實驗拓撲
前期準備
今天我們只做北京公司的DA部署,北京公司我們採用雙網卡的部署方式,外網出口直接就用路由器做路由出去,不整端口映射了,反正實現的效果是一樣的,在具體的實施過程中,如果外網IP有限時,可以考慮用單網卡。初看DirectAccess的部署方式是很亂,但是理解之後就好了。強烈建議成功部署之後,一定要仔仔細細的啃幾遍Technet的相關部署環境說明!
微軟官方部署說明:http://technet.microsoft.com/en-us/library/jj134148.aspx
NAT網絡 Teredo UDP IN/OUT 3544
ADSL撥號 6to4 IP IN/OUT 41
NAT網絡 ISATAP IP IN/OUT 41
任何網絡 IP-HTTPS TCP IN/OUT 443
服務器要求:
1、域控 Server 2008 R2系統及以上,開啓IPv6,防火牆允許ICMPv4/ICMPv6回顯請求
2、DA服務器 Server 2008 R2系統及以上,開啓IPv6,防火牆允許ICMPv4/ICMPv6回顯請求,雙網卡部署時需要兩塊網卡及兩個連續外網IP(注:只要與內網IP不在同一個網段即可)
客戶機要求 開啓IPv6,Windows 7 旗艦版、企業版,Windows 8企業版
部署概覽
域控制器
主機名:WIN2K8-2 IP地址:192.168.0.62/24 網關:192.168.0.1
安裝域服務角色--IIS角色--證書服務器角色
配置CRL(Certificate Revocation List證書吊銷列表)--新建NLS服務器A記錄--配置域策略--新建證書模板--建立DA客戶端安全組
APP服務器
主機名:WIN2K8-3 IP地址:192.168.0.63/24 網關:192.168.0.1
安裝IIS--勾選“IP和域限制”
DA服務器
主機名:WIN2K12-5 IP地址:LAN 192.168.0.75/24 網關:192.168.0.1 WAN 172.16.1.1/16 網關:172.16.1.254
刷新策略--安裝DirectAccess角色--申請DA服務器證書--運行設置嚮導配置服務器
客戶端
刷新策略--新建Hosts記錄--移到外網測試
開始部署
配置域控制器
安裝相應角色,我的域名是CORP.COM
開啓IPv6支持
打開證書頒發機構,右擊證書服務器選屬性,我們修改一下它的擴展屬性將CRL加入到擴展屬性中
在做這個之前,我們先轉到DA服務器上,新建一個共享目錄,並將目錄發佈到IIS中
在C盤新建CRL文件夾(這個文件夾佔用空間很小 放在C盤沒什麼影響),共享名爲CRL$, 然後添加證書服務器共享權限設置爲完全控制,兩次確定
在安全選項卡中,把證書服務器也添加進來,並設置本地NTFS權限爲完全控制,這樣才能保證發佈CRL的時候目錄是可寫的
在DA服務器上將IIS安裝好,全部默認設置即可
安裝成功後,開始發佈虛擬目錄
點測試設置時會發現有一個警告說沒有權限訪問c:\crl目錄,這裏不用管,如果有強迫症一定要改的話也不是不可以,我用的辦法是把IIS的運行賬號換了,然後把本地目錄的權限給到這個賬號就行了。
雙擊配置編輯器改幾個屬性
另外把這兩個的AllowDoubleEscaping的值都改爲True,不過具體爲什麼要改 沒有查到相關說明。每改完一個之都要點右側的應用才能生效
上面做完之後,我們回到域控上繼續做發佈CRL操作
點添加 輸入圖中的URL地址並勾上下面兩個複選框(注:稍後我們在DA服務器上的IIS中發佈這個CRL列表)
設置CRL地址存儲位置並勾上下面兩個複選框(注:同樣這個目錄現在是不存在的,稍後的操作中將新建該共享目錄)
這裏和網上其他資料有點不同,是因爲之前用插入變量的方式發現無法成功發佈CRL所以我才改成了具體的文件
右擊吊銷的證書,開始發佈,選擇“新的CRL”然後確定,成功發佈的話是沒有任何顯示的,可以到剛纔我們在DA服務器建立的目錄下,就可以看到CA_ROOT.crl這個文件。
打開DNS管理器新建nls主機記錄,指向我們的NLS(網絡位置服務器)服務器IP。NLS是客戶端用來判斷自己是處在內網還是外網環境,如果判斷錯誤,客戶機會關閉DirectAccess客戶端服務而不建立隧道。
現在我們打開組策略管理器,創建並鏈接到corp.com這個域,我們做兩個事情,一個是自動註冊證書,另一個是允許ICMPv4/ICMPv6回顯請求
新建入站規則,規則類型選自定義
協議類型選ICMPv4 然後點自定義
作用域默認,操作選允許連接
將名稱設置爲ICMPv4 Echo Request ,其餘都默認 點完成
同樣的繼續新建ICMPv6,點自定義 勾上裏面的“回顯請求”操作還是允許連接 ,名字爲ICMPv6 Echo Request
同樣的新建允許ICMPv4/ICMPv6出站連接規則
配置允許證書自動註冊
右擊證書模板選管理
在證書模板控制檯中,找到工作站身份驗證模板,右擊 複製模板,選Windows Server 2008 Enterprise
修改客戶端證書模板屬性
複製Web服務器模板,
證書模板做好了,我們將證書模板發佈出來
點確定即可
然後在域裏建立一個DA客戶端安全組,只有這個組裏的計算機才能使用DA