IPv6直接訪問
有關這個網絡應用,有以下幾點需要說明。
第一點, DirectAccess是針對企業用戶的。和Win server 2008 R2的IPv6與IPSec組合實現的VPN相比,在Win7企業版和旗艦版中的DirectAccess內置的VPN可以更好的防止黑客通過firesheep竊取網絡數據。
第二點,DirectAccess可以與網絡訪問保護(NAP)結合。NAP系統會自動檢查遠程接入終端上所安裝的軟件是否為最新版本,以及是否應用了相符的安全策略。在必要情況下,系統管理員可以設置NAP去自動更新遠程終端的軟件版本以及應用新的安全策略。也就是說,在DirectAccess 和NAP同時應用時,你不但可以阻止不具備安全兼容性的遠程終端訪問本地網絡,還可以自動為其打補丁,安裝本地企業網絡所認可的反病毒軟件客戶端程序,修改安全策略設置,之後再允許該終端接入本地系統。
這兩者的結合可以說是系統管理員的大愛。它使得管理員只需要在本地系統上設置好,就可以方便的管理遠程接入終端並維護其系統安全。
通過 DirectAccess, 管理員可以提升客戶端和數據中心的網絡性能。
這一功能是通過分離企業的內網數據和外網數據而實現的。在DirectAccess環境中,只有企業網數據在企業服務器中傳遞,而員工上網看視頻之類的非業務活動,其數據流還是走企業網關。
由此帶來的明顯變化就是在Win7客戶端和企業數據中心間的數據流速明顯增加。遠程的Win7用戶不會再像以前那樣等待一段時間才能看到數據中心返回的結果。數據中心的交換機也不會再浪費帶寬處理其它數據。而在傳統的VPN模式下,所有的數據流都要經過企業網關。
使用DirectAccess的IPv6
使用DirectAccess 時,你不必考慮IPv6是否已經在運行了。因為Win7和Server 2008 R2 都支持IP-HTTPS 。這是一種隧道協議,可以將IPv6數據包隱藏在基於IPv4的HTTPS線程中。如果你知道自己的網絡環境是IPv4,比如在酒店,咖啡廳,或者會議中心的公共網絡環境中,你可以以管理員身份登錄系統,按照以下步驟操作,確保所有遠程Win7用戶在使用IP-HTTPS時都默認選擇了Force Tunneling選項。首先以管理員身份登錄,然後按照以下步驟操作:
步驟1. 打開 Group Policy Management 控制台,在Domain Controller上點擊Start,點擊Control Panel,點擊Administrative Tools,然後點擊Group Policy Management。在這裡為DirectAccess客戶端電腦建立一個組策略對象Group Policy Object(GPO)
步驟2. 在新建的 DirectAccess 客戶端 GPO,找到Computer ConfigurationPoliciesAdministrative TemplatesNetworkNetwork ConnectionsRoute all traffic through the internal network.然後點擊Edit policy setting, 點擊 Enabled, 然後點擊OK。