企業(yè)的系統(tǒng)管理員還可以集中管理RemoteApp程序，同時用戶設(shè)備相關(guān)性使得企業(yè)員工可以將漫游用戶映射給指定的計算機和設(shè)備。另外，BranchCache通過改進，可以提供更好的性能，并能更加充分地利用昂貴的廣域網(wǎng)(WAN)帶寬。此外 Branch Office Direct Printing功能使得遠程辦公室用戶可以更快速地完成打印作業(yè)，而不需要給本就繁忙的WAN增加負(fù)擔(dān)。

統(tǒng)一訪問:DirectAccess與VPN同體

今天的企業(yè)在 IT 基礎(chǔ)架構(gòu)方面安全邊界越來越模糊。當(dāng)大部分員工開始移動工作，需要訪問移動數(shù)據(jù)時，企業(yè)需要解決新的安全挑戰(zhàn)。云計算致力于解決上述部分問題，但實際上大部分組織都會部署混合云，其中同時包含傳統(tǒng)的數(shù)據(jù)中心計算環(huán)境，以及托管式云服務(wù)。

用安全、高效、成本低廉的方式為企業(yè)資源提供遠程訪問，是今天企業(yè)的一項基本工作。微軟老版本W(wǎng)indows Server操作系統(tǒng)支持用不同的方式實施遠程訪問，具體包括：點對點隧道協(xié)議(PPTP)VPN 連接;二層傳輸協(xié)議 IPsec(L2TP/IPsec)VPN 連接;使用安全套接隧道協(xié)議(SSTP)的安全套接字層(SSL)加密的超文本傳輸協(xié)議(HTTP)VPN 連接;VPN 重連接，可使用 Internet 協(xié)議安全(IPsec)隧道模式的 Internet 密鑰交換版本 2(IKEv2);DirectAccess，混合使用公鑰基礎(chǔ)架構(gòu)(PKI)、IPsec、SSL，以及 Internet 協(xié)議版本 6(IPv6)等等。

同時，在老版本的Windows Server操作系統(tǒng)中，實施遠程訪問是一項復(fù)雜的任務(wù)，因為要部署和管理不同的解決方案，往往需要使用不同的工具。例如，要實施 VPN 解決方案需要用到路由和遠程訪問(RRAS)組件，而 DirectAccess 的配置則要用到其他工具。

不過，從Windows Server 2012開始，遠程訪問解決方案的部署過程得以極大地簡化。因為，在Windows Server 2012中已經(jīng)將DirectAccess與VPN功能集成到同一個遠程訪問服務(wù)器角色中。

此外，無論基于DirectAccess或VPN的遠程訪問解決方案的管理也得到了統(tǒng)一，并且都集成在全新的服務(wù)器管理器中。最終，Windows Server 2012可以為系統(tǒng)管理員提供集成式的遠程訪問解決方案，部署和管理都更加簡單。另外，某些高級RRAS 功能，例如路由，依然需要通過原有的路由與遠程管理控制臺進行配置。

Directaccess簡化遠程訪問步驟

如果遠程客戶端設(shè)備可以持續(xù)連接，用戶的工作效率就可以更高。能夠持續(xù)連接的設(shè)備在管理上也可以更容易，這有助于確保合規(guī)性，降低支持成本。首次在 Windows Server 2008 R2中引入，并且可被運行在Windows 7客戶端的設(shè)備上，所支持的DirectAccess 功能通過讓用戶在具備互聯(lián)網(wǎng)連接的時候，無縫連接到企業(yè)網(wǎng)絡(luò)，可以充分滿足這些需求。

圖 Directaccess簡化遠程訪問步驟

DirectAccess可以讓用戶用一種安全的方式遠程訪問企業(yè)資源，例如共享文件夾、網(wǎng)站，以及應(yīng)用程序，同時并不需要預(yù)先建立VPN連接。每次用戶設(shè)備連接到互聯(lián)網(wǎng)之后，DirectAccess可以在用戶的設(shè)備與企業(yè)網(wǎng)絡(luò)之間自動建立雙向連接。

使用傳統(tǒng)的VPN時經(jīng)常遇到的一些困擾。例如，連接到VPN通常需要執(zhí)行多個步驟，并且用戶需要等待身份驗證的完成。如果企業(yè)網(wǎng)絡(luò)中實施了網(wǎng)絡(luò)訪問保護(NAP)技術(shù)，那就需要先對計算機進行健康檢查，隨后才允許連接到企業(yè)網(wǎng)絡(luò)，造成VPN連接的建立可能需要好幾分鐘甚至更長時間，這主要取決于是否需要執(zhí)行補救操作，以及用戶上一次建立 VPN 連接的時長。

在某些對 VPN 通訊進行過濾的環(huán)境中，VPN連接本身也會遇到問題，并且如果需要用VPN 連接對內(nèi)部和互聯(lián)網(wǎng)通訊進行路由，互聯(lián)網(wǎng)性能也會變得很慢。最后，一旦用戶的互聯(lián)網(wǎng)連接中斷，還需要從頭開始重新建立連接。

而微軟最新的DirectAccess消除了遠程用戶的這些困擾。最新的DirectAccess與傳統(tǒng)的VPN 連接不同，DirectAccess 的連接甚至可以在用戶登錄之前建立完成，這樣用戶就完全不需要考慮連接到企業(yè)網(wǎng)絡(luò)的資源，或者等待完成健康程度檢查。最新的DirectAccess還可以將互聯(lián)網(wǎng)通訊與內(nèi)網(wǎng)通訊區(qū)分開，降低繞道企業(yè)網(wǎng)絡(luò)而造成的不必要的網(wǎng)絡(luò)通訊，因為與互聯(lián)網(wǎng)的通訊不需要先繞道企業(yè)網(wǎng)絡(luò)、再發(fā)送到互聯(lián)網(wǎng)，而傳統(tǒng)的 VPN 連接通常都是這樣做的，DirectAccess 則不會影響用戶訪問互聯(lián)網(wǎng)的速度。

最終，DirectAccess使得管理員可以遠程管理辦公室范圍之外的計算機，就算這些計算機沒有通過 VPN 建立連接也能進行管理。這也意味著遠程計算機通過組策略可以獲得充分的管理，這有助于在所有時間確保安全性。

在 Windows Server 2008 R2中，實施DirectAccess是一個相當(dāng)復(fù)雜的任務(wù)，需要執(zhí)行大量操作，包括一些命令行任務(wù)，并且需要分別在服務(wù)器和客戶端執(zhí)行。但在Windows Server 2012中，DirectAccess服務(wù)器和客戶端的部署與配置工作被大幅簡化。

此外，DirectAccess與傳統(tǒng)的VPN遠程訪問功能可以在同一臺服務(wù)器上共存，因此可以部署混合式遠程訪問解決方案，滿足業(yè)務(wù)的各種需求。并且遠程訪問角色可以在Server Core環(huán)境中安裝和配置。

新DirectAccess部署變得更容易

在各種遠程訪問技術(shù)中，Windows 7以及 Windows Server 2008 R2中的 DirectAccess是一個重大創(chuàng)新。它幾乎全部時間都是遠程工作的-也許是在客戶站點，或者是在家里，因此企業(yè)員工的筆記本電腦很少能從物理上連接到微軟的內(nèi)部網(wǎng)絡(luò)。

然而，企業(yè)員工經(jīng)常需要訪問內(nèi)部資源才能完成工作。現(xiàn)在，企業(yè)員工都可以通過微軟的VPN進行連接。他們所需要做的只是，在自己的環(huán)境中插入一個智能卡讀卡器，插入智能卡，然后輸入自己的PIN碼。很顯然，這算是一個多么簡單的操作體驗，符合企業(yè)的系統(tǒng)管理員最喜歡的“操作簡單，容易上手”。

那么，如果換作是新Directaccess又會是什么情呢?會不會更容易。如果有互聯(lián)網(wǎng)連接，那么大部分情況下就同時有了DirectAccess連接。

在Windows Server 2012中部署DirectAccess時，請注意有兩種不同形式的部署場景：快速安裝和高級配置。從較高角度來看，這兩種場景的區(qū)別請參見下表：

圖 DirectAccess部署場景的兩種場景

在Windows 7中對 DirectAccess 進行排錯的工作非常困難。但在Windows 8 中，客戶端的體驗就好很多了。新DirectAccess中連接的屬性通過網(wǎng)絡(luò)的用戶界面很容易就能看到，該界面可以告訴我們當(dāng)前DirectAccess的狀態(tài)，并且如果沒有連接，還會提供補救措施。

此外，在某些情況下如果有多個網(wǎng)絡(luò)接入點可供DirectAccess 使用，該界面還會顯示用戶當(dāng)前連接的站點，并且如果有必要，還可以連接到其他站點的接入點。

但如果所有接入點都連接失敗，屬性頁面還可以讓客戶端收集DirectAccess 日志(保存在一個可讀性非常高的 HTML 文件中)，并用電子郵件將其發(fā)送給技術(shù)支持人員，協(xié)助對問題進行排查。(除非用戶能把它關(guān)掉，并且禁止別人使用，否則這算不上一種"酷技術(shù)")

因此基本上，通過對支持人員的電子郵件地址進行配置，為用戶提供切換不同接入點的能力，以及臨時從DirectAccess 斷開的能力，都可以通過組策略對象(GPO)進行配置。

zhaohang