雖然普通大眾現在終于有機會一睹 Windows Server 2008 R2 和 Windows 7 的芳容，但有一些幸運兒自 5 月份起就在使用候選發布版 (RC) 代碼，8 月份已經在使用批量生產 (RTM) 版本。不管您身處哪個群體，都可能已被鋪天蓋地的宣傳所淹沒。例如，您可能受邀參加一個 Windows 7 預覽招待會，就像我一樣（我的女婿舉辦了一個招待會，但只是因為他想要從 Microsoft 免費獲得這份軟件）。即使您幸免于這種大肆宣傳的干擾，您也可能無法避開眾多媒體的報道，報道中對這兩種產品的新功能毀譽參半，而這兩種產品均源于新的代碼樹并構成了新的操作系統。

BranchCache 和 DirectAccess 無疑是這些版本中最耀眼的功能，非常值得您的關注。Microsoft 寄望 BranchCache 向分支機構員工提供與公司總部同事一樣的文件處理體驗。而通過 DirectAccess，Microsoft 將目標指向通過虛擬專用網絡 (VPN) 連接到公司網絡的遠程用戶。

一如既往，對于 Microsoft 的新產品，您可以只選擇您需要的功能。這一次，您可以只實現 BranchCache 和 Windows 7 客戶端及 2008 R2 服務器。下面我們對每項新功能逐一進行深入探討。

BranchCache

BranchCache 將通過在 Windows Server 2008 R2 服務器或用戶工作站上本地緩存常用文件來改善分支機構的體驗，而不是強制用戶通過位于集中位置的網絡共享來訪問文件。BranchCache 非常棒，但也有一些需要注意的問題。

IT 部門可以在分布式緩存模式或托管式緩存模式下部署 BranchCache（請參見圖 1）。IT 部門可通過組策略配置模式，這樣，若要在一個分支機構使用托管模式而在另一個分支機構使用分布式模式，則需實現兩個策略并相應規劃組織單位 (OU) 結構。Microsoft 建議在不超過 50 個客戶端的站點中部署分布式緩存模式，但這要取決于 WAN 鏈接的速度和帶寬以及其他因素。分布式緩存模式需要更大的硬盤并可能需要更多內存和其他資源，因此有時使用托管式緩存模式更為有利，尤其是在站點中已有一臺 2008 R2 服務器的情況下。另外，分布式緩存模式只適用于本地子網。因此，如果某站點中有多個子網，則每個子網上的客戶端都必須緩存文件，這樣該子網上的其他客戶端才能下載該文件。但是，托管式緩存模式可以服務于站點上的多個子網，這成為選擇托管式緩存模式的另一個理由。

圖 1 分支機構可以在分布式模式或托管式模式下使用 BranchCache。

在分布式緩存模式下，分支機構中不存在文件服務器。實際上，通過設置策略，所有用戶計算機都可以成為 BranchCache 客戶端，也就是說，它們能夠緩存分支站點中其他客戶端可以下載的文檔（如果這些文檔是最新版本）。

例如，假設 Caroline 從中心站點一臺啟用了 BranchCache 的文件服務器請求文檔 Reports.docx。BranchCache 發送描述該文件內容的元數據。然后，將使用元數據中的哈希值在本地子網中搜索內容。如果未找到搜索內容，則在該用戶計算機的本地驅動器上緩存一個副本。在當日晚些時候，Tyler 需要修改 Reports.docx，因此他訪問總部文件服務器上的共享位置以便獲取一個副本進行編輯。該文件服務器返回元數據，該客戶端隨后搜索內容，它在 Caroline 的計算上找到搜索的內容并從該計算機進行下載。通過使用從元數據中的哈希值派生的加密密鑰，這一過程可安全進行。第二天，Abigail 需要修改同一文檔。過程是相同的，但她打開的將是緩存在 Tyler 的計算機上的副本。同樣，版本信息仍然保留在服務器上。客戶端訪問服務器以確定在客戶端的站點上是否存在最新版本的副本。

用戶在處理各種文檔時將應用三種 BranchCache 方案，這只是其中一種。另外兩種方案如下：

• 一個分支機構工作人員向總部文件服務器請求一個沒有在本地計算上緩存的文檔。該用戶收到一個副本，該副本隨后緩存于本地。
• 一個分支機構工作人員向文件服務器請求一個在本地站點進行緩存的文檔，但緩存該文檔的計算機已關機。該客戶端從文件服務器獲得一個新副本，然后將該副本緩存在自己的計算機上。后續請求將轉向最近緩存的這個副本。

在每一種情況下，文檔都同時保存到總部文件服務器上。這樣，如果 Caroline 回來訪問該文檔而現在擁有最新版本的 Abigail 的計算機已關機，則她將從總部服務器接收該文檔。

在托管式緩存模式下，IT 部門可為分支機構中的 Windows 2008 R2 文件服務器配置 BranchCache，方法是安裝 BranchCache 功能并配置一個組策略以通知客戶端使用托管式緩存模式。針對分布式緩存模式描述的過程在這里同樣適用，只不過文件緩存在本地配置的 BranchCache 服務器上，而不是用戶計算機上。

注意：當從一臺啟用 BranchCache 的服務器請求文件時，由總部站點文件服務器維護的內容元數據將發送到每個客戶端。這是為了確定是否有任何本地客戶端或服務器（具體取決于使用哪種緩存模式）擁有最新副本。

分支站點上啟用了 BranchCache 的服務器可用于其他目的，例如，可用作 Web 或 Windows Server Update Services (WSUS) 服務器。在這些情況下有一些特別的注意事項，相關內容請參見 Microsoft BranchCache 部署指南和 Microsoft BranchCache 前期應用指南。

BranchCache 配置

若要配置 BranchCache，您需要了解組策略對象 (GPO) 的工作方式，并了解如何在 OU 結構中對組策略對象進行配置以影響每個站點中的計算機。請記住，BranchCache 方案中涉及的所有服務器都必須為 Windows Server 2008 R2，所有客戶端都為 Windows 7 客戶端。過程如下：

步驟 1：通過服務器管理器安裝 BranchCache 功能。

步驟 2：如果您正在文件服務器上使用 BranchCache，則需要針對遠程文件安裝文件服務角色以及 BranchCache（請參見圖 2）。

圖 2 BranchCache 安裝需要針對遠程文件角色啟用文件服務和 BranchCache。

步驟 3：配置 BranchCache GPO。轉到“計算機配置”|“策略”|“管理模板”|“網絡”|“BranchCache”。您將看到 5 個可能的設置：

• 啟用 BranchCache。必須針對所有分支緩存啟用這個選項（請參見圖 3）。請注意，如果啟用 BranchCache 而不啟用“分布式”或“托管式”緩存模式策略設置，則會使本地 Windows 7 客戶端在本地緩存文件。這在多個用戶使用同一臺計算機的情況下十分有用。

   

  

圖 3 在組策略管理控制臺中針對分支機構緩存啟用 BranchCache。

• 設置 BranchCache 分布式緩存模式。這適用于 GPO 中的所有客戶端。
• 設置 BranchCache 托管式緩存模式。指定用于承載緩存的服務器。這些角色是相互排斥的。只能為站點配置一個角色。
• 針對網絡文件配置 BranchCache。如果未配置也未禁用，則會定義 80 毫秒的延遲閾值。如果文件請求時間超過 80 毫秒，則該文件將進入緩存。啟用此設置，然后根據需要更改延遲值。
• 設置用于客戶端計算機緩存的磁盤空間百分比。默認情況下，將設置為用戶磁盤空間的 5%。您需要調試這個設置，從而按合理的比例分配緩存空間和用戶所需空間。如果您擁有大小差異很大的磁盤配置，這可能會成為一個問題，因為某些配置的緩存容量會高于另一些配置的緩存容量。

步驟 4：在 BranchCache 策略中配置 GPO 設置“LanMan 服務器”。在步驟 3 中的同一 GPO 區域，轉到“LanMan 服務器”設置，然后查看“分支緩存的哈希發布”屬性。有以下三個選項：

• 禁止對所有共享文件夾進行哈希發布。
• 允許對所有共享文件夾進行哈希發布。
• 僅允許對啟用分支緩存的共享文件夾進行哈希發布。

在 2008 R2 服務器上運行“文件服務”服務器角色的服務器（應為 BranchCache 內容服務器）必須還要針對“網絡文件服務”角色運行 BranchCache，并且必須啟用哈希發布。還將單獨對文件共享啟用 BranchCache。可對服務器單獨啟用哈希發布（例如，針對非域服務器配置），或通過組策略對服務器組啟用哈希發布。這樣，就可以對所有共享文件夾啟用、對部分共享文件夾啟用或者完全禁用 BranchCache。

步驟 5：在 Windows 防火墻中配置 GPO 設置以允許使用入站 TCP 端口 80（適用于客戶端計算機）。

步驟 6：完成每項配置之后，如果用戶的文件存在文件共享，則轉到“服務器管理器”|“文件服務”|“共享和存儲管理”。文件共享列在中間窗格中。右鍵單擊共享并選擇“屬性”，然后單擊“高級”。在“緩存”選項卡上，啟用 BranchCache（請參見圖 4）。注意：如果沒有 BranchCache 選項，則說明沒有正確安裝 BranchCache 功能，或者已將該策略設置為禁用，如前所述。

圖 4 使用“共享和存儲管理”控件對 BranchCache 啟用文件共享。

BranchCache 客戶端配置

默認情況下，所有 Windows 7 客戶端都啟用 BranchCache，這意味著在客戶端上不必執行啟用操作。不過，仍需執行一些與客戶端相關的步驟：

• 配置防火墻設置。除了前面所做的一些說明，托管式緩存模式還有另外一些要求。請參閱本文末尾列出的有關 BranchCache 的 Microsoft 文檔。
• 客戶端所在 OU 中須包含一項策略，該策略啟用 BranchCache 并定義要使用的緩存模式。有關詳細信息，同樣請參閱本文末尾列出的文檔。

BranchCache：優點

下面是我所喜歡的 BranchCache 的一些方面：

• 如果用戶已登錄，那么即使應用程序退出，該功能也可以使用后臺智能傳輸系統 (BITS) 在后臺啟用文件傳輸。這對于通過慢速鏈接相連的分支機構而言是一個非常好的功能。如果系統需要重新啟動，則文件傳輸會在系統啟動完成后繼續進行。當然，為了使用這一功能，編寫的應用程序必須能夠利用 BITS。
• BranchCache 可通過 Netsh 命令行實用工具進行配置，并且在 TechNet 站點“適用于 Windows Server R2 的 BranchCache”上有完整的文檔記錄。
• 您可以通過用于客戶端、文件服務器和緩存主機的計數器來監視 BranchCache 性能。這些不僅對于性能診斷有幫助，而且據我所知，觀察這些計數器也是查看客戶端是否真正獲得緩存副本的唯一方法。
• BranchCache 環境可通過組策略進行控制。

BranchCache：缺點

BranchCache 肯定會有它的一席之地，但要留意它的以下缺點：

• 由于分布式緩存模式實質上將每個工作站都轉變為文件服務器，因此，承載大量經常訪問的文件的客戶端計算機在性能方面可能會受到影響。實際影響程度有多大需要進行一些測試。
• 在某些情況下，客戶端可能需要額外磁盤空間以獲取足夠的緩存大小。
• 此時，緩存客戶端將與其他客戶端爭用網絡資源。
• 在初始緩存過程中或在緩存中沒有可用的文件時，可能會出現意外的延遲。只有 Windows 7 客戶端和 Windows Server 2008 R2 服務器可以參與使用此功能，因此，此功能的全面普及可能需要一段時間。

如果您可以確定在分支機構中布置文件服務器的合理性，何不使用分布式文件共享 (DFS)？您可以使用分布式文件系統復制 (DFS-R) 功能來復制文件并使用 DFS 來維護一個命名空間，而不會經歷在四處緩存文件的混亂情況。您可能會發現對網絡文件進行緩存的優點，而且 BranchCache 或許適用于 DFS 共享。或者，您或許會發現緩存效率高于 DFS-R 效率的某種性能邊界。另一方面，BranchCache 對服務器的影響將小于完備 DFS 配置的影響。關鍵是您必須弄清自己的需要，并研究 BranchCache 所提供的選項。當然，每個環境都是不同的，在一些分支機構中出現的問題不一定在其他分支機構中也出現。不存在適用于所有情況的唯一答案。

DirectAccess

通過 DirectAccess，Microsoft 解決了用戶自 Windows 2000 以來一直存在的不佳 VPN 體驗問題（雖然 VPN 技術自初始實施以來有了很多改進，但仍未提供良好的使用體驗）。客戶端在配置 DirectAccess 之后可以從遠程位置訪問 Intranet 站點，而不必手動建立 VPN 鏈接。另外，對 IT 人員的好消息是，他們可以通過 Internet 連接（而不必通過 VPN）來管理遠程計算機。即使沒有 DirectAccess，遠程用戶也可以利用新的自動重新連接 VPN 功能。因此，如果我正在家里工作并已連接到我們公司的 Intranet，而 Internet 鏈接斷開，那么 VPN 將在 Internet 鏈接恢復時重新建立連接，而不必麻煩我重新連接并重新輸入憑據，但在以前沒有 DirectAccess 的時候我經常需要這樣做。

實際上，DirectAccess 對于用戶是透明的。當一個已啟用的客戶端上的用戶單擊 Intranet 鏈接時，DirectAccess 會負責處理連接的建立和斷開。用戶不必打開連接管理器、輸入其憑據、等待連接等。

在遠程連接處于活動狀態時，默認情況下用戶有一個“拆分隧道”配置（請參見圖 5）。通過該配置，可以同時訪問 Intranet、本地網絡（用于使用打印機等設備）和 Internet。在一個沒有拆分隧道的典型 VPN 方案中，連接到 Internet 意味著首先跳轉到 Intranet 上，然后再通過公司網絡網關進行連接。另外，我無法訪問我的本地網絡，雖然有一些變通的解決方法。因此，與傳統 VPN 相比，這是 DirectAccess 設計可為遠程用戶提供更多“辦公室”體驗的又一方面。

圖 5 DirectAccess 實現了一個拆分隧道配置以同時連接到公司網絡和 Internet。

從 IT 人員的角度來看，一旦計算機連接在 Internet 上（請記住，DirectAccess 一旦安裝則始終啟用），就可以十分方便地應用補丁程序、策略和其他更新，并通過 IPsec 連接保證安全。

DirectAccess 要求

在基本 DirectAccess 配置中，DirectAccess 服務器位于邊界網絡上，向遠程用戶提供到內部資源的連接，這些內部資源包括應用程序服務器、證書頒發機構 (CA)、DNS 和域控制器 (DC)。CA 和應用程序服務器必須配置為接受 IPv6 通信。下面是 DirectAccess 配置的基本組件：

• 在 Active Directory 域中，DirectAccess 客戶端只能訪問 Windows 2008 或 2008 R2 DC。
• 組策略定義必須強制執行 DirectAccess 設置，以便能夠：
  • 確定 DirectAccess 客戶端。
  • 配置名稱解析策略表 (NRPT)。
  • 從 DNS 全局限制列表刪除站內自動隧道尋址協議 (ISATAP)。

• DirectAccess 服務器必須：
  • 是 Active Directory 域的成員。
  • 在 Windows Server 2008 R2 上運行。
  • 配置兩個網絡適配器（一個用于 Intranet 連接，另一個用于 Internet 連接）。
  • 具有兩個可在外部解析的連續靜態 IPv4 地址。

• 安裝有 DirectAccess 管理功能（通過服務器管理器），運行安裝向導以進行配置。

• IIS/Web 服務器實現了用于確定是否可以訪問 Intranet 資源的功能。應用程序服務器必須配置為允許通過啟用 DirectAccess 的客戶端進行訪問。
• 為了與所需 CA 一起使用，請安裝 Active Directory 證書服務并頒發證書以進行身份驗證。
• 必須在整個 Intranet 范圍提供本機 IPv6 網絡或轉換技術。
• 通過用于安全身份驗證的 IPsec 策略和 DirectAccess 連接加密，客戶端可在用戶登錄之前對用戶進行身份驗證。
• 您可在 Microsoft DirectAccess 前期應用指南中找到必要的防火墻例外。

如您所見，DirectAccess 的實施并非坦途。僅 IPv6 一項要求就必然會引發憂慮，它要求大多數組織都實現轉換技術，但 2008 R2 已有相應組件。另外，您必須通過公鑰基礎結構 (PKI) 實現安全性，提供身份驗證服務，并向應用程序服務器設置 IPv6 標識。在運行 DirectAccess 安裝向導之前，您還需要配置安全組，建立防火墻策略，設置 DNS 并滿足其他一些先決條件。

DirectAccess 服務器

DirectAccess 服務器將執行通過服務器管理器的 DirectAccess 安裝向導定義的多種功能（請參見圖 6）。

圖 6 通過服務器管理器啟動 DirectAccess 安裝。

DirectAccess 向導執行 4 項基本任務。通過該向導，您可以：

1. 確定需要啟用 DirectAccess 的客戶端。您可以在這里列出其他域或林中的安全組（如果已配置信任）。您必須在運行該向導之前定義相應的安全組。
2. 針對 DirectAccess 服務器定義連接性和安全性（證書）。您將確定哪個網絡接口位于 Internet 一端，以及哪個接口連接到 Intranet。在運行 DirectAccess 安裝向導之前，先安裝 CA 并創建證書。另外，還要定義智能卡策略。
3. 確定在 DirectAccess 環境中使用的 DNS、DC 以及（可選）管理服務器和其他基礎結構服務器。您還必須確定一個高可用性服務器作為網絡位置服務器。DirectAccess 服務器可充當這一角色。
4. 確定配置為從 DirectAccess 客戶端接受連接的應用程序服務器。默認設置為沒有額外的端到端授權，但您可以選擇基于 IPsec 策略的安全選項。

DNS 和 NRTP

如前所述，DirectAccess 客戶端可直接訪問 Intranet。為了實現這一點，您必須實現 NRPT，它將按 DNS 命名空間而不是按網絡接口來定義 DNS 服務器。我將這種設置視為在 Windows 2003 和 2008 DNS 服務器上進行條件轉發的方式，您可在這些服務器上使用相應 IP 地址來定義 DNS 命令空間以連接到服務器。利用 NRPT，客戶端可以避免往常的 DNS 迭代，可以直接訪問 DirectAccess 服務器。

NRPT 的工作方式如下（請參見圖 7）：

1. 一個名稱查詢請求與公司 Intranet 的一個已配置命名空間匹配，該請求指向 DirectAccess 服務器。
2. NRPT 包含 IP 地址和該 DirectAccess 服務器的完全限定域名 (FQDN)。當使用該 IP 地址時，將對 DNS 服務器的連接進行加密以獲得安全連接。
3. 當使用 FQDN 時，它必須通過 Internet 進行解析，并查找公司 DNS 服務器。
4. 如果客戶端針對 NRPT 中沒有定義的命名空間（如 www.microsoft.com）發送一個名稱解析請求，則該請求遵循通過 Internet 進行的正常名稱解析過程。
    

圖 7 NRPT 支持按 DNS 命名空間而不是按接口來定義 DNS 服務器。

NRPT 是在 DirectAccess 安裝過程中在“基礎結構服務器安裝”頁上配置的，安裝向導將填寫 DNS 服務器的 IPv6 地址。名稱解析策略（2008 R2 的一個新增組策略設置）定義了特定策略設置（如 IPsec）、DNS 服務器以及當命名空間不在所查詢的網絡中時發生名稱解析回退的方式。您將在“計算機配置”|“Windows 設置”|“名稱解析策略”中找到該策略（請注意，必須輸入帶有前導點“.”的域命名空間，例如 .emea.corp.net）。

可以使用 Netsh 命令公開 NRPT 內容：Netsh name show policy。

此命令將顯示所定義的命名空間。

防火墻例外

防火墻例外將取決于您如何實現 IPv6 網絡以及是否使用轉換技術。另外，遠程客戶端必須連接到的任何文件或應用程序服務器都需要相應配置 Windows 防火墻。下面的圖 8 和圖 9 分別顯示了 DirectAccess 服務器 Internet 一端和 Intranet 一端的防火墻例外。顯然，您只需針對正在使用的技術來設置例外。（請注意，雖然圖 9 列出了 IPv4+NAT-PT，但 Windows 2008 R2 不實現此設置。）

連接 - IPv6

由于 IPv6 允許 DirectAccess 客戶端保持與公司網絡上資源的連續連接，因此，這些客戶端必須都運行該協議。即使擁有完全實現的 IPv6 網絡，允許遠程連接可能也需要使用一種轉換技術，該轉換技術將允許 DirectAccess 客戶端通過在 IPv4 數據包內封裝 IPv6 來連接到 IPv4 資源。這些技術包括 6to4、IP-HTTPS 和 Teredo。 ISATAP 也是一種封裝技術，但僅在內部使用。我在這里不進行詳細介紹，但圖 10 顯示了基本的連接選項。

圖 10 DirectAccess 客戶端的首選連接選項

信息來源：Microsoft

在 Intranet 一端，如果沒有本機 IPv6，則 DirectAccess 允許使用 ISATAP，ISATAP 將從 IPv4 地址生成一個 IPv6 地址，并實現其自身的鄰居發現。ISATAP 使用已啟用 DirectAccess 的客戶端來訪問 IPv4 網絡上的資源。例如，當 ISATAP 客戶端啟動時，它必須找到一個 ISATAP 路由器。它將通過針對 ISATAP.<域名> 發出 DNS 查詢進行查找。因此，對于 Corp.net，它將查找 ISATAP.corp.net。Windows 2008 DNS 實現了 GlobalQueryBlockList，這是一項默認情況下包含 ISATAP 的附加安全功能。該功能將使其忽略任何 ISATAP.<域名> 請求。因此，您必須將 ISATAP 從列表中清除。為此，可以使用 DNSCMD 命令或創建一個注冊表項。

在命令提示符下，輸入 dnscmd /config /globalqueryblocklist wpad，然后按 Enter。這會將 GlobalQueryBlockList 定義為僅包含 WPAD（從而刪除 ISATAP）。您還可通過訪問位于以下位置的注冊表項來完成此工作：

HKLM:\System\Current Control Set\Services\DNS\Parameters。編輯 GlobalQueryBlockList 并刪除 ISATAP。

您還可以單獨在各個主機上或在整個網絡上實現 6to4，并通過 IPv4 網絡傳輸 IPv6 數據包。有趣的是，如果 6to4 是針對整個網絡實現的，則它僅需要一個 IPv4 地址。它不支持 IPv4 主機和純 IPv6 主機之間的通信。

Teredo 也提供要路由到 IPv4 網絡的 IPv6 數據包，但僅在客戶端位于沒有針對 IPv6 進行配置的網絡地址轉換 (NAT) 服務器后面時才使用這些數據包。它在允許從 NAT 進行轉發的 IPv4 數據報中存儲 IPv6 數據包。

Windows 7 和 Server 2008 R2 實現了一個稱為 IP-HTTPS 的協議，該協議在 IPv4 HTTPS 中通過隧道傳送 IPv6 數據包。雖然與其他協議相比 IP-HTTPS 的性能較差，但您可以添加更多 IP-HTTPS 服務器以在一定程度上提高性能。IP-HTTPS 是一個比較容易實現的協議，可以進行 IPv6-over-IPv4 網絡連接。

在設計 DirectAccess 客戶端配置時，您可以使用 DNS 和 NRPT 將 Internet 通信和 Intranet 通信分開，或者可以使用稱為“強制隧道”的功能并強制通過隧道進行全部通信。需要 IP-HTTPS 的強制隧道功能可通過組策略設置“計算機配置”\“策略”\“管理模板”\“網絡”\“網絡連接”\“通過內部網絡路由所有流量”來啟用。需要將此策略應用于 DirectAccess 客戶端。如前所述，DirectAccess 客戶端可在連接到 Intranet 之后訪問本地資源。對于 IP-HTTPS 客戶端也是如此，但假如用戶嘗試訪問 Internet 站點，則將通過 Intranet 對其進行路由。

當然，IPv6 要求和復雜配置是 DirectAccess 的弊端，但用戶體驗的改善以及 IT 人員遠程管理客戶端的便利要遠遠超過這些弊端。

大有前途

遠程工作者的數量正在日益增加，他們可能在分支機構、家庭辦公室或在旅途中工作。BranchOffice 和 DirectAccess 對于分支機構和其他遠程工作者而言大有前途，明智的 IT 經理和管理員應對它們加以研究。這兩種功能的安裝都不能一蹴而就，其中的選項和功能都需要加以選擇。另外，這些功能只能在 Windows 7 客戶端和 Windows Server 2008 R2 服務器上實現，這肯定會影響實現的時間線。明智的 IT 經理和管理員應對所提供的 Microsoft 文檔進行研究，并在測試實驗室中對這些功能進行配置以確保成功。

原文地址

本文來源：微軟TechNet中文站

【編輯推薦】

1. DirectAccess動手實驗5：管理客戶端
2. Windows Server 2008 R2中的DirectAccess功能詳解