DirectAccess部署(二)之双网卡环境 域控制器配置(多图!)

实验拓扑

 

前期准备

今天我们只做北京公司的DA部署，北京公司我们采用双网卡的部署方式，外网出口直接就用路由器做路由出去，不整端口映射了，反正实现的效果是一样的，在具体的实施过程中，如果外网IP有限时，可以考虑用单网卡。初看DirectAccess的部署方式是很乱，但是理解之后就好了。强烈建议成功部署之后，一定要仔仔细细的啃几遍Technet的相关部署环境说明！

微软官方部署说明：http://technet.microsoft.com/en-us/library/jj134148.aspx

NAT网络   Teredo       UDP  IN/OUT  3544

ADSL拨号  6to4           IP      IN/OUT   41

NAT网络    ISATAP       IP      IN/OUT   41

任何网络    IP-HTTPS    TCP    IN/OUT  443

 

服务器要求：

1、域控           Server 2008 R2系统及以上，开启IPv6，防火墙允许ICMPv4/ICMPv6回显请求

2、DA服务器    Server 2008 R2系统及以上，开启IPv6，防火墙允许ICMPv4/ICMPv6回显请求，双网卡部署时需要两块网卡及两个连续外网IP（注：只要与内网IP不在同一个网段即可）

客户机要求        开启IPv6，Windows 7 旗舰版、企业版，Windows 8企业版

 

部署概览

域控制器

主机名：WIN2K8-2   IP地址：192.168.0.62/24   网关：192.168.0.1

安装域服务角色--IIS角色--证书服务器角色

配置CRL（Certificate Revocation List证书吊销列表）--新建NLS服务器A记录--配置域策略--新建证书模板--建立DA客户端安全组

APP服务器

主机名：WIN2K8-3 IP地址：192.168.0.63/24   网关：192.168.0.1

安装IIS--勾选“IP和域限制”

DA服务器

主机名：WIN2K12-5 IP地址：LAN 192.168.0.75/24   网关：192.168.0.1  WAN 172.16.1.1/16 网关：172.16.1.254

刷新策略--安装DirectAccess角色--申请DA服务器证书--运行设置向导配置服务器

客户端

刷新策略--新建Hosts记录--移到外网测试

 

开始部署

配置域控制器

安装相应角色，我的域名是CORP.COM

开启IPv6支持

打开证书颁发机构，右击证书服务器选属性，我们修改一下它的扩展属性将CRL加入到扩展属性中

在做这个之前，我们先转到DA服务器上，新建一个共享目录，并将目录发布到IIS中

在C盘新建CRL文件夹（这个文件夹占用空间很小 放在C盘没什么影响），共享名为CRL$， 然后添加证书服务器共享权限设置为完全控制，两次确定

在安全选项卡中，把证书服务器也添加进来，并设置本地NTFS权限为完全控制，这样才能保证发布CRL的时候目录是可写的

在DA服务器上将IIS安装好，全部默认设置即可

安装成功后，开始发布虚拟目录

点测试设置时会发现有一个警告说没有权限访问c:\crl目录，这里不用管，如果有强迫症一定要改的话也不是不可以，我用的办法是把IIS的运行账号换了，然后把本地目录的权限给到这个账号就行了。 

双击配置编辑器改几个属性

另外把这两个的AllowDoubleEscaping的值都改为True，不过具体为什么要改 没有查到相关说明。每改完一个之都要点右侧的应用才能生效

上面做完之后，我们回到域控上继续做发布CRL操作

点添加 输入图中的URL地址并勾上下面两个复选框（注：稍后我们在DA服务器上的IIS中发布这个CRL列表）

设置CRL地址存储位置并勾上下面两个复选框（注：同样这个目录现在是不存在的，稍后的操作中将新建该共享目录）

这里和网上其他资料有点不同，是因为之前用插入变量的方式发现无法成功发布CRL所以我才改成了具体的文件

右击吊销的证书，开始发布，选择“新的CRL”然后确定，成功发布的话是没有任何显示的，可以到刚才我们在DA服务器建立的目录下，就可以看到CA_ROOT.crl这个文件。

打开DNS管理器新建nls主机记录，指向我们的NLS（网络位置服务器）服务器IP。NLS是客户端用来判断自己是处在内网还是外网环境，如果判断错误，客户机会关闭DirectAccess客户端服务而不建立隧道。

现在我们打开组策略管理器，创建并链接到corp.com这个域，我们做两个事情，一个是自动注册证书，另一个是允许ICMPv4/ICMPv6回显请求

新建入站规则，规则类型选自定义

协议类型选ICMPv4 然后点自定义

作用域默认，操作选允许连接

将名称设置为ICMPv4 Echo Request ，其余都默认  点完成

同样的继续新建ICMPv6，点自定义  勾上里面的“回显请求”操作还是允许连接 ，名字为ICMPv6 Echo Request

同样的新建允许ICMPv4/ICMPv6出站连接规则

配置允许证书自动注册

右击证书模板选管理

在证书模板控制台中，找到工作站身份验证模板，右击 复制模板，选Windows Server 2008 Enterprise

修改客户端证书模板属性

复制Web服务器模板，

证书模板做好了，我们将证书模板发布出来

点确定即可

然后在域里建立一个DA客户端安全组，只有这个组里的计算机才能使用DA