【IT168 虚拟化频道】Direct Access 称为直接访问,它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。
通过这个动手实验室,您可以了解到:掌握配置DirectAccess的基本条件、如何配置DirectAccess 服务器、在客户端计算机上如何检测DirectAccess。
先决条件
在开始这个实验之前,您必须:
" 了解Active Directory, 证书服务, 组策略和远程访问
" 熟悉IPv6, Teredo 和 4to6
" 能够执行基本的Active Directory管理任务
实验概述
该实验室是为负责实施DirectAccess的 IT专业人员提供了解决方案。这个实验提供给您实施一个基本的DirectAccess最终必要配置步骤的解决方案,包括网络连接配置、组件基础结构、和DirectAccess服务器的配置。 在本实验结束时,您将完成实现DirectAccess功能所需的步骤。
场景
Woodgrove Bank 是一家位于美国马里兰州巴尔的摩的投资银行。Woodgrove Bank 有一个总部并在很多地区有分支机构。这些分支机构由于规模较小所以没有专门的IT技术人员,并且这些分支机构都通过低速的广域网连接到总部。此外,许多Woodgrove Bank员工经常在这些分支机构、客户的办公室和家庭中使用用户帐户参加有关会议。Woodgrove Bank 面临着如下的全球挑战:
1. 要在这些机构中管理大量的服务器。
2. 需要减少的每个分支机构的运营成本。
3. 漫游和远程用户需要访问公司资源。
4. 管理大型复杂的Active Directory基础结构.
为了解决其中的一些挑战,Woodgrove Bank 已经决定使用Windows Server 2008 R2 和Windows 7中的DirectAccess 功能。通过实施DirectAccess, Woodgrove Bank 能够让用户从Internet使用安全的IPv6连接从任意地点访问内部资源,而无需昂贵且复杂的VPN连接。
虚拟机技术
这个实验中所用到的计算机都是通过使用Microsoft Hyper-V 来实现的。在您启动每个虚拟机之前,确保你应用了Start-Lab 快照。当您启动了虚拟机时,按CTRL+ALT+END 进入登录界面并使在实验手册中列出的凭据。
虚拟机环境介绍
该实验使用如下表所述的虚拟机。在您开始这个实验之前,您必须启动虚拟机并登录。在您启动其他虚拟机之前请确保BAL-DC-01 虚拟机已经完全启动。
本文将完成实现DirectAccess的基础结构服务的配置 。
任务A:为DirectAccess创建安全组
步骤:
这个任务中您将创建一个新的安全组。
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。
1. 在Start菜单, Administrative Tools中, 点击 Active Directory Users and Computers.
2. 在 Active Directory Users and Computers, 展开woodgrovebank.com 并点击Managed Objects.
3. 创建一个名为 DA Clients 的 Global Group 。
4. 添加BAL-CLI-01 到DA Clients 组.
任务B:配置DNS
步骤:
DNS配置的三个必要条件:您必须能够实现全局的ISATAP 名称解析, 您必须为ISATAP创建一个DNS记录,您必须创建一个有效的反向查询区域。
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。
1. 在Start 菜单, Administrative Tools中, 点击 DNS.
2. 依次展开BAL-DC-01/Forward Lookup Zones 并点击woodgrovebank.com.
3. 在Action 菜单, 点击New Host (A or AAAA).
4. 在 Name下, 输入 ISATAP
5. 在IP address下,输入192.168.1.3
" 这个地址是DirectAccess 服务器上的internal (内部)地址.
6. 点击Add Host 并点击OK.
7. 点击Done.
8. 依次展开BAL-DC-01/Reverse Lookup Zones.
9. 在Action 菜单, 点击 New Zone.
10. 点击 Next 四次直到出现Reverse Lookup Zone Name 选项.
11. 在 Network ID下, 输入 192.168.1 并点击Next.
12. 点击Next 后点击Finish.
13. 在Start 菜单, 点击Run, 输入 Regedit 并按ENTER.
14. 在Registry Editor, 依次展开HKLM:\System\Current Control Set\Services\DNS\Parameters.
15. 双击GlobalQueryBlockList.
16. 在Edit Multi-String 对话框, 删除ISATAP, 这样只存在WPAD, 并点击OK.
17. 关闭 Registry Editor.
18. 在Start 菜单, 点击Command Prompt.
19. 在Command Prompt, 输入如下命令并按ENTER:
Net stop DNS && Net Start DNS
任务C:为DirectAccess 配置DNS 名称空间
步骤:
为了实现DirectAccess 客户端能够连接到DirectAccess 服务器, 他们必须能够访问一个有效的证书吊销列表。
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01并确保DNS Manager 已经打开。
1. 在 DNS Manager, 依次展开Forward Lookup Zones.
2. 在Action 菜单, 点击 New Zone.
3. 点击 Next.
4. 点击 Primary Zone 后点击Next.
5. 点击Next.
6. 在 Zone Name下, 输入 woodgrovebankinc.com 后点击Next.
7. 点击Next 后点击Finish.
8. 点击 woodgrovebankinc.com 后在 Action 菜单,点击New Host (A or AAAA).
9. 在Name下, 输入 crl
10. 在 IP address下, 输入 192.168.1.3
" 这个地址是服务器上的内部地址并将用于发布CRL。
11. 点击Add Host, 点击 OK 后点击Done.
12. 关闭DNS Manager.
任务D:为CRL分发配置Web 服务器
步骤:
这个任务中,您将在DirectAccess 服务器上添加IIS组件.
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。
1. 在Start 菜单, 点击Server Manager.
2. 在 Server Manager, 点击 Roles 后点击Add Roles.
3. 点击Next, 在Select Server Roles, 点击 Web Server (IIS), 点击Next.
4. 点击 Next.
5. 在Select Role Services 页面, 检查 IP 和 Domain Restrictions.
6. 点击 Next 后点击Install.
7. 当安装完成, 点击 Close.
8. 使用Windows Explorer,在c:\inetpub目录下创建一个名为CRLDIST的子文件夹 。
a) 新文件夹如下c:\InetPub\crldist.
9. 在Start 菜单, Administrative Tools中, 点击 Internet Information Services (IIS) Manager.
10. 展开BAL-DA-01(Woodgrovebank\Administrator) 后点击Sites.
11. 在Actions窗口, 点击 Add Web Site.
12. 在Site name, 输入 CRLDist,在Physical path, 输入 c:\InetPub\CRLDist, 在Host name, 输入crl.woodgrovebankinc.com 后点击OK.
13. 在 Sites下, 点击CRLDist 后在contents 窗口, 双击Directory Browsing.
14. 在Actions 窗口, 点击 Enable.
15. 关闭 Internet Information Services (IIS) Manager.
16. 在Start菜单, Administrative Tools中, 点击Share and Storage Management.
17. 在Actions 窗口, 点击 Provision Share.
18. 在Location, 输入c:\inetpub\crldist 后点击Next.
19. 点击Yes, change NTFS permissions 后点击Edit Permissions.
20. 授予计算机BAL-DC-01 Modify 权限.
21. 点击OK 后点击Next.
22. 在Share Protocols 页面, 点击 Next.
23. 在SMB Settings 页面, 点击 Next.
24. 在SMB Permissions 页面, 点击 Administrators have Full Control, all other users and groups have only Read access and Write access.
25. 点击 Next.
26. 在DFS Namespace Publishing 页面, 点击 Next 后点击Create.
27. 点击 Close.
任务E:配置 Certificate Revocation List Publication
步骤:
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。
1. 在Start 菜单, Administrative Tools中, 点击Certification Authority.
2. 在 Certificate Services, 点击 woodgrovebank-Internal-Enterprise-Root, 后在 Action 菜单, 点击Properties.
3. 在Extensions tab, 点击 Add.
4. 在Location, 输入 http://crl.woodgrovebankinc.com/<CaName>.crl 后点击OK.
5. 检查所有的三个可用复选框.
6. 点击 Add.
7. 在 Location, 输入\\bal-da-01\crldist\<CaName>.crl 后点击OK.
8. 检查Publish CRLs to this location 复选框 后点击OK.
9. 点击 Yes 重启 Certification Authority.
任务F:更新已经发出的包含新的CRL的证书
步骤:
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01并确保Certification Authority 已经打开.
10. 在 Certification Authority, 点击 Certificate Templates,后在Action 菜单, 点击Manage.
11. 点击Server and Workstation Authentication, 后在Action 菜单, 点击 Reenroll all Certificate Holders.
12. 关闭 Certificate Templates 控制台.
任务G:发布新的CRL并检验其可用性
步骤:
在这个任务中,您将发布一个新的CRL。
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01并确保Certification Authority 已经打开.
1. 在Certification Authority, 点击 Revoked Certificates, 后在Action 菜单, 指向All Tasks 后点击Publish.
2. 点击 OK.
3. 打开Internet Explorer 并输入http://crl.woodgrovebankinc.com浏览该网站.
" 您将通过该站点看到.CRL 文件已经可用.
任务H:在网络连接中配置域名后缀
步骤:
在这个任务中,您将配置域控制器中网络连接的DNS。
" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。
" Passw0rd!
1. 在Start 菜单,点击Server Manager.
2. 在Server Manager, 点击Server Manager 后点击View Network Connections.
3. 双击LabCorpNet 后点击Properties.
4. 点击Internet Protocol Version 4 (TCP/IPv4) 后点击Properties.
5. 点击 Advanced.
6. 在DNS tab, 在 DNS suffix for this connection, 输入 Woodgrovebank.com 后点击OK.
7. 点击OK.
8. 点击 Close.
9. 点击 Close。
