实验拓扑
部署概览
域控制器
主机名:WIN2K8-2 IP地址:192.168.0.62/24 网关:192.168.0.1
安装域服务角色--IIS角色--证书服务器角色
配置CRL(Certificate Revocation List证书吊销列表)--新建NLS服务器A记录--配置域策略--新建证书模板--建立DA客户端安全组
APP服务器
主机名:WIN2K8-3 IP地址:192.168.0.63/24 网关:192.168.0.1
安装IIS--勾选“IP和域限制”
DA服务器
主机名:WIN2K12-5 IP地址:LAN 192.168.0.75/24 网关:192.168.0.1 WAN 172.16.1.1/16 网关:172.16.1.254
刷新策略--安装DirectAccess角色--申请DA服务器证书--运行设置向导配置服务器
客户端
刷新策略--新建Hosts记录--移到外网测试
这一部分就是测试下我们前面的工作是不是都圆满的完成了,这里需要有外部网络环境来测试。我是用的开源路由器Vyatta做好的这样一个网络来完成实验,当然了,有真实环境是最好的。这款路由器还是比较好上手的,命令行的风格采用Juniper风格,熟悉Cisco命令风格的话也很容易懂。
更多关于这款路由器的资料看这里 http://www.jctour.net/?p=304090
进入今天的主题,我们先在公网上建一台DNS并新建一个主要区域 example.com
新建A记录,da.example.com和crl.example.com都指向172.16.1.1
接下来将客户机移到内网,加到域中并刷新组策略
运行gpresult /r发现计算机设置里面我们要用到的DA客户端策略没有应用。。(因为我们没将这台客户机加入到DA Clients组,我们在配置DA的时候配置了只允许这个组的成员使用DirectAccess) 现在我们将客户机加入到DA Clients组将刷新策略。
看看Router2的配置
Router3的配置大同小异
当然了,仅仅这样子还不够,还要通过Workstation的虚拟交换机来把网络隔开才能达到我们真正想要的效果,如果想要完全模拟公司的环境也不是不可以,最简单的办法就是用PortMap这个软件,在windows系统上做端口映射,把这个Windows当作是我们的路由器,或者也可以用NAT技术做端口转发都可以。
客户端我准备了两台,已经放到了10.1.1.0/24这个网段,并且用虚拟交换机隔开了。这个网段和172.16.0.0/16做了路由能够通信。
本来是打算用Windows 7旗舰版 SP1来测试的,结果有点小小意外,它查不到DNS里的A记录但是ping IP地址测试网络都能通信。。有点像是LSP连接问题。。
把客户机移到内网环境中,在CMD中运行netsh namespace show effectivepolicy看到这样的显示。
当客户机在外网时会有如下显示
先用Windows 8来测试下访问APP服务器的效果
然后在运行中输入\\corp.com 访问域控看看效果
ping 域名看到的是域控的IPv6地址
跟踪路由看到这样的结果,我现在客户机所在的网络是NAT设备之后,照理说应该是使用Teredo协议才对,这里服务器竟然还是选择了IP-HTTPS协议。
最后我们再来看一下策刷新情况。
OK 也是正常的! 其他更多的测试大家做的时候动手去尝试!
前两天开会,客户提出要求,不在域内的应用服务器是不是也能通过DirectAccess来访问。 经过测试发现也是可以做到的,毕竟它完成的工作也就是×××的工作,只是比×××更加强大而已。 具体怎么做的话 大家稍稍想一下 相信可以搞定的!
到这里,DA的部署就告一段落了! 其他关于多站点和负载均衡的部分大家自己探索,我测试机性能有限,更多的测试想做也没法做。 可以的话 不妨帮我推荐一台二手服务器!
转载于:https://blog.51cto.com/jctour/1167924
431
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
