持。

* Public Key Infrastructure (PKI)以提供證書。

* IPSec。

* DirectAccess服務器支持：ISATAP，Teredo，和 6to4 。