实验拓扑
前期准备
今天我们只做北京公司的DA部署,北京公司我们采用双网卡的部署方式,外网出口直接就用路由器做路由出去,不整端口映射了,反正实现的效果是一样的,在具体的实施过程中,如果外网IP有限时,可以考虑用单网卡。初看DirectAccess的部署方式是很乱,但是理解之后就好了。强烈建议成功部署之后,一定要仔仔细细的啃几遍Technet的相关部署环境说明!
微软官方部署说明:http://technet.microsoft.com/en-us/library/jj134148.aspx
NAT网络 Teredo UDP IN/OUT 3544
ADSL拨号 6to4 IP IN/OUT 41
NAT网络 ISATAP IP IN/OUT 41
任何网络 IP-HTTPS TCP IN/OUT 443
服务器要求:
1、域控 Server 2008 R2系统及以上,开启IPv6,防火墙允许ICMPv4/ICMPv6回显请求
2、DA服务器 Server 2008 R2系统及以上,开启IPv6,防火墙允许ICMPv4/ICMPv6回显请求,双网卡部署时需要两块网卡及两个连续外网IP(注:只要与内网IP不在同一个网段即可)
客户机要求 开启IPv6,Windows 7 旗舰版、企业版,Windows 8企业版
部署概览
域控制器
主机名:WIN2K8-2 IP地址:192.168.0.62/24 网关:192.168.0.1
安装域服务角色--IIS角色--证书服务器角色
配置CRL(Certificate Revocation List证书吊销列表)--新建NLS服务器A记录--配置域策略--新建证书模板--建立DA客户端安全组
APP服务器
主机名:WIN2K8-3 IP地址:192.168.0.63/24 网关:192.168.0.1
安装IIS--勾选“IP和域限制”
DA服务器
主机名:WIN2K12-5 IP地址:LAN 192.168.0.75/24 网关:192.168.0.1 WAN 172.16.1.1/16 网关:172.16.1.254
刷新策略--安装DirectAccess角色--申请DA服务器证书--运行设置向导配置服务器
客户端
刷新策略--新建Hosts记录--移到外网测试
开始部署
配置域控制器
安装相应角色,我的域名是CORP.COM
开启IPv6支持
打开证书颁发机构,右击证书服务器选属性,我们修改一下它的扩展属性将CRL加入到扩展属性中
在做这个之前,我们先转到DA服务器上,新建一个共享目录,并将目录发布到IIS中
在C盘新建CRL文件夹(这个文件夹占用空间很小 放在C盘没什么影响),共享名为CRL$, 然后添加证书服务器共享权限设置为完全控制,两次确定
在安全选项卡中,把证书服务器也添加进来,并设置本地NTFS权限为完全控制,这样才能保证发布CRL的时候目录是可写的
在DA服务器上将IIS安装好,全部默认设置即可
安装成功后,开始发布虚拟目录
点测试设置时会发现有一个警告说没有权限访问c:\crl目录,这里不用管,如果有强迫症一定要改的话也不是不可以,我用的办法是把IIS的运行账号换了,然后把本地目录的权限给到这个账号就行了。
双击配置编辑器改几个属性
另外把这两个的AllowDoubleEscaping的值都改为True,不过具体为什么要改 没有查到相关说明。每改完一个之都要点右侧的应用才能生效
上面做完之后,我们回到域控上继续做发布CRL操作
点添加 输入图中的URL地址并勾上下面两个复选框(注:稍后我们在DA服务器上的IIS中发布这个CRL列表)
设置CRL地址存储位置并勾上下面两个复选框(注:同样这个目录现在是不存在的,稍后的操作中将新建该共享目录)
这里和网上其他资料有点不同,是因为之前用插入变量的方式发现无法成功发布CRL所以我才改成了具体的文件
右击吊销的证书,开始发布,选择“新的CRL”然后确定,成功发布的话是没有任何显示的,可以到刚才我们在DA服务器建立的目录下,就可以看到CA_ROOT.crl这个文件。
打开DNS管理器新建nls主机记录,指向我们的NLS(网络位置服务器)服务器IP。NLS是客户端用来判断自己是处在内网还是外网环境,如果判断错误,客户机会关闭DirectAccess客户端服务而不建立隧道。
现在我们打开组策略管理器,创建并链接到corp.com这个域,我们做两个事情,一个是自动注册证书,另一个是允许ICMPv4/ICMPv6回显请求
新建入站规则,规则类型选自定义
协议类型选ICMPv4 然后点自定义
作用域默认,操作选允许连接
将名称设置为ICMPv4 Echo Request ,其余都默认 点完成
同样的继续新建ICMPv6,点自定义 勾上里面的“回显请求”操作还是允许连接 ,名字为ICMPv6 Echo Request
同样的新建允许ICMPv4/ICMPv6出站连接规则
配置允许证书自动注册
右击证书模板选管理
在证书模板控制台中,找到工作站身份验证模板,右击 复制模板,选Windows Server 2008 Enterprise
修改客户端证书模板属性
复制Web服务器模板,
证书模板做好了,我们将证书模板发布出来
点确定即可
然后在域里建立一个DA客户端安全组,只有这个组里的计算机才能使用DA
转载于:https://blog.51cto.com/jctour/1167920