實現雙向網絡訪問

配置Direct Access服務器

在Direct Access服務器上打開服務器管理器，點擊“添加角色和功能”項，在向導界面中選擇“遠程訪問”角色，其余采用默認設置，安裝所需的角色。

在配置向導界面（如圖1） 中選擇“僅部署DirecAccess”項，在“選擇服務器的網絡拓撲”欄中選擇“邊緣”項，在窗口底部輸入客戶端用于連接到遠程訪問服務器的公用名稱或IPv4地址，例如“zda.daceshi.com”。

注意，該地址或者DNS域名必須在公網DNS服務器上注冊過的。

圖1 配置Direct Access服務

例如，在上述公網DNS服務器上打開DNS管理器，在左側選擇“正向查找區域”項，在其右鍵菜單上點擊“新建區域”項，在向導界面中選擇“主要區域”項，輸入區域名稱（例如“daceshi.com”），在動態更新窗口中選擇“允許非安全和動態更新”項。點擊完成按鈕，創建該區域。

選擇“正向查找區域”-“daceshi.com”項，在右側窗口的右鍵菜單中點擊“新建主機（A或AAAA）”項，創建一條A記錄，其名稱為“zda”，IP為 61.102.0.2，即 Direct Access服務器的公網接口。

當然，這里僅僅是舉一個例子進行說明，在具體配置時，需要向專業的域名管理機構注冊所需的域名。在上述配置遠程訪問窗口中點擊下一步按鈕，點擊“此處”鏈接，在遠程訪問審閱窗口中的“遠程客戶端”欄中點擊“更改”鏈接，在遠程訪問設置窗口中不選擇“僅為移動計算機啟用DirectAccess”項。

在默認情況下，允許域中的“Domain Computers” 組中的主機訪問DirectAccess服務器。

點擊刪除按鈕，刪除該默認安全組。點擊“添加”按鈕，導入之前配置好的“DAkehu”組。

客戶端獲取訪問權限

當DirectAccess服務器初始化配置完成后，在遠程訪問管理控制臺左側點擊“操作狀態”項，在右側顯示所有的項目全部以綠色顯示，才表示DirectAccess服務器處于可用狀態。

然后在DC域控制器上打開DNS管理器，可以看到出現了“direcaccess-corpConnectivityHost”，“direcaccess-corpConnectivityHost”（IPv6主 機），“DirectAccess-NLS”，“directaccess-WebProbeHost”等新的記錄。后面兩個域名用于檢測檢測DirectAccess服務的連通性。

在本例中其指向DirectAccess服務器的IP，這是因為Network Location Server定位服務其實位于Direct Access服務器上的緣故。

打開組策略管理器，顯示新出現的名為“DirectAccess服務器設置”和“DirectAccess客戶端設置”的策略項目。

在上述名為“DAclient”的主機上執行“gpupdate/force”命令，執行組策略刷新操作。

然后重啟該計算機，使該機獲得訪問DirectAccess服務器的權限，并激活配置信息。

在Windows 8的網絡連接面板中會顯示“工作區連接”信息，在其中的對應的網絡連接項目的右側菜單中點擊“查看連接屬性”項，在DirectAccess屬性窗口中的的“狀態”欄中顯示“已連接”字樣，說明其已經感知到該機處于內部網絡中。

實現雙向網絡訪問

將“DAclient”的 主 機移動到別的網絡中（例如家庭網絡），將其IP更改為192.168.0.101，子網掩碼為255.255.255.0，DNS地址為61.102.0.1，其通過網關主機連接Internet。

該網關上安裝了兩塊網卡，一塊連接內網，IP為192.168.0.1，子網掩碼為 255.255.255.0，另 一 塊連 接Internet，其IP為61.102.0.5，子網掩碼為255.255.255.0。該網關上安裝的是Windows Server 2003。

運行路由和遠程訪問程序，在其控制臺左側選擇服務器名，在其右鍵菜單上點擊“配置和啟用路由和遠程訪問”項，在向導界面中的配置窗口中選擇“網絡地址轉換（NAT）”項，選擇“使用此公共接口連接到Internet”項，在網絡列表中選擇外網連接項目，點擊下一步按鈕，完成配置操作。

這 樣， 該“DAclient”主機就可以順利訪問Internet。 在Direct Access服務器上打開遠程訪問管理控制臺，在“連接的客戶端”列表中可以看到，名為“DAclient”的主機已經連接回企業內網，包括其用戶名，主機名，ISP地址，協議/隧道，持續時間等信息，說明其可以訪問企業內網中的共享資源，網站等內容。

例如訪問“\172.16.0.20”地址，可以看到內網主機上的共享文件夾，訪問內網網站“www.xxx.com”，可以正常瀏覽。

當然，在相關內網主機上需要關閉防火墻或者配置合適的防火墻策略，來允許其訪問。而且，該機還可以順利訪問Internet，這就說明了DirectAccess服務具有雙向訪問的特點。

管理Direct Access遠程訪問

在遠程訪問管理控制臺左側點擊“配置”項，在右側顯示完整的遠程訪問撲結構，在“步驟1 遠程客戶端”欄中點擊“編輯”按鈕，在彈出窗口左側點擊“網絡連接助手”項，在右側的“驗證內部網絡連接的資源”列表中顯示用于檢測連通性的地址信息。默認其位于DirectAccess服務器上。

為了減輕其壓力，可以新建一個連接驗證項目，或選擇“HTTP”或者“PING”方式。

注意，在對應內網主機上必須針對該PING操作，為防火墻設置合適的策略，允許進行PING探測。

在“DirectAccess連 接名稱”欄中可以更改默認的“工作區連接”內容。在“步驟2 遠程訪問服務器”欄中點擊“編輯”按鈕。

在彈出窗口左側點擊“網絡適配器”項，可以設置DirecAccess服務器中連接到的內部和外部的網卡項目。可以看到，在內部連接使用的是IPv6協議。

實際上在該“Daclient”主機上執行“ping chengyuan.xxx.com”命令。探測企業內網中的FGDN名為“chengyuan.xxx.com”的服務區，根據返回信息顯示是IPv6的地址格式。

執行“ping 61.102.0.1”的Internet上的主機，顯示的是IPv4格式的地址，這就說明DirectAccess服務器利用IPv4來封裝IPv6協議，來發起連接。

利用證書保證安全訪問

這里選擇了“使用DirectAccess自動創建的自簽名證書”項，利用自簽名證書保證安全連接。在左側選擇“身份驗證”項，在右側可選擇合適的用戶身份驗證方式，包括Active Directory憑據（用戶名/密碼），雙重身份驗證（智能卡或一次性密碼）。選擇“是Windows 7客戶端計算機能夠通過DirectAccess進行連接”項，允許Windows客戶端進行連接，但是必須配置計算機證書。在“步驟4 應用程序服務器”欄中點擊“編輯”按鈕，在彈出窗口中選擇“不將身份驗證擴展到應用服務器”項，如果選擇“將身份驗證擴展到所選擇的應用程序服務器”項，點擊“添加”按鈕，添加所需的應用服務器。這樣客戶端連接到內網后只能訪問指定應用服務器。