DirectAccess動手實驗5:管理客戶端
通過這個動手實驗室,您可以了解到:掌握配置DirectAccess的基本條件、如何配置DirectAccess 服務器、在客戶端計算機上如何檢測DirectAccess。
先決條件
在開始這個實驗之前,您必須:
" 了解Active Directory, 證書服務, 組策略和遠程訪問
" 熟悉IPv6, Teredo 和 4to6
" 能夠執行基本的Active Directory管理任務
實驗概述
該實驗室是為負責實施DirectAccess的 IT專業人員提供了解決方案。這個實驗提供給您實施一個基本的DirectAccess最終必要配置步驟的解決方案,包括網絡連接配置、組件基礎結構、和DirectAccess服務器的配置。 在本實驗結束時,您將完成實現DirectAccess功能所需的步驟。
場景
Woodgrove Bank 是一家位于美國馬里蘭州巴爾的摩的投資銀行。Woodgrove Bank 有一個總部并在很多地區有分支機構。這些分支機構由于規模較小所以沒有專門的IT技術人員,并且這些分支機構都通過低速的廣域網連接到總部。此外,許多Woodgrove Bank員工經常在這些分支機構、客戶的辦公室和家庭中使用用戶帳戶參加有關會議。Woodgrove Bank 面臨著如下的全球挑戰:
1. 要在這些機構中管理大量的服務器。
2. 需要減少的每個分支機構的運營成本。
3. 漫游和遠程用戶需要訪問公司資源。
4. 管理大型復雜的Active Directory基礎結構.
為了解決其中的一些挑戰,Woodgrove Bank 已經決定使用Windows Server 2008 R2 和Windows 7中的DirectAccess 功能。通過實施DirectAccess, Woodgrove Bank 能夠讓用戶從Internet使用安全的IPv6連接從任意地點訪問內部資源,而無需昂貴且復雜的VPN連接。
虛擬機技術
這個實驗中所用到的計算機都是通過使用Microsoft Hyper-V 來實現的。在您啟動每個虛擬機之前,確保你應用了Start-Lab 快照。當您啟動了虛擬機時,按CTRL+ALT+END 進入登錄界面并使在實驗手冊中列出的憑據。
虛擬機環境介紹
該實驗使用如下表所述的虛擬機。在您開始這個實驗之前,您必須啟動虛擬機并登錄。在您啟動其他虛擬機之前請確保BAL-DC-01 虛擬機已經完全啟動。
本文將配置防火墻規則,允許本身就在內部網絡的客戶端來管理通過DirectAccess連接到內部網絡的客戶端。
任務A:使用Group Policy 管理客戶端
步驟:
在此任務中,您將通過一個到客戶端桌面的快捷方式并使用組策略來管理一臺使用DirectAccess連接的客戶端計算機。
" 使用Woodgrovebank\Administrator 帳號和密碼Passw0rd!登錄到BAL-DC-01。
1. 在Start 菜單, Administrative Tools中,點擊Group Policy Management.
2. 依次展開Forest: woodgrovebank.com\Domains\woodgrovebank.com.
3. 在Action 菜單,點擊Create a GPO in this domain and Link it here.
4. 輸入Remote Computer Management 后點擊OK.
5. 雙擊Remote Computer Management 后點擊OK.
6. 在Security Filtering, 點擊Authenticated Users,點擊Remove 后點擊OK.
7. 點擊Add, 輸入 DA Clients 后點擊OK.
8. 點擊 Remote Computer Management.
9. 在Action 菜單, 點擊 Edit.
10. 依次展開Computer Configuration/Preferences/Windows Settings 后點擊Shortcuts.
11. 在Action 菜單, 指向New 后點擊Shortcut.
12. 使用如下列表中的值配置new Shortcut 后點擊OK.
13. 依次展開Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\ Windows Firewall with Advanced Security\Inbound Rules.
14. 在Action 菜單, 點擊New Rule.
15. 在Predefined, 選擇 Remote Administration 后點擊Next.
16. 單擊Next 后點擊Finish.
17. 在rules 窗口, 點擊first rule 后在 Action 菜單, 點擊Properties.
18. 在Advanced 選項, Edge traversal, 點擊 Allow edge traversal 后點擊OK.
" 在使用DirectAccess的情況下, DirectAccess 服務器提供地址轉換.
19. 重復以上兩個步驟Repeat the previous two steps to allow edge traversal on the remaining two rules.
20. 關閉 Group Policy Management Editor.
21. 在Group Policy Management 控制臺, 點擊Remote Computer Management.
22. 在Action 菜單, 點擊Enforced.
" o這項策略的實施,以確保為NAT traversal的防火墻設置沒有被所有計算機上的默認域策略中定義的防火墻設置所覆蓋。
任務B:使用Group Policy 管理客戶端
步驟:
在此任務中,您將通過一個到客戶端桌面的快捷方式并使用組策略來管理一臺使用DirectAccess連接的客戶端計算機。
" 使用Woodgrovebank\Administrator 帳號和密碼Passw0rd!登錄到BAL-CLI-01。
1. 在Command Prompt, 輸入如下命令并按ENTER:
GPUPDATE /Force /Target:computer
" 組策略會自動刷新,但我們強制它更新,以便加快實驗速度。
2. 在desktop, 雙擊IT Support.
" Netlogon 文件夾將打開.
" 這表明,您可以在防火墻之外的計算機上通過DirectAcces連接應用計算機級的策略。
3. 注銷BAL-CLI-01.
4. 切換到DEN-DC-01.
5. 在Start 菜單, Administrative Tools中, 點擊Computer Management.
6. 在Computer Management, Action 菜單上, 點擊 Connect to another computer.
7. 輸入BAL-CLI-01, 后點擊OK.
" 這表明,你可以在內部網絡中的計算機使用管理工具,發起連接到計算機上的外部網絡,即使用戶沒有登錄。
" DirectAccess是一個計算級別的連接,而不是一個用戶發起的VPN。
【編輯推薦】
