多年以来，虚拟专用网络（VPN）为企业网络资源提供了远程访问的安全保护机制。管理员们经常抱怨从客户端安装到策略配置等繁杂的工作，而厂商通过提供从浏览器客户端到基于角色的访问控制机制来作为应对。最近由于无线用户对太多连接中断的抱怨，厂商提供了无中断的移动VPN。

　　现在，微软称有了更好的解决方案：DirectAccess。通过这个Windows 7的特性，用户能进行安全的远程end-to-edge和end-to-end访问，这些访问是由Windows Server 2008 R2的DirectAccess服务器来传输的。但是DirectAccess是否是真正的新技术呢？更重要的是：对于中型企业来说，DirectAccess的优点和局限性是什么？

　　什么是DirectAccess？

　　微软的Windows 7 DirectAccess用自动初始的，经过认证和加密的IPv6/IPsec ESP隧道（tunnel）作为远程Windows 7用户访问私有网络（intranet）资源的通路。正如大多数的IPsec VPN一样，通道能将Windows 7主机（即DirectAccess客户端）连到位于私有网络边缘的网关（DirectAccess服务器）上。相对地，DirectAccess客户端能在IPsec的传输模式下，通过一个DirectAccess服务器和任何一台局域网内基于IPv6的Windows Server 2008服务器建立安全的end-to-end会话。

　　DirectAccess客户端在启动时尝试在企业内部网络环境内连接一台指定的服务器。如果连接可达，用户就是从局域网内部进行访问的，从而无需使用DirectAccess服务。否则意味着用户试图进行远程连接，于是DirectAccess就试图通过局域网在任何可用的网络连接上建立一个双向的安全隧道。

• 首先，DirectAccess客户端和服务器进行双向的机器认证。服务器通过局域网的ActiveDirectory服务来验证客户端所在组（如果NAP要求进行客户端的健康检查，则还需访问局域网的Health Registration Authority服务）。如果验证通过就生成一个IPsec ESP隧道，并且在客户端到服务器的连接有效期间都会对隧道进行持续地维护。
• 而后，客户端可以通过安全通道访问局域网DNS服务器和Windows域控制器。Name Resolution Policy表判断远程应用关联的机器名是否被局域网或者互联网的DNS服务器解析。所有连向互联网服务器的流量都会被直接发送出去。
• 当任何远程应用试图向局域网服务器发送数据时，DirectAccess客户端自动建立第二个IPsec ESP会话。基于配置策略的不同，这个会话可能以end-to-edge的隧道模式或者end-to-end的传输模式而建立。对于这两种模式而言，认证都是基于机器和用户身份（比如域密码和smart card机制）的。如果上述过程都顺利完成，用户就被授权可以对局域网资源进行安全的访问，和本地访问没有任何区别。

　　必须注意DirectAccess是基于IPv6的。DirectAccess客户端总是试图基于本地IPv6建立IPsec隧道。如果建立失败（在大部分家庭和公网上都是如此），客户端会试图通过类似6to4或者Teredo之类的转化技术将IPv6包裹到IPv4的数据包中。如果这一步失败（当面对很多防火墙和代理时），客户端会试图用微软的IP-HTTPS协议把IPv6填充到HTTPS的数据包中。因为大部分的网络，防火墙和代理允许发送基于SSL的HTTP包，所以这一步通常都会成功。但是需要注意的是在整个过程中，局域网必须支持IPv6，包括IPv6的DNS名字空间，针对所有局域网资源的IP地址前缀，以及一个分配给DirectAccess客户端的，可公共路由的IPv6地址。

　　DirectAccess的特殊之处

　　DirectAccess使用包括IPsec ESP和MOBIKE在内的VPN协议。当被用来保护end-to-edge连接时，DirectAccess能创建类似于其他任何定制化IPsec VPN的安全隧道。

　　DirectAccess的不同之处在于隧道管理的自动化程度以及与其他微软基础架构的耦合度。许多其他VPN厂商提供完全的自动化隧道创建功能 – 甚至为应对短暂的连接失效而提供的应用一致性。但是微软的VPN网关 – Windows Server 2008中的Routing and Remote Access (RRAS) – 不提供这些功能。RRAS用户会被要求手动发起VPN连接进行登录（通过L2TP/IPsec或者PPTP）。如果无线或者有线连接断开，VPN通道需要重新建立。DirectAccess避免了这种对最终用户的不便之处。

　　另一个关键的不同点是路由。许多其他厂商的VPN – 尤其是SSL VPNs – 在针对局域网和互联网进行远程客户端网络流量的路由方面各有不同。但是，第二层通信隧道协议（比如L2TP和PPTP）只是简单地通过一个（non-split）隧道把所有发送包路由到VPN网关，而后再由这个网关把数据送给互联网或者局域网上的目标地址。DirectAccess默认地采用IPv6的名字空间以更有效地工作，而不是通过混乱的IPsec选择器或者SSL的URL映射机制。尽管如此，DirectAccess客户端还是能基于Windows防火墙的组策略把非局域网的传输纳入到隧道中。

　　最后一点，虽然DirectAccess支持end-to-edge保护功能，但是微软建议有可能（即当目的地址是一个IPv6的Windows Server 2008服务器时）的话尽量使用end-to-end的保护。这样当网络迁移到IPv6协议时，DirectAccess能够支持划分本地和远程通讯所需的安全架构。

　　DirectAccess的用途和使用方法

　　DirectAccess给人的第一印象似乎是为大企业提供的。但是，许多试图使其购买的软硬件物尽所用的中型企业都在使用Windows RRAS作为VPN平台，它们可能把DirectAccess作为RRAS的升级替代品。

　　而且，那些购买VPN集中器的中型企业不会很快在更高端的SSL和移动VPN上进行投资。DirectAccess提供了一些第三方VPN产品所具有的特性（例如无中断隧道和防火墙/代理穿越），而且无需硬件投资以及客户端的安装工作。

　　但是DirectAccess也并非十全十美的。DirectAccess的客户端集成在Windows 7 Enterprise/Ultimate版和Windows Server 2008 R2中 – 但是其目前还不能用于提供对任何其他远程设备的访问（所以其他包括RRAS在内的VPN解决方案仍然可以协同使用）。

　　第二个不完美的地方是DirectAccess服务器必须安装在带有至少两个网卡并运行Windows Server 2008 R2的PC上。连接互联网的网卡必须有两个可公共路由的IPv4地址（即在一个非防护区上）。如果企业担心可用性或可扩展性的话，可以安装多个DirectAccess服务器。

　　第三点，局域网必须（或者至少某种程度上）是支持IPv6的。这意味着一个支持IPv6连接的域控制器和域名服务器，而且必须是运行Windows Server 2008 (SP2 or R2)。支持IPv6连接的应用服务器（运行任何版本的Windows Server 2008）能够在end-to-end或者end-to-edge模式下被访问。局域网内其他所有的应用服务器（包括能通过NAT-PT被访问的IPv4服务器）只能受限于end-to-edge类型的访问。

　　最后，DirectAccess很明显只能用于依赖于Windows架构的局域网。比如，DirectAccess不能访问那些ActiveDirectory之外以及没有机器认证的远程设备。那些已经采用了微软Windows 7认证体系的公司更容易应用DirectAccess。实际上，DirectAccess能帮助远程用户更好利用其他新型的Windows网络的特性，包括NAP，Windows 7的Federated Search和Folder Redirection等。