集成的远程访问服务器角色 - Windows Server 2012 技术白皮书

跨边界的连接

Windows Server 2012 是一个面向云计算的高度优化的操作系统。远程访问中 站点到站点VPN功能实现了企业之间和托管服务提供商之间的跨边界连接。跨边界连接使得组织能够连接到托管云网络中的专属子网。同时也实现了地域分散的企业之间的连接。

通过跨边界的连接功能，您可以通过现有的网络设备使用基于行业标准的 Internet 密钥交换版本2（IKEv2）和IPSec 协议来连接到托管服务提供者。

下图演示了两个组织如何使用 Windows Server 2012 来实现跨边界的部署：

以下是图中介绍的 Contoso 和 Woodgrove 使用跨边界的部署方式的详细步骤：

1. Contoso.com 和 Woodgrove.com 将它们组织的一些企业基础架构放置在了托管云当中。

2. 托管服务提供商为每个组织提供了专属的私有云。

3. 在托管的云当中，运行 Windows Server 2012 的虚拟机被配置成为远程访问服务器，运行着站点到站点VPN。

4. 每个托管的私有云当中，均部署了由两个或更多的远程访问服务器组成的群集，以提供持续的可用性和灾备。

5. Contoso.com 拥有两个分支办公室位置。在每个位置都部署一台 Windows Server 2012 远程访问服务器，以提供到托管的云和分支办公室之间的跨边界的连接解决方案。

6. Contoso.com 分支办公室计算机运行 Windows Server 2012 中的远程访问服务器角色，也同时被配置成为多站点部署中的 DirectAccess 服务器。DirectAccess 客户端可以从 Internet 上的任意地点访问 Contoso.com 公共云或 Contoso.com 分支办公室当中的任意资源。

7. 因为 Windows Server 2012 中的跨边界功能遵循 IKEv2 和 IPSec 标准，Woodgrove.com 可以使用现有的路由器来连接到托管云。

改进的管理体验

通过使用新的远程访问管理控制台，您可以通过单个的管理界面来配置、管理和监控多个DirectAccess 和 VPN 远程访问服务器。控制台提供了一个仪表盘，使您能够查看关于服务器和客户端的活动信息。您还可以通过创建报告，来获取额外的、更详细的信息。运营状态提供了关于特定的服务器组件的全面的监控信息。事件日志和跟踪帮助诊断具体的问题。通过使用客户端监控，您可以查看已连接用户和计算机的详细视图，甚至还可以监控客户正在访问哪些资源。账户数据可以被记录到本地数据库或远程身份验证拨号用户服务（RADIUS）服务器。

除了远程访问管理控制台，您还可以使用 Windows PowerShell 命令行接口工具和自动化的远程访问建立、配置、管理、监控和问题诊断脚本。

在客户端计算机上，用户可以访问网络连接助手（NCA）应用程序，该工具集成在 Windows 网络连接管理器中，通过该工具可以查看 DirectAccess 连接状态和用于访问企业帮助资源的链接、同时提供了诊断工具、问题诊断信息的简洁视图。如果配置了用以 DirectAccess 连接的一次性口令（OTP），用户还可以输入该口令进行身份验证。

易于部署

Windows Server 2012 提供的增强的安装和配置设计，使您能够在无需改变您的内部网络基础架构的情况下构建一个工作环境部署。在简化后的部署当中，您无需设置证书基础架构即可以配置DirectAccess。DirectAccess 客户端现在仅使用 Active Directory 证书即可进行身份验证；并且无需计算机进行验证。此外，您还可以选择为IP-HTTPS 和网络地址身份验证使用由DirectAccess 自动创建的自签名的证书。

为进一步简化部署，Windows Server 2012 DirectAccess 支持访问仅运行 IPv4 的内部服务器。DirectAccess 部署无需 IPv6 基础架构。

新的、改进的部署场景

Windows Server 2012 中的远程访问服务器角色包含了额外的功能改进，包括针对一系列场景的集中式部署。这些包括强制连接隧道（以 DirectAccess 连接的方式发送所有的传输数据）、网络访问保护（NAP）的合规性情况、支持分布在不同地域中的 DirectAccess 客户端来定位最近的远程访问服务器、以及部署只用作远程管理的DirectAccess。

通过 Windows Server 2012，您现在可以通过使用两个网络适配器，以在网络边界中或在网络边界设备之后的方式进行部署；或以运行在防火墙或 NAT 设备之后的方式使用一个网络适配器的配置DirectAccess 服务器。对单一网络适配器的支持，避免了 DirectAccess 部署过程中必须指定公用IPv4 地址的要求，通过该配置，客户端将使用 IP-HTTPS 连接到 DirectAccess 服务器。

在 Windows Server 2012 中，您可以在多站点部署方式下配置远程访问服务器，使得用户能够根据地理位置来连接到多站点当中距离他们最近的连接点。您可以通过使用外部的全局负载均衡器，来分配和平衡多站点之间的动态负载。为了支持容错、冗余、和扩展性，DirectAccess 服务器现在可以部署在群集配置环境当中，使用 Windows 负载均衡器或外部的硬件负载均衡器来进行动态负载的均衡。

Windows Server 2012 中的 DirectAccess 增加了对使用一次性口令（OTP）的双重因素身份验证的支持。

对于双重因素智能卡身份验证，Windows Server 2012 支持使用基于可信平台模块（TPM）实现的虚拟智能卡功能，该功能在 Windows 8 被支持。客户端计算机中的TPM可以扮演双重因素智能卡身份验证的虚拟智能卡角色，从而降低了在智能卡部署当中的开支和成本。

Windows Server 2012 引入了支持计算机加入 Active Directory 域，并通过 Internet 远程接收域设置的功能。通过使用这一功能，您将会发现在远程办公室当中部署新的计算机，向DirectAccess 客户端提供客户端设置变得更加容易。

您可以配置运行 Windows 8、Windows 7 和 Windows Server 2008 R2 的客户端计算机作为DirectAccess 客户端。运行 Windows 8 的客户端可以访问所有 DirectAccess 功能，而且在从位于需要身份验证的代理服务器之后发起连接到应用场景中，这些客户端拥有比其他客户端改进的用户体验。非 Windows 8 客户端存在以下局限性：

必须下载并安装 DirectAccess 连接助手工具。

要提供一个计算机证书来进行身份验证。

在多站点的部署当中，必须被配置成为一直使用相同的连接点进行连接。

扩展能力的改进

远程访问提供了一系列扩展能力的改进，包括支持为更多的用户以更低的成本提供更好的性能：

您可以群集多个远程访问服务器以进行负载平衡、持续的可用性、以及故障转移。群集负载可以通过使用Windows 网络负载均衡（NLB）或第三方的负载均衡器来进行负载均衡。服务器无需中断现有的连接即可实现添加到群集或从群集当中删除。

远程访问服务器角色引入了单根 I/O 虚拟化（SR-IOV）的优势，借此可改进在虚拟机上运行时的 I/O 性能。此外，远程访问还通过支持 IPSec 硬件卸载功能，提高了服务器主机整体的可扩展性，这一功能被广泛应用在很多服务器的接口卡上，实现了硬件层面的数据包加密和解密。

使用 IPSec 提供的加密功能实现 IP-HTTPS 的优化改进。这种优化，消除了对安全套接字（SSL）加密环境的需求，提高了可扩展性和性能。