DirectAccess（4）—DA Server配置

四、DA服务器配置（即边缘服务器）

DA服务器需要2块网卡，一块用来连接内网，另一块用来连接公网，且网卡均需要指定DNS后缀，这是DA的需求。

内网卡配置如下，注意，不要填写默认网关地址

指定DNS后缀

外网卡配置信息，如下所示

注意，外网卡有2个外网地址

指定外网卡DNS后缀

安装IIS，采用默认安装

提示IIS安装成功

获取边缘服务器证书。

在运行窗口中输入mmc回车后打开控制台，点击文件下拉菜单，选择“添加/删除管理单元”

选中可用的管理单元中的“证书”，点击“添加”，选择“计算机帐户”

勾选“本地计算机（运行此控制台的计算机）”，点击“完成”

逐次展开证书—》个人—》证书，然后再中间空白处右击，选择“所有任务”子菜单“申请新证书”

选中“ActiveDirectory 注册策略”，下一步

勾选“WebServer 2012 R2”，并点击“注册此证书需要详细信息。单击这里以配置设置”

使用者名称下类型，选择“公用名”，值填写：DA2012.sxleilong.com，然后点击“添加”，备用名称下可写可不写，如果想写，可选中类型DNS，值和上边一样

切换到“常规”选项卡，填写友好的名称“IP-HTTPSCertificate”，点击“确定”

下一步，直到提示AD注册策略成功，点击“完成”

关闭控制台1，此时会提示是否将控制台设置存入控制台1，点击“否”

创建虚拟目录。

打开IIS管理器，展开到“Default Web Site”并右击，选择“添加虚拟目录”

填写别名CRLD，指定物理路径，因为目前没有物理路径，所以需要创建该路径，选中C盘，点击“新建文件夹”，变更名称为CRLDist

选中刚创建的虚拟目录，点击中间“配置编辑器”

节中依次选择“system.webServer\security\authentication\requestFiltering”，更改allowDoubleEscaping的值为True

配置证书分发点文件夹权限。

选中刚创建的文件夹CRLDist，并进行隐藏共享

点击“权限”，然后赋予AD（域控）计算机完全控制权限

打开CRLDist文件夹属性，切换到“安全”选项卡，点击“编辑”，赋予AD计算机完全控制权限

发布证书分发点。

回到CA服务器（AD），打开证书颁发机构，选择“吊销的证书”并右击，选则所有任务的子菜单“发布”

选中“新的CRL”，点击“确定”

访问DA2012服务器上的crldist共享文件可以看到有生成文件

转载于:https://blog.51cto.com/sxleilong/1351743