虚拟化 频道

Win2008 R2之DA实战:域环境准备

  7. 将ISATAP从DNS默认阻止列表中移除

  以管理员权限打开命令行,输入:dnscmd /config /globalqueryblocklist wpad 即可。(图17)
 

启用自动注册计算机证书


  小贴士:ISATAP和6to4都是目前比较流行的自动建立隧道的过渡技术,都可以连接被IPv4隔绝的IPv6孤岛,都是通过将IPv4地址嵌入到IPv6地址当中,并将IPv6封包封装在IPv4中传送,在主机相互通信中抽出IPv4地址建立tunnel。

  8. 配置CRL(Certificate Revocation List)发布设置

  打开【证书颁发机构】,点击【contoso-DC1-DA】服务器属性,在【扩展】选项卡中【CRL分发点(CDP)】,添加新的分发点,位置输入【http://crl.contoso.com/crld/】,变量分别添加【】【】【】,结尾处添加【.crl】,确定即可。(图18)
 

启用自动注册计算机证书

  选中刚创建好的分发点,勾选【包括在CRL中。客户端用它来寻找增量CRL的位置】和【包含在颁发的证书的CDP扩展中】。(图19)
 

启用自动注册计算机证书

  再次点击【添加】,用来说明CRL的列表位置。【位置】输入【\\da1\crldist$\】此处为DA1中的隐藏共享文件夹,变量名依然勾选【<CAName>】【<CRLNameSuffix>】【<DeltaCRLAllowed>】,结尾处添加【.crl】。(图20)
 

启用自动注册计算机证书

  确定后,针对当前分发点勾选【发布CRL到此为止】和【发布增量CRL到此位置】(图21)
 

启用自动注册计算机证书

  此时,CRL扩展设定完成,确定后将会重启AD证书服务。

  小贴士:关于为什么要设置CRL分发点。

  DirectAccess 服务器为通过 IP-HTTPS 的连接使用的证书。由于 DirectAccess 客户端对 DirectAccess 服务器提交的 HTTPS 证书执行证书吊销检查,因此必须确保可通过 Internet 访问在此证书中配置的证书吊销列表 (CRL) 分发点。如果 DirectAccess 客户端无法访问这些 CRL 分发点,则基于 IP-HTTPS 的 DirectAccess 连接的身份验证会失败。有关为 Active Directory 证书服务 (AD CS) 配置 CRL 分发点的信息,请参阅"指定 CRL 分发点"(http://go.microsoft.com/fwlink/?LinkId=145848)。

  9. 启用自动注册计算机证书

  再次打开组策略编辑器,编辑【DA Policy】,依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【公钥策略】-【自动证书申请设置】-右击【新建】-【自动证书申请】,证书模板选择【计算机】即可。(图22)
 

启用自动注册计算机证书

  至此,DC环境准备已经完成,下一篇,将继续介绍DA、网络位置服务器及客户端的环境准备。

0
相关文章