Win2008 R2之DA實戰:服務器部署篇
繼上一篇環境準備后(鏈接),本文開始來配置DA服務器,真正實現內網外網來去自如。
一、 Direct Access服務器設置
1. 安裝Direct Access服務器功能
在【服務器管理器】工具中,添加功能,選擇【Direct Access管理控制臺】,點擊安裝即可,同時被安裝的還有【組策略管理】功能。
2. 配置Direct Access服務器
DA功能安裝好后,打開【Direct Access管理控制臺】,點擊【安裝】,會在右側出現安裝程序向導(圖1)
點擊【配置】按鈕,此處加入【DA_Clients】安全組,作為DA客戶端訪問組。(圖2)
完成后來到步驟2,點擊【配置】,在【Direct Access連接性】中,只要前面的配置步驟沒有問題,這里直接點擊【下一步】即可。(圖3)
注意:要滿足此處策略要求,需要幾點:①DA服務器需要有兩個公網IP地址②DA服務器需要設置DNS后綴③DA服務器的Internet網卡不能和Intranet網卡同屬一個區域網絡,例如不能屬于AD的網絡。
在證書組件【遠程客戶端必須連接的根證書】中,選擇域中的企業根【contoso-DC1-DA】(圖4)
在【將用于HTTPS保護遠程客戶端連接的證書】中,選擇先前申請的【IP-HTTPS Certificate】證書,選擇完點擊【完成】。(圖5)
開始設定【步驟3】,這里開始要填寫高可用度的網絡位置服務器URL,輸入【https://nls.contoso.com】并點擊【驗證】,來驗證此URL的有效性。(圖6)
在【DNS和域控制器】處,會自動生成DNS服務器相關信息,并且生成的IPv6地址【2002:836b:2:1:0:5efe:10.0.0.1】是由6to4網絡前綴【2002:836b:2:1::/64】和ISATAP-based接口標識符【::0:5efe:10.0.0.1】 組成。(圖7)
下一步的【管理】地址可空缺不填。點擊【完成】,即可完成步驟3的設置。
在接下來的【步驟4】中,只需要默認設置即可。
此時,已經完成對DA服務器本身的設定,可以點擊【保存】并【完成】,DA服務器就開始應用此前的設置了。應用過程中可以看到DA服務器更改了組策略對象。(圖8)
3. 更新成員服務器的IPv6設置
強制【APP1】【DC1】和【Client1】更新本機IPv6設置 ,以支持ISATAP。
在CMD輸入【net stop iphlpsvc】和【net start iphlpsvc】重啟IPHLPSVC服務。
并且【Client1】需要強制刷新組策略,使用命令【GPupdate】
測試主機是否已經支持ISATAP,可先用命令【IPCONFIG/FLUSHDNS】清除DNS緩存,然后使用PING命令,輸入【ping dc1.contoso.com】,正常情況下,返回地址為【2002:836b:2:1::5efe:10.0.0.1】既是已經支持ISATAP。(圖9)
#p#
二、 DA客戶端測試訪問
1. 更改【Client 1】網絡地址,將其網絡轉移到公網,模擬公網訪問環境。
當給【Client1】配置了公網IP【131.107.0.10】之后,我們查看【Client1】的網絡信息發現,在6to4隧道中,有這樣一個IPv6地址信息【2002:836b:】這段地址對應的IPv4地址中的【131.107】,而6to4的默認網關地址【2002:836b:2::836b:2】則對應的是【131.107.0.2】。【Client1】就是使用6to4這個IPv6隧道與【DA1】進行通信的。(圖10)
2. 進行Internet和Intranet網絡WEB訪問測試
先打開【Client 1】的IE瀏覽器,輸入URL【http://inet1.isp.example.com】,如果可以正常打開,則Internet網絡通信正常。(圖11)
在打開一個新的IE瀏覽器,輸入URL【http://app1.contoso.com】,來測試訪問內網WEB服務器,如果也可以正常打開,這就說明我們的Direct Access部署基本完成了。(圖12)
3. Intranet共享文件夾訪問測試
在【Client 1】中直接訪問【\\APP1\Share For DA Client】。(圖13)
至此,已經徹底完成了Direct Access這項新特性的部署及測試,但這對于一些安全級別較高的企業來說是不夠的,下篇,我將介紹如何使用NAP來加固企業環境,達成安全的Direct Access訪問。
【編輯推薦】
