实验拓扑
部署概览
域控制器
主机名:WIN2K8-2 IP地址:192.168.0.62/24 网关:192.168.0.1
安装域服务角色--IIS角色--证书服务器角色
配置CRL(Certificate Revocation List证书吊销列表)--新建NLS服务器A记录--配置域策略--新建证书模板--建立DA客户端安全组
APP服务器
主机名:WIN2K8-3 IP地址:192.168.0.63/24 网关:192.168.0.1
安装IIS--勾选“IP和域限制”
DA服务器
主机名:WIN2K12-5 IP地址:LAN 192.168.0.75/24 网关:192.168.0.1 WAN 172.16.1.1/16 网关:172.16.1.254
刷新策略--安装DirectAccess角色--申请DA服务器证书--运行设置向导配置服务器
客户端
刷新策略--新建Hosts记录--移到外网测试
配置APP服务器
在APP服务器WIN2K8-3上打开服务器管理控制台,安装IIS角色,并选上“IP和域限制”功能(该功能是提供NLS服务的功能 我们这个环境中,是用APP这一台作为NLS服务器)
在运行中,输入mmc打开控制台管理器,在文件菜单中选“添加/删除管理单元”双击“证书”选择“计算机账户”,然后下一步 完成 确定~~~
点“注册此证书需要详细信息。。”设置 公用名及DNS名同为nls.corp.com,然后点添加 确定
点注册,等待注册成功后点完成即可
点添加 将证书nls.corp.com绑定到所有本机IP的443端口 确定。
到这里 APP服务器+NLS服务器就配置好了,接下来配置DA服务器。如果生产环境中NLS服务器在其他的服务器上,则按你的需要申请和绑定相应的证书即可。
配置DA服务器
在DA服务器WIN2K12-5上打开服务器管理器添加DirectAccess角色
勾选远程访问角色,点添加功能 下一步
保持默认,然后下一步
角色添加完之后,我们为DA申请证书,用来建立隧道时通信加密
在运行中,输入mmc打开控制台管理器,在文件菜单中选“添加/删除管理单元”双击“证书”选择计算机账户,然后下一步 完成 确定~~~
点进去配置证书属性
配置公用名、DNS名同为da.examole.com 然后点添加
然后点注册,等待注册成功即可
检查刚才申请到的证书,发现CRL已经可以看到了
有了证书后,就把证书绑定到IIS网站上
万事具备,打开DirectAccess控制台运行配置向导
***就不配了 DA就是用来取代它的
这里总共有四步,一步步来就可以了,点步骤1的配置
按默认的点下一步,选择这一项可以支持更多的功能,比如NAP。
将之前我们新建的安全组加入进来,作为DA客户端组,此时我们还没在组中加入任何计算机
这里我改了DirectAccess连接名称
点步骤2的配置,这里默认服务器会选上“位于边缘设备之后”。公用名称填刚才申请的证书公用名da.example.com,这个地址是需要在外网能解析的,并且是和我们申请的证书是同样的名字。
这里默认就可以了 下一步
这里选择我们CA服务器的根证书作为中间证书,来验证通信加密证书,这里要记得勾上“使Windows 7客户端计算机能够通过DirectAccess进行连接”,否则Windows 7 则无法正常通过DA服务器访问内网!
现在进入第三步的配置(注:这里要注册的是这个URL必须是https开头,并且NLS服务器上的证书公用名要和这里是一样的不能错) 然后下一步
这里保持默认即可,但是如果公网的域名和内网的域名一样,都是用的corp.com,那么就要把DA服务器的FQDN添加到这里。意思是说这个FQDN不用内网的DNS服务器解析,因为DA的客户端策略中会告诉客户端内网的域名是什么,例如NLS服务器是不应该能让外网的客户端访问的,不然会导致客户端判断网络失误从而连接不上DA服务器。我这里把它DA也加到列表了,不然会在后面应用配置的时候有个警告。 下一步
这里实现一个功能,允许外网客户端通过短名称也就是主机名来访问内网服务器。并且还支持多个域! 只要把相应的DNS后缀添加进来即可! “管理” 让它默认不配置 下一步 完成
第四步配置是访问控制以及是否加密的配置,这里就不动它算了 默认可以访问所有内网资源并且不加密 点完成
点左下角的“完成”按钮生成配置汇总
点应用开始应用配置~~ 很顺利~ 一次就过~警告都没~
打开远程访问管理控制台,看到这里状态不可用,这个没关系,它还没来的及刷新状态。服务器活动状态的刷新间隔为300秒,客户端活动状态刷新间隔是60秒。。 这么时间确实是很烦人。。
等了老半天之后 终于全绿了~ 胜利在望!
今天先到这里吧~ 时候不早了,明天再测试客户端吧!