實驗拓撲
部署概覽
域控制器
主機名:WIN2K8-2 IP地址:192.168.0.62/24 網關:192.168.0.1
安裝域服務角色--IIS角色--證書服務器角色
配置CRL(Certificate Revocation List證書吊銷列表)--新建NLS服務器A記錄--配置域策略--新建證書模板--建立DA客戶端安全組
APP服務器
主機名:WIN2K8-3 IP地址:192.168.0.63/24 網關:192.168.0.1
安裝IIS--勾選“IP和域限制”
DA服務器
主機名:WIN2K12-5 IP地址:LAN 192.168.0.75/24 網關:192.168.0.1 WAN 172.16.1.1/16 網關:172.16.1.254
刷新策略--安裝DirectAccess角色--申請DA服務器證書--運行設置嚮導配置服務器
客戶端
刷新策略--新建Hosts記錄--移到外網測試
配置APP服務器
在APP服務器WIN2K8-3上打開服務器管理控制檯,安裝IIS角色,並選上“IP和域限制”功能(該功能是提供NLS服務的功能 我們這個環境中,是用APP這一臺作爲NLS服務器)
在運行中,輸入mmc打開控制檯管理器,在文件菜單中選“添加/刪除管理單元”雙擊“證書”選擇“計算機賬戶”,然後下一步 完成 確定~~~
點“註冊此證書需要詳細信息。。”設置 公用名及DNS名同爲nls.corp.com,然後點添加 確定
點註冊,等待註冊成功後點完成即可
點添加 將證書nls.corp.com綁定到所有本機IP的443端口 確定。
到這裏 APP服務器+NLS服務器就配置好了,接下來配置DA服務器。如果生產環境中NLS服務器在其他的服務器上,則按你的需要申請和綁定相應的證書即可。
配置DA服務器
在DA服務器WIN2K12-5上打開服務器管理器添加DirectAccess角色
![image_thumb[48]](http://www.jctour.net/wp-content/uploads/2013/03/image_thumb481.png "image_thumb[48]")
![image_thumb[50]](http://www.jctour.net/wp-content/uploads/2013/03/image_thumb501.png "image_thumb[50]")
![image_thumb[52]](http://www.jctour.net/wp-content/uploads/2013/03/image_thumb521.png "image_thumb[52]")
勾選遠程訪問角色,點添加功能 下一步
![image_thumb[56]](http://www.jctour.net/wp-content/uploads/2013/03/image_thumb561.png "image_thumb[56]")
保持默認,然後下一步
![image_thumb[57]](http://www.jctour.net/wp-content/uploads/2013/03/image_thumb571.png "image_thumb[57]")
![image_thumb[59]](http://www.jctour.net/wp-content/uploads/2013/03/image_thumb591.png "image_thumb[59]")
![image_thumb[61]](http://www.jctour.net/wp-content/uploads/2013/03/image_thumb611.png "image_thumb[61]")
角色添加完之後,我們爲DA申請證書,用來建立隧道時通信加密
在運行中,輸入mmc打開控制檯管理器,在文件菜單中選“添加/刪除管理單元”雙擊“證書”選擇計算機賬戶,然後下一步 完成 確定~~~
點進去配置證書屬性
配置公用名、DNS名同爲da.examole.com 然後點添加
然後點註冊,等待註冊成功即可
檢查剛纔申請到的證書,發現CRL已經可以看到了
有了證書後,就把證書綁定到IIS網站上
萬事具備,打開DirectAccess控制檯運行配置嚮導
***就不配了 DA就是用來取代它的
這裏總共有四步,一步步來就可以了,點步驟1的配置
按默認的點下一步,選擇這一項可以支持更多的功能,比如NAP。
將之前我們新建的安全組加入進來,作爲DA客戶端組,此時我們還沒在組中加入任何計算機
這裏我改了DirectAccess連接名稱
點步驟2的配置,這裏默認服務器會選上“位於邊緣設備之後”。公用名稱填剛纔申請的證書公用名da.example.com,這個地址是需要在外網能解析的,並且是和我們申請的證書是同樣的名字。
這裏默認就可以了 下一步
這裏選擇我們CA服務器的根證書作爲中間證書,來驗證通信加密證書,這裏要記得勾上“使Windows 7客戶端計算機能夠通過DirectAccess進行連接”,否則Windows 7 則無法正常通過DA服務器訪問內網!
現在進入第三步的配置(注:這裏要註冊的是這個URL必須是https開頭,並且NLS服務器上的證書公用名要和這裏是一樣的不能錯) 然後下一步
這裏保持默認即可,但是如果公網的域名和內網的域名一樣,都是用的corp.com,那麼就要把DA服務器的FQDN添加到這裏。意思是說這個FQDN不用內網的DNS服務器解析,因爲DA的客戶端策略中會告訴客戶端內網的域名是什麼,例如NLS服務器是不應該能讓外網的客戶端訪問的,不然會導致客戶端判斷網絡失誤從而連接不上DA服務器。我這裏把它DA也加到列表了,不然會在後面應用配置的時候有個警告。 下一步
這裏實現一個功能,允許外網客戶端通過短名稱也就是主機名來訪問內網服務器。並且還支持多個域! 只要把相應的DNS後綴添加進來即可! “管理” 讓它默認不配置 下一步 完成
第四步配置是訪問控制以及是否加密的配置,這裏就不動它算了 默認可以訪問所有內網資源並且不加密 點完成
點左下角的“完成”按鈕生成配置彙總
點應用開始應用配置~~ 很順利~ 一次就過~警告都沒~
打開遠程訪問管理控制檯,看到這裏狀態不可用,這個沒關係,它還沒來的及刷新狀態。服務器活動狀態的刷新間隔爲300秒,客戶端活動狀態刷新間隔是60秒。。 這麼時間確實是很煩人。。
等了老半天之後 終於全綠了~ 勝利在望!
今天先到這裏吧~ 時候不早了,明天再測試客戶端吧!