Win2008 R2之DA實戰(zhàn)：域環(huán)境準(zhǔn)備

2010-05-19 09:20:41

云計算

虛擬化 Direct Access(以下簡稱DA)是Windos 7和Windows Server 2008 R2中的一項新功能。憑借這個功能，外網(wǎng)的用戶可以在不需要建立VPN連接的情況下，高速、安全的從Internet直接訪問公司防火墻之后的資源!

創(chuàng)新互聯(lián)專注于企業(yè)成都全網(wǎng)營銷、網(wǎng)站重做改版、思明網(wǎng)站定制設(shè)計、自適應(yīng)品牌網(wǎng)站建設(shè)、H5技術(shù)、購物商城網(wǎng)站建設(shè)、集團(tuán)公司官網(wǎng)建設(shè)、外貿(mào)營銷網(wǎng)站建設(shè)、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計等建站業(yè)務(wù)，價格優(yōu)惠性價比高，為思明等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

Direct Access(以下簡稱DA)是Windos 7和Windows Server 2008 R2中的一項新功能。憑借這個功能，外網(wǎng)的用戶可以在不需要建立VPN連接的情況下，高速、安全的從Internet直接訪問公司防火墻之后的資源!

僅僅這一句話的描述，是否已經(jīng)足夠以讓你熱血沸騰?是的，不需要VPN了，不需要Token了，不需要SmartCard了，不需要漫長的VPN撥號等待了!內(nèi)網(wǎng)外網(wǎng)之間的穿越變得如此之簡單!Bill Gates說什么來著，information at your finger tip。

這是一個大家企盼了很久的功能，這是一個讓移動辦公者手舞足蹈的功能。讓我們看看Direct Access到底是何方神圣，我們從中是否能夠獲得實實在在的好處。

一. Direct Access功能概述

詳解Direct Access連接

Direct Access功能克服了VPN的很多局限性，它可以自動地在外網(wǎng)客戶機和公司內(nèi)網(wǎng)服務(wù)器之間連接雙向的連接。Direct Access通過利用IP v6技術(shù)中的一些先進(jìn)特性做到了這一點。Direct Access使用IPsec進(jìn)行計算機之間的驗證，這也允許了IT部門在用戶登錄之前進(jìn)行計算機的管理。

Direct Access工作時，客戶機建立一個通向DirectAccess Server的IP v6隧道連接。這個IP v6的隧道連接，可以在普通的IP v4網(wǎng)絡(luò)上工作，如下圖所示。DirectAccess Server承擔(dān)了網(wǎng)關(guān)的角色，連接內(nèi)網(wǎng)和外網(wǎng)之間。(圖1)

#p#

二. 環(huán)境描述

在這個實驗中，Direct Access部署需要以下條件：

軟件配置：

" DC1：安裝Windows server 2008 R2的域控制器，同時是DNS、DHCP、企業(yè)根角色。

" DA1：安裝有Windows server 2008 R2的成員服務(wù)器，同時是Direct Access服務(wù)器，并且具備兩塊網(wǎng)卡。

" APP1：安裝有Windows server 2008 R2的成員服務(wù)器，同時是應(yīng)用程序服務(wù)器和網(wǎng)絡(luò)本地服務(wù)器。

" INET1：安裝有Windows server 2008 R2的獨立服務(wù)器，作為Internet DNS、web和DHCP服務(wù)器。

" Client1：安裝有Windows 7旗艦版，加入域，作為Direct Access客戶端。

網(wǎng)絡(luò)配置：

" DC1：10.0.0.1/24(CIDR表示法，同255.255.255.0)

" DA1：Intranet網(wǎng)卡10.0.0.2/24 DNS后綴：contoso.com

Internet網(wǎng)卡 131.107.0.2/24和131.107.0.3/24(DA服務(wù)器需要兩個公網(wǎng)IP地址) DNS后綴：isp.example.com

DNS記錄中添加別名記錄：crl.contoso.com

注意：這里的DNS后綴必須設(shè)置，因為這是DA服務(wù)器配置的必須條件

" APP1：10.0.0.3/24 DNS記錄中添加別名記錄：nls.contoso.com

" INET1：131.107.0.1/24

" Client1：131.107.0.10/24

Direct Access 軟件需求：

" DA客戶端：Windows 7企業(yè)版或旗艦版，Windows server 2008 R2或者更高。

" DA 服務(wù)器：Windows server 2008 R2 或者更高，至少擁有兩塊網(wǎng)卡連接公網(wǎng)和內(nèi)網(wǎng)。

" Active Directory：至少有基于Windows server 2008或者Windows server 2008 R2 的DC，并為GC角色，啟用IPv6.Windows server 2008 R2的域或林功能級別不是必須的。

注意：此環(huán)境中所有服務(wù)器均使用Windows server 2008 R2企業(yè)版，客戶端使用Windows 7旗艦版。(圖2)

#p#

三. 前期準(zhǔn)備：服務(wù)器配置

DC1配置

1. 安裝ADDS服務(wù)，使用DCPROMO命令創(chuàng)建域：contoso.com，并且林功能級Windows server 2008 R2。(圖3)

2. 設(shè)置DHCP中IPv4作用域范圍：10.0.0.100/24---10.0.0.150/24 DNS指定10.0.0.1。

3. 安裝一個企業(yè)根證書頒發(fā)機構(gòu)，配置選項默認(rèn)即可。

4. 為Direct Access Client電腦創(chuàng)建一個全局安全組，組名：DA_Clients。(圖4)

#p#

5. 使用證書模板為web服務(wù)器定制證書。

打開MMC控制臺，在【添加刪除管理單元】中添加【證書模板】(圖5)

選中【web服務(wù)器】，右擊選擇【復(fù)制模板】(圖6)
 

選擇模板支持的版本(圖7)

定義新的證書名稱為【W(wǎng)eb Server 2008】(圖8)

在【安全】選項卡中，將【Authenticated Users】的權(quán)限設(shè)置為完全控制，并且添加域計算機組，同樣設(shè)置成完全控制。(圖9)
 

在【請求處理】選項卡中，選中【允許導(dǎo)出私鑰】(圖10)

確定后，打開證書頒發(fā)機構(gòu)，在【contoso-DC1-CA】中，點擊【證書模板】，新建一個證書模板，添加剛創(chuàng)建的【W(wǎng)eb Server 2008】(圖11)

#p#

6. 在防火墻中啟用ICMPv4和ICMPv6

接下來需要啟用高級安全的Windows防火墻中ICMPv4和ICMPv6的入站和出站的回顯信息。這些信息被基于Teredo-based DirectAccess客戶端收發(fā)使用。

打開組策略管理器，新建一個名為【DA Policy】的GPO，編輯它，依次展開【計算機配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【高級安全Windows防火墻】-【入站規(guī)則】。點擊【新建規(guī)則】，選擇【自定義】(圖12、13)

規(guī)則程序默認(rèn)即可，在協(xié)議類型中，選擇【ICMPv4】，點擊【自定義】，選擇【回顯請求】(圖14)
 

確定后，【作用域、操作、配置】默認(rèn)設(shè)置即可，輸入規(guī)則名稱：Inbound ICMPv4 Echo Requests，完成規(guī)則。

ICMPv6入站規(guī)則設(shè)置同ICMPv4一致，唯一要注意的是協(xié)議類型處要選擇【ICMPv6】。

入站規(guī)則創(chuàng)建完成后，兩種協(xié)議出站規(guī)則也與入站規(guī)則大同小異，需要注意的是【操作】設(shè)置中，出站規(guī)則默認(rèn)是【阻止連接】狀態(tài)，要改為【允許連接】狀態(tài)。(圖15)

出站規(guī)則效果圖(圖16)
 

#p#

7. 將ISATAP從DNS默認(rèn)阻止列表中移除

以管理員權(quán)限打開命令行，輸入：dnscmd /config /globalqueryblocklist wpad 即可。(圖17)
 

小貼士：ISATAP和6to4都是目前比較流行的自動建立隧道的過渡技術(shù)，都可以連接被IPv4隔絕的IPv6孤島，都是通過將IPv4地址嵌入到IPv6地址當(dāng)中，并將IPv6封包封裝在IPv4中傳送，在主機相互通信中抽出IPv4地址建立tunnel。

8. 配置CRL(Certificate Revocation List)發(fā)布設(shè)置

打開【證書頒發(fā)機構(gòu)】，點擊【contoso-DC1-DA】服務(wù)器屬性，在【擴(kuò)展】選項卡中【CRL分發(fā)點(CDP)】，添加新的分發(fā)點，位置輸入【http://crl.contoso.com/crld/】,變量分別添加，結(jié)尾處添加【.crl】，確定即可。(圖18)

選中剛創(chuàng)建好的分發(fā)點，勾選【包括在CRL中?？蛻舳擞盟鼇韺ふ以隽緾RL的位置】和【包含在頒發(fā)的證書的CDP擴(kuò)展中】。(圖19)

再次點擊【添加】，用來說明CRL的列表位置?！疚恢谩枯斎搿綷\da1\crldist$\】此處為DA1中的隱藏共享文件夾，變量名依然勾選【】【】【】，結(jié)尾處添加【.crl】。(圖20)
 

確定后，針對當(dāng)前分發(fā)點勾選【發(fā)布CRL到此為止】和【發(fā)布增量CRL到此位置】(圖21)
 

此時，CRL擴(kuò)展設(shè)定完成，確定后將會重啟AD證書服務(wù)。

小貼士：關(guān)于為什么要設(shè)置CRL分發(fā)點。

DirectAccess 服務(wù)器為通過 IP-HTTPS 的連接使用的證書。由于 DirectAccess 客戶端對 DirectAccess 服務(wù)器提交的 HTTPS 證書執(zhí)行證書吊銷檢查，因此必須確保可通過 Internet 訪問在此證書中配置的證書吊銷列表 (CRL) 分發(fā)點。如果 DirectAccess 客戶端無法訪問這些 CRL 分發(fā)點，則基于 IP-HTTPS 的 DirectAccess 連接的身份驗證會失敗。有關(guān)為 Active Directory 證書服務(wù) (AD CS) 配置 CRL 分發(fā)點的信息，請參閱"指定 CRL 分發(fā)點"(http://go.microsoft.com/fwlink/?LinkId=145848)。

9. 啟用自動注冊計算機證書

再次打開組策略編輯器，編輯【DA Policy】，依次展開【計算機配置】-【策略】-【W(wǎng)indows 設(shè)置】-【安全設(shè)置】-【公鑰策略】-【自動證書申請設(shè)置】-右擊【新建】-【自動證書申請】，證書模板選擇【計算機】即可。(圖22)

至此，DC環(huán)境準(zhǔn)備已經(jīng)完成，下一篇，將繼續(xù)介紹DA、網(wǎng)絡(luò)位置服務(wù)器及客戶端的環(huán)境準(zhǔn)備。

【編輯推薦】

1. Win2008 R2之DA實戰(zhàn)：服務(wù)器部署篇
2. Win2008 R2之DA實戰(zhàn)：服務(wù)器環(huán)境準(zhǔn)備篇
3. Win2008 R2之DA實戰(zhàn)：DC FOR NAP準(zhǔn)備篇
    

當(dāng)前名稱：Win2008R2之DA實戰(zhàn)：域環(huán)境準(zhǔn)備
標(biāo)題網(wǎng)址：http://www.dlmjj.cn/article/djegees.html