【IT168 虚拟化频道】Direct Access 称为直接访问，它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能，外网的用户可以在不需要建立VPN连接的情况下，高速、安全的从Internet直接访问公司防火墙之后的资源。

　　通过这个动手实验室，您可以了解到：掌握配置DirectAccess的基本条件、如何配置DirectAccess 服务器、在客户端计算机上如何检测DirectAccess。

　　先决条件

　　在开始这个实验之前，您必须：

　　" 了解Active Directory, 证书服务, 组策略和远程访问

　　" 熟悉IPv6, Teredo 和 4to6

　　" 能够执行基本的Active Directory管理任务

　　实验概述

　　该实验室是为负责实施DirectAccess的 IT专业人员提供了解决方案。这个实验提供给您实施一个基本的DirectAccess最终必要配置步骤的解决方案，包括网络连接配置、组件基础结构、和DirectAccess服务器的配置。 在本实验结束时，您将完成实现DirectAccess功能所需的步骤。

　　场景

　　Woodgrove Bank 是一家位于美国马里兰州巴尔的摩的投资银行。Woodgrove Bank 有一个总部并在很多地区有分支机构。这些分支机构由于规模较小所以没有专门的IT技术人员，并且这些分支机构都通过低速的广域网连接到总部。此外，许多Woodgrove Bank员工经常在这些分支机构、客户的办公室和家庭中使用用户帐户参加有关会议。Woodgrove Bank 面临着如下的全球挑战:

　　1. 要在这些机构中管理大量的服务器。

　　2. 需要减少的每个分支机构的运营成本。

　　3. 漫游和远程用户需要访问公司资源。

　　4. 管理大型复杂的Active Directory基础结构.

　　为了解决其中的一些挑战，Woodgrove Bank 已经决定使用Windows Server 2008 R2 和Windows 7中的DirectAccess 功能。通过实施DirectAccess, Woodgrove Bank 能够让用户从Internet使用安全的IPv6连接从任意地点访问内部资源，而无需昂贵且复杂的VPN连接。

　　虚拟机技术

　　这个实验中所用到的计算机都是通过使用Microsoft Hyper-V 来实现的。在您启动每个虚拟机之前，确保你应用了Start-Lab 快照。当您启动了虚拟机时，按CTRL+ALT+END 进入登录界面并使在实验手册中列出的凭据。

　　虚拟机环境介绍

　　该实验使用如下表所述的虚拟机。在您开始这个实验之前，您必须启动虚拟机并登录。在您启动其他虚拟机之前请确保BAL-DC-01 虚拟机已经完全启动。
 

　　本文将完成将配置DirectAccess 服务器 (DAS) 以便它能接受外部计算机的连接。

　　任务A：配置计算机证书

　　步骤：

　　这个任务中，您将强制更新计算机证书。这一步骤将随着时间的推移自动发生。我们强制更新是为了加快实验的速度。

　　" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DA-01 。

　　1. 在Start 菜单, 点击Command Prompt.

　　2. 在Command Prompt, 输入如下命令并按ENTER:

　　Certutil -Pulse

　　3. 在Start 菜单, 点击 Run, 输入MMC 并按ENTER.

　　1. 在File 菜单, 点击 Add/Remove Snap-in.

　　2. 点击 Certificates 后点击Add.

　　3. 点击 Computer account, 点击 Next 后点击Finish.

　　4. 点击OK 以关闭Add or Remove Snap-ins 对话框.

　　5. 展开Certificates (Local Computer) 后点击Personal.

　　6. 在Actions 窗口, 点击 More Actions 后点击All Tasks/Request New Certificate.

　　7. 在Certificate Enrollment 对话框, 点击Next.

　　8. 点击Next 以接受default enrollment policy.

　　9. 检查SSL Certificate 后点击More information is required to enroll for this certificate. Click here to configure settings.

　　10. 在Certificate Properties 对话框中, Subject Name 部分， Type字段, 选择 Common Name.

　　11. 在Subject name 部分, Value 字段, 输入BAL-DA-01.woodgrovebankinc.com, 点击 Add 后点击OK.

　　12. 点击 Enroll 后点击Finish.

　　任务B：启用IPV6防火墙规则

　　步骤：

　　为了能够实现内部网络中的计算机连接到外部网络中的DA Client，ICMPv6 必须在所有的网络连接中启用。

　　" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DC-01。

　　1. 在Start 菜单, Administrative Tools中, 点击Group Policy Management.

　　2. 依次展开Forest: woodgrovebank.com\Domains\woodgrovebank.com.

　　3. 点击Default Domain Policy, 点击OK, 后在 Action 菜单, 点击Edit.

　　4.  依次展开Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\ Windows Firewall with Advanced Security\Inbound Rules.

　　5. 点击 Inbound Rules 后在Actions 窗口， 点击New Rule.

　　6. 点击 Custom 后点击Next.

　　7. 点击 Next.

　　8. 在Protocol Type, 点击 ICMPv6 后点击Next.

　　9. 点击Next 三次.

　　10. 在 Name, 输入 ICMPv6-In (Allow) 后点击Finish.

　　11. 切换到BAL-DA-01.

　　12. 在Command Prompt, 输入如下命令并按ENTER:

　　GPUPDATE /Force

　　" 组策略会自动刷新，但我们强制它更新，以便加快实验速度。

　　任务C：安装DirectAccess 管理控制台

　　步骤：

　　这个任务中您将安装DirectAcess 管理控制台.

　　" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DA-01 并确保 Server Manager 已经打开。

　　1. 在Server Manager, 点击 Features 后点击Add Features.

　　2. 在Select Features, 点击 DirectAccess Management Console 后点击Add Required Features.

　　3. 点击 Next 后点击Install.

　　4. 点击Close.
 

　　任务D：配置DirectAccess 服务器(DAS)

　　步骤：

　　在这个任务中，您将使用DirectAccess 管理控制台来完成 DirectAccess 服务器的配置.

　　" 使用Woodgrovebank\Administrator 帐号和密码Passw0rd!登录到BAL-DA-01 。

　　1. 在Start 菜单,  Administrative Tools中, 点击 DirectAccess Management.

　　2. 点击 Setup.

　　3. 在 Step 1,点击Configure.

　　4. 点击Add, 输入 DA Clients 后点击OK.

　　5. 点击Finish.

　　6. 在 Step 2, 点击Configure.

　　7. 点击 Next.

　　8. 点击上方的Browse 按钮.

　　9. 点击 Woodgrovebank-Internal-Enterprise-Root 后点击OK.

　　" 这个设置表明root CA 将颁发计算机证书到所有的客户端计算机上。

　　10. 点击底部的Browse按钮.

　　" 这个设置选择计算机证书到使用DirectAccess 的服务器上.

　　11. 点击名为BAL-DA-01.Woodgrovebankinc.com的证书后点击OK.

　　12. 点击 Finish.

　　13. 在 Step 3, 点击 Configure.

　　14. 点击 Network Location server is run on the DirectAccess Server 后点击Browse.

　　15. 点击OK 后点击Next.

　　16. 点击Next.

　　17. 点击Finish.

　　18. 在Step 4, 点击 Configure.

　　" 此可选设置允许您应用额外的安全设置到内部网络上指定的一组计算机。

　　19. 点击 Finish.

　　20. 在 DirectAccess Setup, 点击Save 后点击Finish.

　　21. 在DirectAccess Review, 点击 Apply.

　　22. 当配置完成点击OK.

　　23. 在Command Prompt, 输入如下命令并按ENTER:

　　GPUPDATE /Force

　　" 组策略会自动刷新，但我们强制它更新，以便加快实验速度。

　　24. 在 DirectAccess Management, 点击 Monitoring.

　　" 监视节点将在几分钟后被加载。

　　您将看到DNS问题。

　　25. 在Command Prompt, 输入如下命令并按ENTER:

　　GPUPDATE /Force

　　" 组策略会自动刷新，但我们强制它更新，以便加快实验速度。

　　26. 切换到BAL-DC-01.

　　27. 在Command Prompt, 输入如下命令并按ENTER:

　　Net stop IPHLPSVC && Net start IPHLPSVC

　　" 切换到DirectAccess Monitoring 窗口 并验证不是DNS 问题。

　　" 它可能需要一分钟的时间来解决DNS问题。

　　" 注意：您可能会在较短的时间内看到DNS服务器上的错误提示。