七、安装DA及配置DA
在DA上安装一个IP-HTTPS证书。该证书用于当客户端通过HTTPS连接是作为认证需求。运行窗口中输入mmc,确认后打开控制台,点击“File”,选则“Add/Remove Snap-in”
选中“Certificates”,点击“Add”,选则“Computer account”
选中“Local Computer”,点击“Finish”
依次展开Certificates—》Personal—》Certificates并右击,选则All Tasks子菜单“Request New Certificate”
勾选“Web Server 2012 R2”,并点击“More Information is required……”
Subject name下类型选择“Common name”,值填写DirectAccess.sxleilong.com,然后点击“Add”,备用名称下类型选择“DNS”,值填写与上面相同,并进行添加
切换到“General”选项卡,填写Friendly name为IP-HTTPS Certificate
完成以上操作后,点击“注册”,直至出现如下成功界面
点击关闭控制台,此时会提示是否需要保存设置,点击“No”
在DA服务器上安装Remote Access服务器角色。勾选“Remote Access”,下一步
勾选“DirectAccess and ***(RAS)”,下一步
直到提示安装成功。点击“Openthe Getting Started Wizard”,下一步
直到提示安装成功。点击“Openthe Getting Started Wizard”,下一步
选中“Edge”,系统会自动识别Public name,下一步
(说明:以下2步也可以先跳过,后续再进行配置)点击“here”,再点击Remote Clients前的“Change”,添加之前在域控上创建的DA-Clients组,删除其它的组,并去掉勾选“Enable DirectAccess for mobile computers only”
变更DirectAccess Connection name,点击Finish
直到最终配置远程访问成功
配置DirectAccess。
打开远程管理控制台,选中“DirectAccessand ***”,然后点击“Edit”
勾选“Deploy full DirectAccess for client access and remote management”,下一步
由于前面已经做过设定,所以直接下一步
采用默认,下一步
点击Step2下的“Edit”
核对一下看是否选中“Edge”,另外Public name地址为:DirectAccess.sxleilong.com,如果无误,下一步
在内网和公网这块,务必核对看是否IP地址对应,IP-HTTPS连接这里默认会自动选中“CN=DirectAccess.sxleilong.com”,下一步
采用默认,下一步
勾选“Use computer certificates”,点击“Browse”,选中CA证书,我这里是corp-APP1-CA
点击Step3下的“Edit”
勾选“The network location server is deployed on a remote web server”,并填写nls的地址:https://nls.corp.sxleilong.com,点击“Validate”,下一步
采用默认,下一步
采用默认,下一步
采用默认,下一步。
说明:如果域中有System Center Configuration Manager Server,且处于关机状,要么将其开机,要么从管理服务器组中移除。
配置完成DirectAccess后显示如下。
说明:有个Network adapters的警告,目前只有2012服务器会有,2008不会出现警告。
处理警告。
以管理员身份打开命令提示符窗口
输入以下命令,并回车
netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface=”Corpnet”
再次查看网络适配器警告已经消除
配置组策略设置。
在DirectAccess服务器上,运行命令gpmc.msc打开组策略管理控制台,依次展开Forest—》Domains—》corp.sxleilong.com—》Group Policy Objects,选中DirectAccess Client Settings,确保该策略只应用到之前创建的DA-Clients群组
DirectAccess Server Settings只应用到DA服务器
输入命令wf.msc打开防火墙设置
确保Domain Profile和Public Profile处于Active状态,注意:DirectAccess要求防火墙必须开启。
选中“Connection Security Rules”,以下2条规则中第一条规则用来建立内网通道,而第二条规则用于建立基础设施通道。
本文出自 “Ray” 博客,请务必保留此出处http://sxleilong.blog.51cto.com/5022169/1357454