实验拓扑

DA

 

前期准备

今天我们只做北京公司的DA部署,北京公司我们采用双网卡的部署方式,外网出口直接就用路由器做路由出去,不整端口映射了,反正实现的效果是一样的,在具体的实施过程中,如果外网IP有限时,可以考虑用单网卡。初看DirectAccess的部署方式是很乱,但是理解之后就好了。强烈建议成功部署之后,一定要仔仔细细的啃几遍Technet的相关部署环境说明!

微软官方部署说明:http://technet.microsoft.com/en-us/library/jj134148.aspx

NAT网络   Teredo       UDP  IN/OUT  3544

ADSL拨号  6to4           IP      IN/OUT   41

NAT网络    ISATAP       IP      IN/OUT   41

任何网络    IP-HTTPS    TCP    IN/OUT  443

 

服务器要求

1、域控           Server 2008 R2系统及以上,开启IPv6,防火墙允许ICMPv4/ICMPv6回显请求

2、DA服务器    Server 2008 R2系统及以上,开启IPv6,防火墙允许ICMPv4/ICMPv6回显请求,双网卡部署时需要两块网卡及两个连续外网IP(注:只要与内网IP不在同一个网段即可)

客户机要求        开启IPv6,Windows 7 旗舰版、企业版,Windows 8企业版

 

部署概览

域控制器

主机名:WIN2K8-2   IP地址:192.168.0.62/24   网关:192.168.0.1

安装域服务角色--IIS角色--证书服务器角色

配置CRL(Certificate Revocation List证书吊销列表)--新建NLS服务器A记录--配置域策略--新建证书模板--建立DA客户端安全组

APP服务器

主机名:WIN2K8-3 IP地址:192.168.0.63/24   网关:192.168.0.1

安装IIS--勾选“IP和域限制”

DA服务器

主机名:WIN2K12-5 IP地址:LAN 192.168.0.75/24   网关:192.168.0.1  WAN 172.16.1.1/16 网关:172.16.1.254

刷新策略--安装DirectAccess角色--申请DA服务器证书--运行设置向导配置服务器

客户端

刷新策略--新建Hosts记录--移到外网测试

 

开始部署

配置域控制器

安装相应角色,我的域名是CORP.COM

p_w_picpath

开启IPv6支持

p_w_picpath

打开证书颁发机构,右击证书服务器选属性,我们修改一下它的扩展属性将CRL加入到扩展属性中p_w_picpath

在做这个之前,我们先转到DA服务器上,新建一个共享目录,并将目录发布到IIS中

在C盘新建CRL文件夹(这个文件夹占用空间很小 放在C盘没什么影响),共享名为CRL$, 然后添加证书服务器共享权限设置为完全控制,两次确定

p_w_picpath

在安全选项卡中,把证书服务器也添加进来,并设置本地NTFS权限为完全控制,这样才能保证发布CRL的时候目录是可写的

p_w_picpath

在DA服务器上将IIS安装好,全部默认设置即可

p_w_picpath

安装成功后,开始发布虚拟目录

p_w_picpath

点测试设置时会发现有一个警告说没有权限访问c:\crl目录,这里不用管,如果有强迫症一定要改的话也不是不可以,我用的办法是把IIS的运行账号换了,然后把本地目录的权限给到这个账号就行了。 

p_w_picpath

双击配置编辑器改几个属性

p_w_picpath

p_w_picpath

另外把这两个的AllowDoubleEscaping的值都改为True,不过具体为什么要改 没有查到相关说明。每改完一个之都要点右侧的应用才能生效

p_w_picpath

上面做完之后,我们回到域控上继续做发布CRL操作

点添加 输入图中的URL地址并勾上下面两个复选框(注:稍后我们在DA服务器上的IIS中发布这个CRL列表)p_w_picpath

设置CRL地址存储位置并勾上下面两个复选框(注:同样这个目录现在是不存在的,稍后的操作中将新建该共享目录)

p_w_picpath

这里和网上其他资料有点不同,是因为之前用插入变量的方式发现无法成功发布CRL所以我才改成了具体的文件

右击吊销的证书,开始发布,选择“新的CRL”然后确定,成功发布的话是没有任何显示的,可以到刚才我们在DA服务器建立的目录下,就可以看到CA_ROOT.crl这个文件。

p_w_picpath

打开DNS管理器新建nls主机记录,指向我们的NLS(网络位置服务器)服务器IP。NLS是客户端用来判断自己是处在内网还是外网环境,如果判断错误,客户机会关闭DirectAccess客户端服务而不建立隧道。

p_w_picpath

现在我们打开组策略管理器,创建并链接到corp.com这个域,我们做两个事情,一个是自动注册证书,另一个是允许ICMPv4/ICMPv6回显请求

p_w_picpath

新建入站规则,规则类型选自定义

p_w_picpath

协议类型选ICMPv4 然后点自定义

p_w_picpath

p_w_picpath

作用域默认,操作选允许连接

p_w_picpath

将名称设置为ICMPv4 Echo Request ,其余都默认  点完成

p_w_picpath

同样的继续新建ICMPv6,点自定义  勾上里面的“回显请求”操作还是允许连接 ,名字为ICMPv6 Echo Request

p_w_picpath

同样的新建允许ICMPv4/ICMPv6出站连接规则

p_w_picpath

配置允许证书自动注册

p_w_picpath

右击证书模板选管理

p_w_picpath

在证书模板控制台中,找到工作站身份验证模板,右击 复制模板,选Windows Server 2008 Enterprise

p_w_picpath

修改客户端证书模板属性

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

复制Web服务器模板,

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

p_w_picpath

证书模板做好了,我们将证书模板发布出来

p_w_picpath

p_w_picpath

点确定即可

然后在域里建立一个DA客户端安全组,只有这个组里的计算机才能使用DA

p_w_picpath