3.制定DirectAccess部署策略时需要考虑的关键问题

制定DirectAccess部署策略时需要考虑的关键问题1.有哪些Intranet资源可供DirectAccess客户端使用？DirectAccess客户端的可用资源在设计DirectAccess部署时，您必须确定DirectAccess客户端如何访问所有需要的Intranet资源。Intranet上的IPv6资源DirectAccess依赖Internet协议版本6(IPv6)提供DirectAccess客户端与Intranet终结点之间的端对端连接。DirectAccess客户端仅通过与DirectAccess服务器之间的连接发送IPv6通信。因此，DirectAccess客户端只能使用支持IPv6的应用程序进行通信，并连接到可通过IPv6访问的Intranet资源。DirectAccess客户端上仅支持Internet协议版本4(IPv4)的应用程序无法用于访问具备DirectAccess的Intranet应用程序服务器。建议您的Intranet配置有可连接到Intranet资源的IPv6连接。它要求满足如下条件：支持IPv6通信转发的Intranet基础结构。计算机上的应用程序支持IPv6，并且其操作系统支持IPv6协议堆栈。支持IPv6通信转发的Intranet基础结构可通过以下方式来实现：将Intranet基础结构配置为支持本机IPv6寻址和路由。运行WindowsVista、WindowsServer2008、Windows7或WindowsServer2008R2的计算机默认使用IPv6。尽管目前很少有组织具有本机IPv6基础结构，但这是首选的推荐连接方法。为了使DirectAccess客户端获得最无缝的Intranet连接，应在组织中部署本机IPv6基础结构，通常可与现有的IPv4基础结构一起部署。在Intranet上部署站内自动隧道寻址协议(ISATAP)。如果没有本机IPv6基础结构，您可以使用ISATAP，使Intranet服务器和应用程序可通过在仅支持IPv4的Intranet上以隧道方式传送IPv6通信来进行访问。部署ISATAP包含设置一或多个ISATAP路由器，它们为Intranet上的ISATAP主机提供地址配置和默认路由。运行Windows7或WindowsServer2008R2的计算机支持ISATAP主机功能，并可配置为用作ISATAP路由器。如果您要规划并实现本机IPv6连接，则应将ISATAP部署为临时的IPv6连接方法。如果您的Intranet上没有本机IPv6基础结构或ISATAP，DirectAccess安装向导会自动将DirectAccess服务器配置为Intranet的ISATAP路由器。利用DirectAccess安装向导的这一功能，可以轻松地将基于ISATAP的IPv6连接部署到Intranet上，但不建议长期使用ISATAP作为企业级IPv6连接解决方案。您应该计划在一段时间后用本机IPv6替换基于ISATAP的IPv6连接。可由DirectAccess客户端进行端到端访问的应用程序必须支持IPv6，并在支持IPv6协议堆栈且带有本机IPv6或ISATAP主机功能的操作系统上运行。对于在Windows版本上运行的应用程序：Windows7、WindowsServer2008R2、WindowsVista和WindowsServer2008支持IPv6协议堆栈，并且所有内置组件和系统服务都支持IPv6。强烈建议使用这些版本的Windows。WindowsXP和WindowsServer2003具有IPv6协议堆栈，但许多内置组件、系统服务和应用程序都不支持IPv6。因此，在大多数情况下，DirectAccess客户端无法通过IPv6访问在运行WindowsXP或WindowsServer2003的计算机上运行的应用程序。有关为在基于WindowsXP和WindowsServer2003的计算机上运行的应用程序提供DirectAccess连接的解决方案，请参见为仅限IPv4的Intranet资源选择解决方案。对于在非Windows操作系统上运行的应用程序，请验证操作系统和应用程序是否都支持IPv6并可通过本机IPv6或ISATAP访问。Intranet上仅限IPv4的资源由于DirectAccess客户端仅将IPv6通信发送到DirectAccess服务器，因此DirectAccess客户端上的用户无法使用仅支持IPv4的客户端应用程序来访问Intranet上仅限IPv4的资源。例如，仅限IPv4的资源如下所示：在Windows2000或以前的Windows版本上运行的应用程序。在WindowsXP和WindowsServer2003上运行的不支持IPv6的内置应用程序和系统服务。对于非Windows内置应用程序，请与软件供应商核查，确认该应用程序是否支持IPv6。OfficeCommunicationsServer(OCS)等仅使用IPv4的应用程序默认状态下无法由DirectAccess客户端访问。然而，支持IPv6的应用程序可通过使用IPv6/IPv4转换设备或服务（如NAT64/DNS64）来访问Intranet上仅支持IPv4的资源。有关将DirectAccess客户端连接至仅限IPv4的资源的解决方案，请参见为仅限IPv4的Intranet资源选择解决方案。使用仅支持IPv4的Intranet可以将DirectAccess用于仅支持IPv4的Intranet，但必须在DirectAccess客户端和Intranet之间使用NAT64/DNS64设备，并且您将无法再从Intranet远程管理DirectAccess客户端。有关将DirectAccess客户端连接至仅支持IPv4的Intranet的信息，请参见为仅限IPv4的Intranet资源选择解决方案。如果DirectAccess客户端实际连接至仅支持IPv4的Intranet或者Intranet中仅支持IPv4的子网，则在某些情况下，客户端可以使用基于安全超文本传输协议(IP-HTTPS)的Internet协议，通过代理服务器和DirectAccess服务器访问Intranet，而不是使用普通的基于IPv4的连接。这样可能会导致一些应用程序出现问题。为了防止出现这种情况，应配置Windows防火墙规则，阻止代理服务器和DirectAccess服务器之间的流量。有关详细信息，请参见ConfigureFirewallRulestoPreventTrafficbetweenProxyServersandDirectAccessServers。限制与选定资源的连接通过选定的服务器访问模型，您可以限制DirectAccess客户端仅访问由ActiveDirectory安全组的成员资格标识的一组特定服务器。下图显示使用选定服务器访问将Intranet访问限制到特定应用程序服务器的示例。有关详细信息，请参见选定服务器访问示例。IPv6Internet上的IPv6资源默认情况下，基于Windows7和WindowsServer2008R2的计算机会尝试解析名称6to4.ipv6.microsoft.com来确定6to4中继的IPv4地址，解析teredo.ipv6.microsoft.com来确定IPv4Internet上Teredo服务器的IPv4地址。通过6to4.ipv6.microsoft.com上的6to4中继和teredo.ipv6.microsoft.com上的Teredo服务器，IPv4Internet上基于Windows7的客户端可以访问IPv6Internet。基于Windows7和WindowsServer2008R2的计算机配置为DirectAccess客户端时，DirectAccess服务器就变为6to4中继和Teredo服务器，以便DirectAccess客户端能将发往Intranet的IPv6通信以隧道方式传送至DirectAccess服务器。如果DirectAccess服务器没有同时将默认路由通信转发到IPv6Internet，DirectAccess客户端就不能访问IPv6Internet。如果您希望DirectAccess客户端可以访问IPv6Internet，请使用下列项之一配置DirectAccess服务器：与IPv6Internet之间建立直接的本机连接将DirectAccess服务器配置为使用其本机连接将默认路由通信转发到IPv6Internet。也可以将单独的路由器用于连接IPv6Internet，并将DirectAccess服务器配置为将其默认路由通信转发到该路由器。与IPv6Internet之间建立6to4隧道连接将DirectAccess服务器配置为使用Microsoft6to4Adapter接口将默认路由通信转发到IPv4Internet上的6to4中继。您可以使用netshinterfaceipv66to4setrelayname=192.88.99.1state=enabled命令配置DirectAccess服务器，从而可以使用IPv4Internet上Microsoft6to4中继的IPv4地址。请使用192.88.99.1这个Internet上6to4中继的IPv4任意广播地址，除非您的Internet服务提供商建议您采用他们维护的6to4中继的特定IPv4单播地址。2.如何在我的Intranet上启用Internet协议版本6(IPv6)或让DirectAccess使用我现有的IPv6基础结构？选择IntranetIPv6连接设计以下是在部署DirectAccess前IntranetInternet协议版本6(IPv6)连接的组合：没有现有的IPv6基础结构您有基于站内自动隧道寻址协议(ISATAP)的IPv6基础结构您有现有的本机IPv6基础结构在上述每个组合中，您都将需要确保IPv6路由基础结构能够在DirectAccess客户端和Intranet资源之间转发数据包。没有现有的IPv6基础结构没有现有的IPv6基础结构目前是最常见的情况。在DirectAccess安装向导检测到DirectAccess服务器没有本机或基于ISATAP的IPv6连接时，它会自动为Intranet派生基于6to4的48位前缀，将DirectAccess服务器配置为ISATAP路由器，并使用其域名系统(DNS)服务器注册名称ISATAP。利用DirectAccess安装向导的这一功能，可以轻松地将基于ISATAP的IPv6连接部署到Intranet上，但不建议长期使用ISATAP作为企业级IPv6连接解决方案。您应该计划在一段时间后用本机IPv6替换基于ISATAP的IPv6连接。备注默认情况下，运行WindowsServer2008R2或WindowsServer2008的DNS服务器使用全局查询阻止列表阻止名称ISATAP的解析。若要启用ISATAP，必须从阻止列表中删除名称ISATAP。有关更多信息，请参见DirectAccess部署指南中的从DNS全局查询阻止列表中删除ISATAP。可以解析名称ISATAP的基于Windows的ISATAP主机使用DirectAccess服务器执行地址自动配置，从而产生以下各项的自动配置：ISATAP隧道接口上基于ISATAP的IPv6地址。提供到Intranet上的其他ISATAP主机的连接的64位路由。指向DirectAccess服务器的默认IPv6路由。默认IPv6路由可确保IntranetISATAP主机能够访问DirectAccess客户端。备注DirectAccess测试实验室(=150613)对模拟Intranet使用ISATAP。现有的ISATAP基础结构如果您有现有的ISATAP基础结构，则D