Win2008 R2之DA实战:域环境准备

云计算 虚拟化
Direct Access(以下简称DA)是Windos 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源!

Direct Access(以下简称DA)是Windos 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源!

仅仅这一句话的描述,是否已经足够以让你热血沸腾?是的,不需要VPN了,不需要Token了,不需要SmartCard了,不需要漫长的VPN拨号等待了!内网外网之间的穿越变得如此之简单!Bill Gates说什么来着,information at your finger tip。

这是一个大家企盼了很久的功能,这是一个让移动办公者手舞足蹈的功能。让我们看看Direct Access到底是何方神圣,我们从中是否能够获得实实在在的好处。

一. Direct Access功能概述

详解Direct Access连接

Direct Access功能克服了VPN的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IP v6技术中的一些先进特性做到了这一点。Direct Access使用IPsec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时,客户机建立一个通向DirectAccess Server的IP v6隧道连接。这个IP v6的隧道连接,可以在普通的IP v4网络上工作,如下图所示。DirectAccess Server承担了网关的角色,连接内网和外网之间。(图1)

 

#p#

二. 环境描述

在这个实验中,Direct Access部署需要以下条件:

软件配置:

" DC1:安装Windows server 2008 R2的域控制器,同时是DNS、DHCP、企业根角色。

" DA1:安装有Windows server 2008 R2的成员服务器,同时是Direct Access服务器,并且具备两块网卡。

" APP1:安装有Windows server 2008 R2的成员服务器,同时是应用程序服务器和网络本地服务器。

" INET1:安装有Windows server 2008 R2的独立服务器,作为Internet DNS、web和DHCP服务器。

" Client1:安装有Windows 7旗舰版,加入域,作为Direct Access客户端。

网络配置:

" DC1:10.0.0.1/24(CIDR表示法,同255.255.255.0)

" DA1:Intranet网卡10.0.0.2/24 DNS后缀:contoso.com

Internet网卡 131.107.0.2/24和131.107.0.3/24(DA服务器需要两个公网IP地址) DNS后缀:isp.example.com

DNS记录中添加别名记录:crl.contoso.com

注意:这里的DNS后缀必须设置,因为这是DA服务器配置的必须条件

" APP1:10.0.0.3/24 DNS记录中添加别名记录:nls.contoso.com

" INET1:131.107.0.1/24

" Client1:131.107.0.10/24

Direct Access 软件需求:

" DA客户端:Windows 7企业版或旗舰版,Windows server 2008 R2或者更高。

" DA 服务器:Windows server 2008 R2 或者更高,至少拥有两块网卡连接公网和内网。

" Active Directory:至少有基于Windows server 2008或者Windows server 2008 R2 的DC,并为GC角色,启用IPv6.Windows server 2008 R2的域或林功能级别不是必须的。

注意:此环境中所有服务器均使用Windows server 2008 R2企业版,客户端使用Windows 7旗舰版。(图2)

 

#p#

三. 前期准备:服务器配置

DC1配置

1. 安装ADDS服务,使用DCPROMO命令创建域:contoso.com,并且林功能级Windows server 2008 R2。(图3)

 

2. 设置DHCP中IPv4作用域范围:10.0.0.100/24---10.0.0.150/24 DNS指定10.0.0.1。

3. 安装一个企业根证书颁发机构,配置选项默认即可。

4. 为Direct Access Client电脑创建一个全局安全组,组名:DA_Clients。(图4)

 

#p#

5. 使用证书模板为web服务器定制证书。

打开MMC控制台,在【添加删除管理单元】中添加【证书模板】(图5)

 

选中【web服务器】,右击选择【复制模板】(图6)
 

 

选择模板支持的版本(图7)

 

定义新的证书名称为【Web Server 2008】(图8)

 

在【安全】选项卡中,将【Authenticated Users】的权限设置为完全控制,并且添加域计算机组,同样设置成完全控制。(图9)
 

 

在【请求处理】选项卡中,选中【允许导出私钥】(图10)

 

确定后,打开证书颁发机构,在【contoso-DC1-CA】中,点击【证书模板】,新建一个证书模板,添加刚创建的【Web Server 2008】(图11)

 

#p#

6. 在防火墙中启用ICMPv4和ICMPv6

接下来需要启用高级安全的Windows防火墙中ICMPv4和ICMPv6的入站和出站的回显信息。这些信息被基于Teredo-based DirectAccess客户端收发使用。

打开组策略管理器,新建一个名为【DA Policy】的GPO,编辑它,依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【高级安全Windows防火墙】-【入站规则】。点击【新建规则】,选择【自定义】(图12、13)

 

 

 

规则程序默认即可,在协议类型中,选择【ICMPv4】,点击【自定义】,选择【回显请求】(图14)
 

 

确定后,【作用域、操作、配置】默认设置即可,输入规则名称:Inbound ICMPv4 Echo Requests,完成规则。

ICMPv6入站规则设置同ICMPv4一致,唯一要注意的是协议类型处要选择【ICMPv6】。

入站规则创建完成后,两种协议出站规则也与入站规则大同小异,需要注意的是【操作】设置中,出站规则默认是【阻止连接】状态,要改为【允许连接】状态。(图15)

 

出站规则效果图(图16)
 

 

#p#

7. 将ISATAP从DNS默认阻止列表中移除

以管理员权限打开命令行,输入:dnscmd /config /globalqueryblocklist wpad 即可。(图17)
 

 

小贴士:ISATAP和6to4都是目前比较流行的自动建立隧道的过渡技术,都可以连接被IPv4隔绝的IPv6孤岛,都是通过将IPv4地址嵌入到IPv6地址当中,并将IPv6封包封装在IPv4中传送,在主机相互通信中抽出IPv4地址建立tunnel。

8. 配置CRL(Certificate Revocation List)发布设置

打开【证书颁发机构】,点击【contoso-DC1-DA】服务器属性,在【扩展】选项卡中【CRL分发点(CDP)】,添加新的分发点,位置输入【http://crl.contoso.com/crld/】,变量分别添加【】【】【】,结尾处添加【.crl】,确定即可。(图18)

 

选中刚创建好的分发点,勾选【包括在CRL中。客户端用它来寻找增量CRL的位置】和【包含在颁发的证书的CDP扩展中】。(图19)

 

再次点击【添加】,用来说明CRL的列表位置。【位置】输入【\\da1\crldist$\】此处为DA1中的隐藏共享文件夹,变量名依然勾选【<CAName>】【<CRLNameSuffix>】【<DeltaCRLAllowed>】,结尾处添加【.crl】。(图20)
 

 

确定后,针对当前分发点勾选【发布CRL到此为止】和【发布增量CRL到此位置】(图21)
 

 

此时,CRL扩展设定完成,确定后将会重启AD证书服务。

小贴士:关于为什么要设置CRL分发点。

DirectAccess 服务器为通过 IP-HTTPS 的连接使用的证书。由于 DirectAccess 客户端对 DirectAccess 服务器提交的 HTTPS 证书执行证书吊销检查,因此必须确保可通过 Internet 访问在此证书中配置的证书吊销列表 (CRL) 分发点。如果 DirectAccess 客户端无法访问这些 CRL 分发点,则基于 IP-HTTPS 的 DirectAccess 连接的身份验证会失败。有关为 Active Directory 证书服务 (AD CS) 配置 CRL 分发点的信息,请参阅"指定 CRL 分发点"(http://go.microsoft.com/fwlink/?LinkId=145848)。

9. 启用自动注册计算机证书

再次打开组策略编辑器,编辑【DA Policy】,依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【公钥策略】-【自动证书申请设置】-右击【新建】-【自动证书申请】,证书模板选择【计算机】即可。(图22)

 

至此,DC环境准备已经完成,下一篇,将继续介绍DA、网络位置服务器及客户端的环境准备。

【编辑推荐】

  1. Win2008 R2之DA实战:服务器部署篇
  2. Win2008 R2之DA实战:服务器环境准备篇
  3. Win2008 R2之DA实战:DC FOR NAP准备篇
     

 

 

 

 

 

责任编辑:王勇 来源: it168
相关推荐

2010-05-20 10:42:34

Win2008 R2DC FOR NAP

2010-05-20 10:25:12

Win2008 R2服务器环境

2010-05-20 10:12:22

Win2008 R2服务器

2009-06-29 17:29:19

Win2008

2010-04-29 10:36:20

2010-05-17 10:43:03

Windows Ser实战

2010-10-14 09:42:02

Win2008 R2Hyper-V

2009-10-30 09:37:27

Windows Ser

2010-03-29 15:42:33

迁移工具

2010-11-10 10:47:18

Win2008 R2 VDI

2010-03-30 16:54:53

升级Win2008 R

2012-07-10 09:50:55

SQL Server

2010-04-09 17:41:15

VPN构建

2012-05-16 11:21:24

2010-10-26 09:57:44

Windows Pow

2010-06-03 10:59:07

2010-08-05 11:39:19

Windows Ser迁移

2010-08-05 11:00:48

Windows Ser迁移

2011-08-11 10:38:23

域功能

2009-04-27 15:18:31

点赞
收藏

51CTO技术栈公众号