如何在企業內部建置Direct Access環境(3)-設定DirectAccess

如何在企業內部建置Direct Access環境(3)-設定DirectAccess

接下來就正式的進入到我們開始進入到DirectAccess的設定，這個部份我們就著力在DA-Svr身上了，完成好PKI架構，也經過測試發行撤銷清單，那麼就直接進入到DC上去設定好自動發行測試，包括有建置可透過DirectAccess的羣組、開立所有伺服器上防火牆的傳輸規則、排除ISATAP，最後，就開始進行Direct Access的組態及測試了。

設定DNS名稱對映

在本例中，我們必須建置DirectAccess外部的DNS對映及內部DNS的對映，內部部的DNS只需要指定DirectAccess的第一組IP位址對映的憑證發放連結(crl.jason.local)，以及應用伺服器(本例為app.jason.local)，而外部則是指定DirectAccess的外部DNS對映(dac.jaosn.com.tw)及憑證發放連結(crl.jason.com.tw)的對映，還有一個是應用伺服器(app.jason.com.tw)

內部DNS

新增下列的AAAA記錄

A記錄	對映IP	伺服器角色
crl	192.168.0.200	CA發放連結站
app	192.168.0.100	應用伺服器

 外部DNS

A記錄	對映IP	伺服器角色
crl	211.11.1.5	CA發放連結站
dac	211.11.1.5	DirectAccess伺服器
app	211.11.1.10	應用伺服器

 

自DNS全域查詢黑名單中排除ISATAP(於DC)

 在內部的DNS中必須要再指定排除，首先在DC上以系統管理員身份執行令命提示字元

並且在指令列中輸入：

DNScmd /Config /GlobalQueryBlackList WPAD

 

 

 

更新IPv6設定(於所有設備)

完成上面的所有設定後，我們就必須將IPv6的設定更新到所有的設備上，因此請依序設定DC, 其它伺服器及用戶端的電腦，直接以系統管理者帳號權限進行開啟指令模式：

Net Stop iphlpsvc
Net Start iphlpsvc

 

 

在AD建立Direct Access client的電腦羣組(於DC)

自開始列上點選『系統管理工具』中的『Active Directory使用者和電腦』

切換至domain root之下，展開users目錄，並於目錄中新增羣組

本例中以DA_Client為目錄羣組名稱

 

※請注意了，要讓使用者可以透過DirectAccess連接，就全靠它了，因此必須在這個羣組下加入準許連線的『使用者』及『電腦』 ，例如：總經理的帳號及總經理的NB，業務羣組及業務們攜出的NB都要加在這個羣組裡面，如此一來，不論是人或是設備，只有在這個羣組內的任何正確配對(人+電腦)，都可以連接到DirectAccess。

 

開啟防火牆建立所需傳遞連線(ICMP v4及ICMP v6)

完成羣組的設定後，接下來於DC上去發佈羣組原則，在這個步驟主要是要使所有DirectAccess用戶端的防火牆設定開啟指定的policy，由系統工具中開啟羣組原則管理。

 

展開樹系、網域至網域名稱，並在右手邊的GPO上執行編輯(若欲以更安全的做法則是另外建立一個OU去連結GPO，可將範圍縮小至只有DA_Client羣組)

接下來展開『電腦設定』->『原則』->『安全性設定』->『具有進階安全性的windows防火牆』->輸入規則及輸出規則中分別設定ICMPv4&v6的輸出及輸入條例。 

下者為輸出的範例，選擇自訂。

 

指定為所有程式 
 

將通訊協定更變為ICMPv4及設定ICMPv6並指定『自訂』通訊協定設定 
 

變更設定為『特定ICMP類型』，並勾核『回應要求』。

 

接下來不論是何條例均指定為『允許連線』 
 

並勾選任何範圍。  

給予一個名稱，本例以『Inbound ICMPv4』及『Inbound ICMPv6』為例。  

完成輸入的兩項條例後，於輸出一樣以新增規則新增ICMPv4及ICMPv6的通行條例 
 

與輸入條例相同的，選擇自訂規則。 
 

於通訊協定類型選擇『ICMPv4』及『ICMPv6』的項目通訊協定，並在點選自訂。 
 

與輸入條例相同的，輸出條例亦選擇『特定ICMP類型』並勾核『回應要求』 
 

勾選任何位址後選擇下一步 
 

此步驟與輸入不同的是預設值為封鎖連線，請將選項變更為允許連線。  

 

最後給予一個名稱。 
 

輸出條例完成後如下圖：

 

在DirectAccess上發佈憑證需求

在DirectAccess發佈一個憑證需求，在這個步驟要特別注意的是，必須使用非Administrator的帳號，但具有Domain admins權限的使用者，在此我已經建立有一個名稱為jason的帳號登入DirectAccess上，以mmc開啟憑證控制檯，來進行發佈憑證需求發出憑證。

 

接下來請選擇電腦帳戶 
 

選擇本機電腦 
 

接下來展開憑證的『個人』->『憑證』會預先看到已經有一張屬於這臺電腦的憑證 
 

於憑證目錄上按右鍵『所有工具』->『要求新憑證』以發出新的憑證 
 

因為之前我們已有設定可以自動發佈憑證，因此在開始進行憑證註冊時，CA即會發出乙張憑證供DirectAccess使用。 
 

接下來依照註冊原則進行發放憑證需求 
 

請在要求憑證上該核DAC Templates，並點選『需要更多資訊才能註冊此憑證，請按一下此處以設定設定值』  

接下來就是發出web伺服器憑證時所需要的一些相關資料，在主體名稱中的類型選擇『一般名稱』並且在值中輸入已在dc上有註冊的a記錄『dac.jason.com.tw』，而下面的別名，則可直接輸入您指定可以連到DirectAccess的其它別名，只需要選擇類型為DNS，並新增相關值即可。 
※請注意，此部份與站臺名稱會做憑證的對映，因此必須要讓網域名稱與伺服器站臺名稱相同。 
 

完成後，即可按下完成以發佈憑證註冊需求  

 

接下來在發行好的憑證上按右鍵=>內容，於一般頁籤中輸入HTTPS Certificate為名稱，或是以自已好記的名稱為名。

 

 

安裝DirectAccess(於DirectAccess)

接下來就要進入我們的重頭戲了，請在DiretcAccess伺服器上的功能中安裝新功能。 

在安裝DirectAccess安裝本功能時，必須連帶的安裝羣組原則管理功能，請一併安裝。 

安裝完成 

 

Direct Access Server建置(於DirectAccess伺服器)

在完成上面的步驟後，不需要重置電腦即可以馬上進行DirectAccess的主控臺設定。

 

在整個安裝步驟中共分為四個步驟，從開始設定到結束，不需要花費不到十分鐘即可完成設定。

接下來我們就開始進行設定吧，首先請先選擇遠端用戶端的設定，此部份可以直接透過羣組來指定即可，如果您欲一個一個使用者加入，也太廢功夫了吧! 
  

選步驟一的安裝後，與下圖相同的必須新增乙組羣組來進行安裝 

在步驟二中，你必須選擇好那一隻網卡是對外連線，那一隻是對內連線，在這個部份，則必須設定好網路的DNS尾碼及更新IPv6的資訊，否則會產生失敗。 
 

完成上面網卡的指定後，接下來就必須選擇連線的憑證來提供安全的連線，在選擇用戶端連線的部份，必須選擇已發行出來的公開憑證。

 

而在透過HTTPS建立用戶端連線的憑證，則是剛剛我們設定好的在DA上指定產生需求的憑證『HTTPS-Certificate』 
 

完成後如下圖。

步驟三：

步驟就要開始指定設定DirectAccess的本體了，請在網路網路位置伺服器執行於高可用性司服器的欄中輸入您DA-Svr的內部DNS尾碼資訊，在本例為https://da-svr.jason.local，輸入完成後，請點選驗證，會如下圖所示：告知是否驗證成功。 
 

驗證成功過後，請將名稱尾碼只留下Jason.local欄位即可。

若於碼尾上點擊兩下，會出現下列的主機名稱及ipv4位址的名稱檢驗。 
  
完成至最後一個關卡時，保持ip/首碼的空白即可。

 

接下來就是第四步驟囉!這個部可以直接點選後選擇完成即可，無需再另外設定。若欲設定端對端的驗證，才需要啟用本功能。 

完成設定後，直接於DirectAccess的安裝面下方有儲存及完成按鈕即可進行安裝及設定完成。 
 
 

 

穿裝完伺服器端的設定後，於DirectAccess的左手邊的功能中，可以看到有一個是監控，如果您的設定正常，您切換到該項後，會呈現下圖所示：

 

 

套用GPO

完成上面所有的設定後，請在DC伺服器上以系統管理者權限執行下面的指令以更新發行GPO：

GPUpdate /Forece

 

 

完成了GPO的更新發行，接下來就是再到Client去測試一下發行的GPO有沒有發佈出來，若是正在使用中的電腦，則直接在用戶端執行一次上面的指令即可。

接下來我們就要開始測試囉，以上的程序至少花掉我們四五個小時，準備接收驗收吧!!!