当前位置:网站首页 > Windows运维 > 正文

部署与配置DirectAccess

作者:jinxijing发布时间:2019-04-15分类:Windows运维浏览:343


导读:部署与配置DirectAccess上篇DA实验环境准备 实验拓扑 拓扑说明以下计算机都包括在此拓扑: 拓扑子网:...

部署与配置DirectAccess

上篇

DA实验环境准备

 实验拓扑

 拓扑说明

以下计算机都包括在此拓扑:

 拓扑子网:

实验环境建议使用DHCP,从而减少计算机CLIENT1漫游时手动更改IP配置的工作。

 实验虚机如下:

主要步骤:

Step 1:配置DC1

创建一个安全组da-clients,将client1计算机加入;

配置DHCP作用域,为内网计算机分配TCP/IP参数;

配置域防火墙策略,为ICMPv4/6出入站开启例外;

部署企业CA,通过域策略为成员计算机自动申请证书;

 Step 2:配置APP1

APP1加入域,更新组策略;

配置成为内网一台文件服务器;

安装IIS,部署为一台WebServer;

确认计算机自动申请的证书,为上述网站绑定该证书;(注意自动申请的证书公用名为计算机名,所以访问名称要与其一致,这就是我们的NLS服务器);

 Step 3:配置EDGE1

EDGE1加入域,更新组策略;

确认自动申请的计算机证书已经生效;

通过MMC控制台再申请一张用于IP-HTTPS连接的计算机证书,模板选择计算机,证书公用名设置为directaccess.sr.local(将来公网发布DA时也使用该名称)

 Step 4:配置INET1

配置DNS,新建区域sr.local,新建主机记录directaccess对应IP地址131.107.0.2

新建区域msftncsi.com,新建主机记录dns指向131.107.255.255,新建主机记录www指向131.107.0.1(这部分用于在模拟环境中client1能使用NCSI网络连接状态指示功能,NCSI详见

配置IIS,在默认网站主目录下添加一文本文件ncsi.txt,内容为"Microsoft NCSI"

配置DHCP,是的client漫游到internet可以获取地址;

 Step 5:配置Client1

将Client1加入域;

确认组策略生效;

测试内网APP1服务器的文件服务及web服务;

 Step 6:配置NAT1(可选,用于模拟家庭网络)

启用NAT功能;

外网卡自动获取地址;

内网设置为192.168.137.1/24;

 以上是DA部署前期准备的大致过程描述,大家作为参考。

可能有些文档有CA CRL的发布,不过从实验结果看,客户端默认不验证证书的吊销信息,故这步可先跳过。

当然,详细操作步骤也可参考微软官方手册

Direct-access step-by-step