接下來就正式的進入到我們開始進入到DirectAccess的設定,這個部份我們就著力在DA-Svr身上了,完成好PKI架構,也經過測試發行撤銷清單,那麼就直接進入到DC上去設定好自動發行測試,包括有建置可透過DirectAccess的羣組、開立所有伺服器上防火牆的傳輸規則、排除ISATAP,最後,就開始進行Direct Access的組態及測試了。
設定DNS名稱對映
在本例中,我們必須建置DirectAccess外部的DNS對映及內部DNS的對映,內部部的DNS只需要指定DirectAccess的第一組IP位址對映的憑證發放連結(crl.jason.local),以及應用伺服器(本例為app.jason.local),而外部則是指定DirectAccess的外部DNS對映(dac.jaosn.com.tw)及憑證發放連結(crl.jason.com.tw)的對映,還有一個是應用伺服器(app.jason.com.tw)
內部DNS
新增下列的AAAA記錄
A記錄 | 對映IP | 伺服器角色 |
crl | 192.168.0.200 | CA發放連結站 |
app | 192.168.0.100 | 應用伺服器 |
外部DNS
A記錄 | 對映IP | 伺服器角色 |
crl | 211.11.1.5 | CA發放連結站 |
dac | 211.11.1.5 | DirectAccess伺服器 |
app | 211.11.1.10 | 應用伺服器 |
自DNS全域查詢黑名單中排除ISATAP(於DC)
在內部的DNS中必須要再指定排除,首先在DC上以系統管理員身份執行令命提示字元
並且在指令列中輸入:
DNScmd /Config /GlobalQueryBlackList WPAD
更新IPv6設定(於所有設備)
完成上面的所有設定後,我們就必須將IPv6的設定更新到所有的設備上,因此請依序設定DC, 其它伺服器及用戶端的電腦,直接以系統管理者帳號權限進行開啟指令模式:
Net Stop iphlpsvc Net Start iphlpsvc
在AD建立Direct Access client的電腦羣組(於DC)
自開始列上點選『系統管理工具』中的『Active Directory使用者和電腦』
切換至domain root之下,展開users目錄,並於目錄中新增羣組
本例中以DA_Client為目錄羣組名稱
※請注意了,要讓使用者可以透過DirectAccess連接,就全靠它了,因此必須在這個羣組下加入準許連線的『使用者』及『電腦』 ,例如:總經理的帳號及總經理的NB,業務羣組及業務們攜出的NB都要加在這個羣組裡面,如此一來,不論是人或是設備,只有在這個羣組內的任何正確配對(人+電腦),都可以連接到DirectAccess。
開啟防火牆建立所需傳遞連線(ICMP v4及ICMP v6)
完成羣組的設定後,接下來於DC上去發佈羣組原則,在這個步驟主要是要使所有DirectAccess用戶端的防火牆設定開啟指定的policy,由系統工具中開啟羣組原則管理。
展開樹系、網域至網域名稱,並在右手邊的GPO上執行編輯(若欲以更安全的做法則是另外建立一個OU去連結GPO,可將範圍縮小至只有DA_Client羣組)
下者為輸出的範例,選擇自訂。
變更設定為『特定ICMP類型』,並勾核『回應要求』。
輸出條例完成後如下圖:
在DirectAccess上發佈憑證需求
在DirectAccess發佈一個憑證需求,在這個步驟要特別注意的是,必須使用非Administrator的帳號,但具有Domain admins權限的使用者,在此我已經建立有一個名稱為jason的帳號登入DirectAccess上,以mmc開啟憑證控制檯,來進行發佈憑證需求發出憑證。
接下來就是發出web伺服器憑證時所需要的一些相關資料,在主體名稱中的類型選擇『一般名稱』並且在值中輸入已在dc上有註冊的a記錄『dac.jason.com.tw』,而下面的別名,則可直接輸入您指定可以連到DirectAccess的其它別名,只需要選擇類型為DNS,並新增相關值即可。
※請注意,此部份與站臺名稱會做憑證的對映,因此必須要讓網域名稱與伺服器站臺名稱相同。
※請注意,此部份與站臺名稱會做憑證的對映,因此必須要讓網域名稱與伺服器站臺名稱相同。
接下來在發行好的憑證上按右鍵=>內容,於一般頁籤中輸入HTTPS Certificate為名稱,或是以自已好記的名稱為名。
安裝DirectAccess(於DirectAccess)
Direct Access Server建置(於DirectAccess伺服器)
在完成上面的步驟後,不需要重置電腦即可以馬上進行DirectAccess的主控臺設定。
在整個安裝步驟中共分為四個步驟,從開始設定到結束,不需要花費不到十分鐘即可完成設定。
完成上面網卡的指定後,接下來就必須選擇連線的憑證來提供安全的連線,在選擇用戶端連線的部份,必須選擇已發行出來的公開憑證。
完成後如下圖。
步驟三:
步驟就要開始指定設定DirectAccess的本體了,請在網路網路位置伺服器執行於高可用性司服器的欄中輸入您DA-Svr的內部DNS尾碼資訊,在本例為https://da-svr.jason.local,輸入完成後,請點選驗證,會如下圖所示:告知是否驗證成功。
驗證成功過後,請將名稱尾碼只留下Jason.local欄位即可。
套用GPO
完成上面所有的設定後,請在DC伺服器上以系統管理者權限執行下面的指令以更新發行GPO:
GPUpdate /Forece
完成了GPO的更新發行,接下來就是再到Client去測試一下發行的GPO有沒有發佈出來,若是正在使用中的電腦,則直接在用戶端執行一次上面的指令即可。
接下來我們就要開始測試囉,以上的程序至少花掉我們四五個小時,準備接收驗收吧!!!