一步一步DirectAccess

百科--------------------------------------------------------------------------------------------

Direct Access 称为直接访问，它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能，外网的用户可以在不需要建立×××连接的情况下，高速、安全的从Internet直接访问公司防火墙之后的资源。

DirectAccess 网络连接示意图

Direct Access功能克服了×××的很多局限性，它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IPv6技术的一些特性做到这点。Direct Access使用IPSec进行计算机之间的验证，这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时，客户机建立一个通向DirectAccess 服务器的IPv6隧道连接。这个IPv6的隧道连接，可以在普通的IPv4网络上工作，如图所示。DirectAccess 服务器承担了网关的角色，连接内网和外网之间。

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DC 192.168.1.66 xin.xinn.com

DA 192.168.1.67 sr2.xinn.com 双网卡131.107.0.88

win7 一台,3台主机加入域xinn.com中

1DC 上建立全局安全组DAClient,

 

2加计算机win7客户端，用户lucy为成员

3建反向查找记录1.168.192

4更新其他主机的ptr,tick prt option

5

建2个A记录 ISATAP/CRL都指向DA内部网卡

6注册表中只阻止wpad， 不阻止ISATAP

Dnscmd /config /gloalqueryblocklist wpad.

7装CA服务（企业）

8管理模板-复制-起模板名字DA moban-请求处理(允许导出私钥)

9安全tab中,选注册-自动注册给计算机(domain computers)和所有用户(authentificated users)

10选择刚才建立的模板DA moban

下面证书撤销列表(外网可访问)

11

外网域名

12自动注册(组策略)

启用 tick 2 option

13允许IPV4,V6回显-添加规则-自定义-icmpv4/6-允许连接（出入都是），出入站各2条

14配DA

尚未加入域，2网卡-内网加内网DNS后缀，外网加俩个连续IP和外网域名加在DNS后缀

加入域

15装iis角色，加ip和域限制选项

16

目录浏览-启用

17配置编辑器-下图-第一个选项false改为true-应用

18察看

19网站绑定，加https选择上述证书

20

21到DC上发布后，

到DA中

22

DA-申请证书

加公用名/DNS各4条

23加个友好名称

24添加功能

25

26步骤一

27步骤二

28步骤3

删除

29

步骤4直接配置完成

保存-完成-应用

30

域中所有计算机gpupdate，服务ip helper重启

31 netsh namespace show policy

上图说明错误

到DA上做：

Netsh namespace show effective

真机上建新区域，指向xinhome.com

改真机的ip-虚拟机133…..

Win7改成公网后设置