【IT168 虚拟化频道】Direct Access 称为直接访问，它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能，外网的用户可以在不需要建立VPN连接的情况下，高速、安全的从Internet直接访问公司防火墙之后的资源。

　　通过这个动手实验室，您可以了解到：掌握配置DirectAccess的基本条件、如何配置DirectAccess 服务器、在客户端计算机上如何检测DirectAccess。

　　先决条件

　　在开始这个实验之前，您必须：

　　" 了解Active Directory, 证书服务, 组策略和远程访问

　　" 熟悉IPv6, Teredo 和 4to6

　　" 能够执行基本的Active Directory管理任务

　　实验概述

　　该实验室是为负责实施DirectAccess的 IT专业人员提供了解决方案。这个实验提供给您实施一个基本的DirectAccess最终必要配置步骤的解决方案，包括网络连接配置、组件基础结构、和DirectAccess服务器的配置。 在本实验结束时，您将完成实现DirectAccess功能所需的步骤。

　　场景

　　Woodgrove Bank 是一家位于美国马里兰州巴尔的摩的投资银行。Woodgrove Bank 有一个总部并在很多地区有分支机构。这些分支机构由于规模较小所以没有专门的IT技术人员，并且这些分支机构都通过低速的广域网连接到总部。此外，许多Woodgrove Bank员工经常在这些分支机构、客户的办公室和家庭中使用用户帐户参加有关会议。Woodgrove Bank 面临着如下的全球挑战:

　　1. 要在这些机构中管理大量的服务器。

　　2. 需要减少的每个分支机构的运营成本。

　　3. 漫游和远程用户需要访问公司资源。

　　4. 管理大型复杂的Active Directory基础结构.

　　为了解决其中的一些挑战，Woodgrove Bank 已经决定使用Windows Server 2008 R2 和Windows 7中的DirectAccess 功能。通过实施DirectAccess, Woodgrove Bank 能够让用户从Internet使用安全的IPv6连接从任意地点访问内部资源，而无需昂贵且复杂的VPN连接。

　　虚拟机技术

　　这个实验中所用到的计算机都是通过使用Microsoft Hyper-V 来实现的。在您启动每个虚拟机之前，确保你应用了Start-Lab 快照。当您启动了虚拟机时，按CTRL+ALT+END 进入登录界面并使在实验手册中列出的凭据。

　　虚拟机环境介绍

　　该实验使用如下表所述的虚拟机。在您开始这个实验之前，您必须启动虚拟机并登录。在您启动其他虚拟机之前请确保BAL-DC-01 虚拟机已经完全启动。（图1）
 

　　本文将检查已经在这个环境中实施的DirectAccess 基础架构需求条件。

　　任务A：检查证书模板配置

　　步骤：

　　1、　" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。

　　2、在Start menu, 点击Server Manager.

　　3、在Server Manager, 展开 Roles 并点击Active Directory Certificate Services.

　　4、检查已经安装的Role Services.

　　5、" Certification Authority 和 Certification Authority Web Enrollment 是DirectAccess 的必要条件.

　　6、展开Active Directory Certificate Services.

　　7、点击 Certificate Templates.

　　8、在Certificate Templates 列表中, 双击Server and Workstation Authentication.

　　检查如下表中列出的属性:
 

　　关闭Server and Workstation Authentication Properties.

　　任务B：检查证书服务配置

　　步骤：

　　"   使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01并确保Server Manager 已经打开。

　　1. 在Server Manager, 展开 Roles/Active Directory Certificate Services/Woodgrovebank-Internal-Enterprise-Root 并点击Certificate Templates.

　　2. 检查Server and Workstation Authentication 已列出.

　　" 检查Domain Certificate Auto-Enrollment 配置

　　" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。

　　3. 在Start 菜单, 在 Administrative Tools中, 点击 Group Policy Management.

　　4. 依次展开Forest: woodgrovebank.com/Domains/woodgrovebank.com 并点击Default Domain Policy.

　　5. 单击 OK.

　　6. 在Action 菜单, 点击Edit.

　　7. 依次展开Computer Configuration/Policies/Windows Settings/Security Settings/Public Key Policies.

　　8. 双击Certificate Services Client - Auto-Enrollment.

　　9. 检查Configuration Model 是 Enabled，并且所有复选框都被选中， 然后点击OK.