与ISP相比，大多数企业还没有感受到来自IPv4地址资源耗尽带来的影响，因此到目前为止，部署了IPv6网络环境的企业也并不多。不过在Windows客户端和服务器端操作系统中，都已经加入了对于IPv6协议的支持，并且活动目录也支持IPv6协议。虽然几乎全部IT专家都认为向IPv6协议迁移是必然的，但是从企业角度说，向IPv6迁移的商业动机并不充分。

微软在Windows Server 2008 R2操作系统中加入了一个基于IPv6协议的远程办公解决方案，叫做DirectAccess (DA)。这个解决方案可以让远程电脑通过目前的IPv4公共网络，访问企业内部的基于IPv6的网络资源。由于操作系统限制(只能运行在Windows 2008 R2操作系统)DA的应用范围有限，并且只支持那些在IPv6网络运行的服务器。另外，它还有容量方面的限制，因为DA本身并不提供扩容功能。

但是通过微软的Forefront Unified Access Gateway 2010 (UAG)产品，DA的应用价值得到了巨大的提升。Forefront UAG之所以引人注目，是因为它解决了原始DA的容量限制，并加入了NAT64 网关功能。NAT64网关可以为DA用户提供直接访问IPv4网络资源的能力，这使得那些远程办公的DA用户可以顺利的访问企业IPv4网络环境中的各种资源。有了基于UAG的 DA，企业就不必迁移域控制器或应用程序服务器到Windows Server 2008 R2系统了。

但是还存在一个关键性的限制：Forefront UAG DirectAccess客户端必须是采用Windows 7 Enterprise 或 Windows 7 Ultimate操作系统，并加入活动目录域。如果你的公司有能力为所有远程办公人员配备高端windows 7系统，并将这些系统加入域中，你就可以采用基于UAG的DA远程访问方案了，这将是企业在实施虚拟化技术后的另一个最新技术。

IPv6转换技术

基于UAG的 DirectAccess方案实际上捆绑了一系列在IPv4架构上传输IPv6数据的技术。下面我简单的将涉及到的技术列出来：

· 6to4 当客户端采用IPv4协议时会用到此技术。6to4使用IPv4 protocol-41，并将数据包前面加上一个额外的IP头。

· Teredo 当客户端处于NAT设备后时会使用此技术。Teredo会对数据打包并在UDP 端口3544上收发。

· IP-HTTPS 当Teredo 被证实无法使用时，会使用此技术。IP-HTTPS 会在端口443建立一个SSL隧道收发数据。

· ISATAP 用来在使用NAT6路由(比如UAG)的内网建立 IPv6到ISATAP主机的连接。

通过活动目录的组策略，相应的配置可以被推送到Windows7客户端，如图所示。当你在UAG服务器上启用DA，所需的组策略就会在域中自动创建并连接到相应的安全组。

DirectAccess 客户端通过组策略被分配采用特定的 IPv6转换技术

远程办公随时连接

DA解决方案的这个功能可能是企业对DA技术最感兴趣的一部分。很多企业都在寻找能够代替VPN系统的远程办公系统。而DA正是一个能够超越VPN技术的远程接入技术。

目前看来，DA所能达到的无缝远程连接体验，是整个行业中最好的。DA通过IPv6转换技术为远程用户提供了全天候的接入服务。DA采用了常见的IPSEC策略进行身份验证和加密，因此客户端也不需要添加额外的安全组件。

一般来说，在各种情况下，企业内部网络资源对于DA客户端来说都是可以访问的。只要远程客户端电脑能够连接互联网，就可以像连接在企业内部网一样使用相关内网资源，甚至内网的磁盘镜像也同样有效。另外，如果企业内网中有供内部员工访问的Web网站，远程用户一样可以浏览。甚至远程用户可以通过DA与企业内网同事一起打wow。

无需额外管理

远程的 DA客户端电脑可以持续从活动目录域获得更新的组策略配置，只要客户端能够连接互联网即可。另外，企业的很多计算机管理应用，如微软的System Center Configuration Manager (SCCM), 以及Windows Server Update Services (WSUS)都对DA客户端有效。通过这种所谓的“无需额外管理”特性，企业能够确保远程连接的DA终端符合企业的计算机安全规范。对于任何企业来说，这种能够实时的，全互联网覆盖的资产管理工具所带来的好处是不言而喻的。

为尽早部署IPv6扫清障碍

部署 DirectAccess意味着企业需要在内部首先部署IPv6网络。 企业AD DNS 将充斥着“AAAA”记录(IPv6主机)。域控制器和其它关键架构都可以通过IPv6地址访问到，Ping和其它网络应用在支持IPv6协议的主机间传送数据也将采用IPv6封装。而当IPv6时代真正到来时，这些企业的网管们可以很自豪的说，我们早已经提前应用IPv6了。

下面是客户端使用DA的高级步骤(在部署UAG之后)：

1. DA客户端所需的一切设置都位于组策略对象的 “UAG DirectAccess: Clients (DA-server-FQDN)”部分。组策略对象是在UAG设置时指派的一个活动目录安全组

2. 添加DA客户端电脑账号到活动目录安全组。

3. 在企业局域网(或通过拨号VPN连接到企业网络)启动DA客户端电脑。

4. 在局域网或VPN环境进行客户端电脑认证。

5. 在局域网或VPN环境确保组策略刷新成功并得到应用。

6. 该客户端现在已经成为DirectAccess客户端。离开企业局域网环境或从VPN断开，进入互联网环境。

7. 在互联网环境对DA客户端进行一系列测试，比如连接文件共享，或内部Web网页浏览等。