Direct Access技术之三：部署与配置DirectAccess

 

上篇

DA实验环境准备

 

实验拓扑

 

拓扑说明

以下计算机都包括在此拓扑：

 

拓扑子网：

实验环境建议使用DHCP，从而减少计算机CLIENT1漫游时手动更改IP配置的工作。

 

实验虚机如下：

 

主要步骤：

Step 1：配置DC1

? 创建一个安全组da-clients,将client1计算机加入；

? 配置DHCP作用域，为内网计算机分配TCP/IP参数；

? 配置域防火墙策略，为ICMPv4/6出入站开启例外；

? 部署企业CA，通过域策略为成员计算机自动申请证书；

 

Step 2：配置APP1

? APP1加入域，更新组策略；

? 配置成为内网一台文件服务器；

? 安装IIS，部署为一台WebServer；

? 确认计算机自动申请的证书，为上述网站绑定该证书；（注意自动申请的证书公用名为计算机名，所以访问名称要与其一致，这就是我们的NLS服务器）；

 

Step 3：配置EDGE1

? EDGE1加入域，更新组策略；

? 确认自动申请的计算机证书已经生效；

? 通过MMC控制台再申请一张用于IP-HTTPS连接的计算机证书，模板选择计算机，证书公用名设置为directaccess.sr.local（将来公网发布DA时也使用该名称）

 

Step 4：配置INET1

? 配置DNS，新建区域sr.local，新建主机记录directaccess对应IP地址131.107.0.2

? 新建区域msftncsi.com,新建主机记录dns指向131.107.255.255,新建主机记录www指向131.107.0.1（这部分用于在模拟环境中client1能使用NCSI网络连接状态指示功能，NCSI详见

? 配置IIS，在默认网站主目录下添加一文本文件ncsi.txt，内容为“Microsoft NCSI”

? 配置DHCP，是的client漫游到internet可以获取地址；

 

Step 5：配置Client1

? 将Client1加入域；

? 确认组策略生效；

? 测试内网APP1服务器的文件服务及web服务；

 

Step 6：配置NAT1(可选，用于模拟家庭网络)

? 启用NAT功能；

? 外网卡自动获取地址；

? 内网设置为192.168.137.1/24；

 

以上是DA部署前期准备的大致过程描述，大家作为参考。

可能有些文档有CA CRL的发布，不过从实验结果看，客户端默认不验证证书的吊销信息，故这步可先跳过。

当然，详细操作步骤也可参考微软官方手册

Direct-access step-by-step

下篇我们将重点看下DA服务器配置及客户端的验证