DirectAccess部署(二)之雙網卡環境 域控制器配置(多圖!)

實驗拓撲

 

前期準備

今天我們只做北京公司的DA部署，北京公司我們採用雙網卡的部署方式，外網出口直接就用路由器做路由出去，不整端口映射了，反正實現的效果是一樣的，在具體的實施過程中，如果外網IP有限時，可以考慮用單網卡。初看DirectAccess的部署方式是很亂，但是理解之後就好了。強烈建議成功部署之後，一定要仔仔細細的啃幾遍Technet的相關部署環境說明！

微軟官方部署說明：http://technet.microsoft.com/en-us/library/jj134148.aspx

NAT網絡   Teredo       UDP  IN/OUT  3544

ADSL撥號  6to4           IP      IN/OUT   41

NAT網絡    ISATAP       IP      IN/OUT   41

任何網絡    IP-HTTPS    TCP    IN/OUT  443

 

服務器要求：

1、域控           Server 2008 R2系統及以上，開啓IPv6，防火牆允許ICMPv4/ICMPv6回顯請求

2、DA服務器    Server 2008 R2系統及以上，開啓IPv6，防火牆允許ICMPv4/ICMPv6回顯請求，雙網卡部署時需要兩塊網卡及兩個連續外網IP（注：只要與內網IP不在同一個網段即可）

客戶機要求        開啓IPv6，Windows 7 旗艦版、企業版，Windows 8企業版

 

部署概覽

域控制器

主機名：WIN2K8-2   IP地址：192.168.0.62/24   網關：192.168.0.1

安裝域服務角色--IIS角色--證書服務器角色

配置CRL（Certificate Revocation List證書吊銷列表）--新建NLS服務器A記錄--配置域策略--新建證書模板--建立DA客戶端安全組

APP服務器

主機名：WIN2K8-3 IP地址：192.168.0.63/24   網關：192.168.0.1

安裝IIS--勾選“IP和域限制”

DA服務器

主機名：WIN2K12-5 IP地址：LAN 192.168.0.75/24   網關：192.168.0.1  WAN 172.16.1.1/16 網關：172.16.1.254

刷新策略--安裝DirectAccess角色--申請DA服務器證書--運行設置嚮導配置服務器

客戶端

刷新策略--新建Hosts記錄--移到外網測試

 

開始部署

配置域控制器

安裝相應角色，我的域名是CORP.COM

開啓IPv6支持

打開證書頒發機構，右擊證書服務器選屬性，我們修改一下它的擴展屬性將CRL加入到擴展屬性中

在做這個之前，我們先轉到DA服務器上，新建一個共享目錄，並將目錄發佈到IIS中

在C盤新建CRL文件夾（這個文件夾佔用空間很小 放在C盤沒什麼影響），共享名爲CRL$， 然後添加證書服務器共享權限設置爲完全控制，兩次確定

在安全選項卡中，把證書服務器也添加進來，並設置本地NTFS權限爲完全控制，這樣才能保證發佈CRL的時候目錄是可寫的

在DA服務器上將IIS安裝好，全部默認設置即可

安裝成功後，開始發佈虛擬目錄

點測試設置時會發現有一個警告說沒有權限訪問c:\crl目錄，這裏不用管，如果有強迫症一定要改的話也不是不可以，我用的辦法是把IIS的運行賬號換了，然後把本地目錄的權限給到這個賬號就行了。 

雙擊配置編輯器改幾個屬性

另外把這兩個的AllowDoubleEscaping的值都改爲True，不過具體爲什麼要改 沒有查到相關說明。每改完一個之都要點右側的應用才能生效

上面做完之後，我們回到域控上繼續做發佈CRL操作

點添加 輸入圖中的URL地址並勾上下面兩個複選框（注：稍後我們在DA服務器上的IIS中發佈這個CRL列表）

設置CRL地址存儲位置並勾上下面兩個複選框（注：同樣這個目錄現在是不存在的，稍後的操作中將新建該共享目錄）

這裏和網上其他資料有點不同，是因爲之前用插入變量的方式發現無法成功發佈CRL所以我才改成了具體的文件

右擊吊銷的證書，開始發佈，選擇“新的CRL”然後確定，成功發佈的話是沒有任何顯示的，可以到剛纔我們在DA服務器建立的目錄下，就可以看到CA_ROOT.crl這個文件。

打開DNS管理器新建nls主機記錄，指向我們的NLS（網絡位置服務器）服務器IP。NLS是客戶端用來判斷自己是處在內網還是外網環境，如果判斷錯誤，客戶機會關閉DirectAccess客戶端服務而不建立隧道。

現在我們打開組策略管理器，創建並鏈接到corp.com這個域，我們做兩個事情，一個是自動註冊證書，另一個是允許ICMPv4/ICMPv6回顯請求

新建入站規則，規則類型選自定義

協議類型選ICMPv4 然後點自定義

作用域默認，操作選允許連接

將名稱設置爲ICMPv4 Echo Request ，其餘都默認  點完成

同樣的繼續新建ICMPv6，點自定義  勾上裏面的“回顯請求”操作還是允許連接 ，名字爲ICMPv6 Echo Request

同樣的新建允許ICMPv4/ICMPv6出站連接規則

配置允許證書自動註冊

右擊證書模板選管理

在證書模板控制檯中，找到工作站身份驗證模板，右擊 複製模板，選Windows Server 2008 Enterprise

修改客戶端證書模板屬性

複製Web服務器模板，

證書模板做好了，我們將證書模板發佈出來

點確定即可

然後在域裏建立一個DA客戶端安全組，只有這個組裏的計算機才能使用DA