實驗拓撲
部署概覽
域控制器
主機名:WIN2K8-2 IP地址:192.168.0.62/24 網關:192.168.0.1
安裝域服務角色--IIS角色--證書服務器角色
配置CRL(Certificate Revocation List證書吊銷列表)--新建NLS服務器A記錄--配置域策略--新建證書模板--建立DA客戶端安全組
APP服務器
主機名:WIN2K8-3 IP地址:192.168.0.63/24 網關:192.168.0.1
安裝IIS--勾選“IP和域限制”
DA服務器
主機名:WIN2K12-5 IP地址:LAN 192.168.0.75/24 網關:192.168.0.1 WAN 172.16.1.1/16 網關:172.16.1.254
刷新策略--安裝DirectAccess角色--申請DA服務器證書--運行設置嚮導配置服務器
客戶端
刷新策略--新建Hosts記錄--移到外網測試
這一部分就是測試下我們前面的工作是不是都圓滿的完成了,這裏需要有外部網絡環境來測試。我是用的開源路由器Vyatta做好的這樣一個網絡來完成實驗,當然了,有真實環境是最好的。這款路由器還是比較好上手的,命令行的風格採用Juniper風格,熟悉Cisco命令風格的話也很容易懂。
更多關於這款路由器的資料看這裏 http://www.jctour.net/?p=304090
進入今天的主題,我們先在公網上建一臺DNS並新建一個主要區域 example.com
新建A記錄,da.example.com和crl.example.com都指向172.16.1.1
接下來將客戶機移到內網,加到域中並刷新組策略
運行gpresult /r發現計算機設置裏面我們要用到的DA客戶端策略沒有應用。。(因爲我們沒將這臺客戶機加入到DA Clients組,我們在配置DA的時候配置了只允許這個組的成員使用DirectAccess) 現在我們將客戶機加入到DA Clients組將刷新策略。
看看Router2的配置
Router3的配置大同小異
當然了,僅僅這樣子還不夠,還要通過Workstation的虛擬交換機來把網絡隔開才能達到我們真正想要的效果,如果想要完全模擬公司的環境也不是不可以,最簡單的辦法就是用PortMap這個軟件,在windows系統上做端口映射,把這個Windows當作是我們的路由器,或者也可以用NAT技術做端口轉發都可以。
客戶端我準備了兩臺,已經放到了10.1.1.0/24這個網段,並且用虛擬交換機隔開了。這個網段和172.16.0.0/16做了路由能夠通信。
本來是打算用Windows 7旗艦版 SP1來測試的,結果有點小小意外,它查不到DNS裏的A記錄但是ping IP地址測試網絡都能通信。。有點像是LSP連接問題。。
把客戶機移到內網環境中,在CMD中運行netsh namespace show effectivepolicy看到這樣的顯示。
當客戶機在外網時會有如下顯示
先用Windows 8來測試下訪問APP服務器的效果
然後在運行中輸入\\corp.com 訪問域控看看效果
ping 域名看到的是域控的IPv6地址
跟蹤路由看到這樣的結果,我現在客戶機所在的網絡是NAT設備之後,照理說應該是使用Teredo協議纔對,這裏服務器竟然還是選擇了IP-HTTPS協議。
最後我們再來看一下策刷新情況。
OK 也是正常的! 其他更多的測試大家做的時候動手去嘗試!
前兩天開會,客戶提出要求,不在域內的應用服務器是不是也能通過DirectAccess來訪問。 經過測試發現也是可以做到的,畢竟它完成的工作也就是***的工作,只是比***更加強大而已。 具體怎麼做的話 大家稍稍想一下 相信可以搞定的!
到這裏,DA的部署就告一段落了! 其他關於多站點和負載均衡的部分大家自己探索,我測試機性能有限,更多的測試想做也沒法做。 可以的話 不妨幫我推薦一臺二手服務器!