DirectAccess是Windows 7和Windows Server 2008 R2中引入的一項(xiàng)新的功能，它能夠幫助企業(yè)中漫游的客戶端從Internet無縫的連接到公司的Intranet，訪問其中的資源。

說到從Internet訪問公司內(nèi)部的，人們首先想到的是使用VPN功能，VPN的原理是使用特殊的加密的通訊協(xié)議在不同的網(wǎng)絡(luò)之間建立一個(gè)隧道，然后使用一個(gè)和局域網(wǎng)中相同網(wǎng)段的IP地址，訪問企業(yè)內(nèi)網(wǎng)中的資源。隨著VPN的廣泛應(yīng)用，它的缺點(diǎn)也暴露無疑，主要有以下幾個(gè)方面：

1、連接VPN需要用戶來撥通，盡管這個(gè)過程可以配置成自動(dòng)方式，但是它的連接過程是系統(tǒng)在登陸之后再進(jìn)行的，這時(shí)如果企業(yè)的中的一些配置要在系統(tǒng)啟動(dòng)之前更新的話，漫游的客戶端將不會(huì)生效。

2、在現(xiàn)實(shí)的生活中我們常常會(huì)遇到網(wǎng)絡(luò)不穩(wěn)定的情況，如果Internet的連接斷掉，響應(yīng)的VPN又要重新?lián)芴?hào)。

3、常用的VPN需要連接特定的端口，例如：PPTP 的TCP 1723，L2TP 的 1701，而這些端口在很多有防火墻或者使用代理上網(wǎng)的場(chǎng)合并沒有開啟，當(dāng)然VPN連接也就不能正常建立了。

4、在撥通VPN的情況下，如果您要訪問Internet的情況，還是好通過intranet來進(jìn)行中轉(zhuǎn)，即使將網(wǎng)關(guān)設(shè)置為本地的網(wǎng)關(guān)，查詢DNS等的流量還是要通過intranet來進(jìn)行中轉(zhuǎn)，無疑這樣造成了帶寬的浪費(fèi)，同時(shí)用戶訪問Internet的體驗(yàn)也有所下降。

正應(yīng)為VPN有著以上缺點(diǎn)，我們常常避免使用VPN，而用特定的應(yīng)用程序網(wǎng)關(guān)來代替，比如：Exchange中的RPC over HTTP，遠(yuǎn)程桌面網(wǎng)關(guān)等，使用http（https）的流量來連接內(nèi)網(wǎng)的應(yīng)用程序服務(wù)器。

現(xiàn)在有了Windows Server 2008R2中DirectAccess以上的問題可以迎刃而解，DirectAccess非常好的結(jié)合IPv6和IPsec中優(yōu)點(diǎn)，在客戶端計(jì)算機(jī)和企業(yè)內(nèi)網(wǎng)之間自動(dòng)建立了一個(gè)雙向的連接，是的用戶可以無縫的訪問公司的intranet，并且企業(yè)也可以對(duì)漫游的客戶機(jī)進(jìn)行一個(gè)實(shí)時(shí)的管理。DirectAccess能夠在用戶登錄之前連接到企業(yè)的intranet，這樣不需要用戶的登錄，管理員也能夠?qū)蛻舳说难a(bǔ)丁、軟件和安全策略等待一些設(shè)置進(jìn)行更改和更新。

DirectAccess中一個(gè)重大的革新，就是使用了IPv6。想必很多人都聽說過，但是都覺得這個(gè)東西離自己很遠(yuǎn)，其實(shí)在我們的操作系統(tǒng)中都已經(jīng)內(nèi)置了IPv6，而且有些功能也是通過IPv6來實(shí)現(xiàn)的。Windows7中的家庭組就使用的IPv6功能，如果您使用PING命令來測(cè)試在家庭組的各臺(tái)計(jì)算機(jī)的連通性的話，您將會(huì)看到返回的是一個(gè)IPv6的地址。DirectAccess更是利用了IPv6的優(yōu)點(diǎn)。將IPv6技術(shù)應(yīng)用到從Internet訪問intranet，很多人覺得不太可能。畢竟現(xiàn)有的internet是不能直接傳遞IPv6的流量的，到底是怎么實(shí)現(xiàn)的呢？

其實(shí)在IPv6的設(shè)計(jì)之初，就已經(jīng)考慮到了這個(gè)問題。為此制訂了一些特殊的IPv6 over IPv4的協(xié)議，例如6to4，teredo等等。有了這些特殊的協(xié)議在現(xiàn)有的IPv4的網(wǎng)絡(luò)中也能夠傳遞IPv6的流量。Windows Server 2008 R2中將這些協(xié)議集合應(yīng)用在一起就產(chǎn)生了DirectAccess，DirectAccess中使用了istap，6to4，teredo和IP-HTTPS等一系列的特殊協(xié)議，在IPv4的網(wǎng)絡(luò)中建立了一個(gè)IPv6的隧道，在其中傳遞數(shù)據(jù)。同時(shí)這個(gè)數(shù)據(jù)時(shí)通過IPsec加密過的，保證了數(shù)據(jù)傳遞的安全。

DirectAccess自動(dòng)根據(jù)客戶端的環(huán)境選擇響應(yīng)的隧道協(xié)議。

1、在客戶使用公網(wǎng)的IPv4地址時(shí)將會(huì)使用6TO4來建立IPv6隧道，例如在家里使用ADSL是將使用這種方式。

2、如果計(jì)算機(jī)處在NAT之后，將會(huì)使用teredo協(xié)議來建立IPv6隧道，例如在使用路由器共享上網(wǎng)的時(shí)候就是采用的這種方式。

3、當(dāng)客戶端無法通過以上兩種方式建立隧道的時(shí)候，將會(huì)使用HTTPS來建立一個(gè)IP-HTTPS的隧道，客戶端在防火墻之后或者使用代理上網(wǎng)的時(shí)候就使用的是這種方式。

DirectAccess使用了IPsec來保證了連接過程中數(shù)據(jù)的安全。DirectAccess連接過程中會(huì)建立兩條不同的IPsec加密的隧道。其中一條隧道是使用計(jì)算機(jī)證書建立的，用來訪問域控制器（DC）和intranet中的DNS服務(wù)器，另外一條是使用計(jì)算機(jī)證書和用戶憑據(jù)建立的，用來訪問intranet中的應(yīng)用服務(wù)器

DirectAccess通過Name Resolution Policy Table名稱解析策略表（NRPT）來判斷客戶要訪問Internet還是intranet。

它將按 DNS 命名空間而不是按網(wǎng)絡(luò)接口來定義 DNS 服務(wù)器。利用 NRPT，客戶端可以避免原來的 DNS查詢，可以直接訪問 DirectAccess 服務(wù)器。當(dāng)客戶端訪問具有和Intranet相同的域名的服務(wù)器時(shí)，將直接通過IPv6隧道訪問Intranet內(nèi)部的服務(wù)器。在訪問其他域名的服務(wù)器時(shí)，將還是通過DNS服務(wù)器進(jìn)行查詢，然后訪問到Internet。這樣就實(shí)現(xiàn)了Internet和intranet流量的分離，節(jié)約了不必要的帶寬開銷。

DirectAccess提供了更加靈活和安全的保護(hù)方式。根據(jù)用戶的配置有兩種保護(hù)模式：點(diǎn)對(duì)點(diǎn)、點(diǎn)對(duì)邊緣。在點(diǎn)對(duì)點(diǎn)的保護(hù)模式中，DirectAccess客戶端和要訪問的服務(wù)器之間建立了IPsec會(huì)話，這樣提供更佳的保護(hù)。點(diǎn)對(duì)邊緣的模式中，DirectAccess客戶只與DirecAccess服務(wù)器建立IPsec會(huì)話，這種模式雖然安全基本有所降低，但是這種模式的適用范圍更加廣闊。

以上說了DirectAccess這么多的優(yōu)點(diǎn)，有幾個(gè)優(yōu)點(diǎn)我的體會(huì)比較深刻：其一是DirectAccess的在使用代理和在防火墻之后的使用。在原來使用VPN的時(shí)候，在有的地方由于使用了防火墻組織了相關(guān)VPN的端口或者通過代理上網(wǎng)的時(shí)不能連接到公司VPN，這樣也就沒法訪問公司的資源了。但是在使用DirectAccess時(shí)就不會(huì)發(fā)生這種現(xiàn)象，由于DirectAccess使用了IP-HTTPS隧道，在防火墻之后或者在使用代理是只要HTTPS端口是開放的，就能連通。其二是DirectAccess對(duì)Internet還是intranet流量的分離。原來在家里的時(shí)候要訪問公司的資源就要撥通VPN，而在撥通VPN的時(shí)候Internet往往要中斷一下，而且撥通VPN后上Internet的速度有了明顯的下降，而且如果公司的DNS沒有配置對(duì)外網(wǎng)查詢時(shí)就沒法上網(wǎng)了。

現(xiàn)在使用DirectAccess時(shí)，由于機(jī)器啟動(dòng)之后就連接了DirectAccess，訪問公司內(nèi)部的時(shí)候就和在公司使用時(shí)沒有什么兩樣，同時(shí)訪問Internet的速度沒有絲毫的下降，而且在連接Internet時(shí)還是使用的客戶機(jī)配置的DNS服務(wù)器，不會(huì)出現(xiàn)由于DNS配置而造成的不能上網(wǎng)的情況。其三就是DirectAccess的穩(wěn)定性。原來使用VPN的時(shí)候，在Internet的連接不穩(wěn)定的時(shí)候（例如在使用3G上網(wǎng)卡時(shí)），一旦Internet的連接中斷，VPN就要重新?lián)芴?hào)。而DirectAccess會(huì)自動(dòng)適應(yīng)網(wǎng)絡(luò)的變化，在Internet恢復(fù)的時(shí)候自動(dòng)重新連接，這個(gè)過程完全是自動(dòng)的，用戶根本沒有感覺。

由于DirectAccess實(shí)在是太新了，他和VPN相比還有一些局限。首先是由于涉及到Name Resolution Policy Table、IP-HTTPS和新增的組策略等待一系列的變化，它只適用于Windows7和Windows Server 2008R2，不支持原來的VISTA和XP等操作系統(tǒng)，而VPN幾乎支持所有的操作系統(tǒng)。其次是DirectAccess需要客戶端計(jì)算機(jī)加入域，而VPN 不管是否加域都能夠連接。

再次是DirectAccess需要客戶端計(jì)算機(jī)加入域加入域，然后管理員將計(jì)算機(jī)加入到相應(yīng)的“組”中來進(jìn)行初始化的配置，而VPN只需要一個(gè)服務(wù)器地址加上用戶名密碼就能夠可以了。還有，DirectAccess需要訪問的公司intranet的服務(wù)器必須含有一個(gè)IPv6的地址，一些基于IPv4的應(yīng)用是沒法通過DirectAccess來訪問的。雖然有以上的一些局限，但是瑕不掩瑜。從Internet訪問intranet的所有技術(shù)中，DirectAccess在連接的穩(wěn)定性、可靠性、安全性和連接的速度都具有很大的優(yōu)勢(shì)。

DirectAccess是Windows7和Windows Server 2008R2中一項(xiàng)重要功能，同時(shí)是目前將IPv6技術(shù)應(yīng)用在操作系統(tǒng)中的一項(xiàng)非常成功的實(shí)踐，相信隨著時(shí)間的推移，DirectAccess技術(shù)也會(huì)不斷的改進(jìn)和更新，同時(shí)在網(wǎng)絡(luò)中IPv6的應(yīng)用也會(huì)更加的廣泛。