Win2008 R2之DA實戰:服務器環境準備篇
在上篇文章中(點擊),我們完成了DC環境準備的準備工作,本文將繼續介紹DA、網絡位置服務器及客戶端的環境準備。
一、DA及其他服務器環境準備
DA1配置
1. 安裝IIS角色,作為一個簡單的WEB服務器,設置默認即可。
2. 為DA服務器申請一個web服務器證書。
在MMC中打開【證書】,證書管理選擇【計算機帳戶】-【本地計算機】-【證書】-【個人】-【申請新證書】,證書注冊策略選擇默認即可(圖1)
在【請求證書】處,勾選【Web Server 2008】并點擊鏈接進行配置(圖2)
在【使用者名稱】-【類型】中選擇【公用名】,值輸入【da1.contoso.com】,點擊添加。(圖3)
在常規選項卡中可以輸入一個友好名稱:IP-HTTPS Certificarte,確定即可,然后點擊【注冊】(圖4)
證書注冊成功后,可看到剛注冊的證書類型屬于【服務器身份驗證】(圖5)
3. 創建CRL列表分發點
在IIS的默認網站中,創建一個名為【CRLD】的虛擬目錄,物理路徑指向本地硬盤的【CRLDist】目錄(沒有可自行創建)。(圖6)
創建好虛擬目錄,在右側【管理】中找到【配置編輯器】,雙擊進入。在【節】中依次選擇【system.webServer\security\authentication\requestFiltering】,更改【allowDoubleEscaping】的值為【Ture】(圖7)
4. 配置CRL分發點文件夾權限
打開本地硬盤中【CRLDist】文件夾屬性,選擇【共享】,點擊【高級共享】,共享名改為【CRLDist$】,權限設置將DC1設置為完全控制。(圖8)
5. 發布CRL分發點
回到DC1的證書頒發機構中,選中【吊銷的證書】,右擊【所有任務】,選擇【發布】,選擇【新的CRL】確定即可。如果之前設置不正確,此處會彈出相關錯誤提示。(圖9)
#p#
APP1配置
1. 安裝IIS角色,默認設置即可。
2. 申請一個web服務器證書,設置可參考DA1申請證書過程,有一點需要注意,證書申請時,使用者名稱選擇【公用名】,輸入【nls.contoso.com】,備用名稱選擇【DNS】,輸入【nls.contoso.com】.(圖10)
3. 啟用IIS中的HTTPS安全綁定。
打開IIS管理器,選擇【default web site】,在右側【編輯網站】處,點選【綁定】
注釋:nls為APP1主機別名,在DNS中添加即可。這里指Network Loaction Server,屬于DA客戶端訪問的Intranet資源。(圖11)
網站綁定類型為:【HTTPS】,證書選擇剛申請到的【nls.contoso.com】(圖12)
小貼士:IP-HTTPS 是 Windows 7 和 Windows Server 2008 R2 的一項新協議,該協議允許位于 Web 代理服務器或防火墻后面的主機通過在基于 IPv4 的安全超文本傳輸協議 (HTTPS) 會話內隧道傳送 IPv6 數據包來建立連接。通常,只有在客戶端無法使用其他 IPv6 連接方法連接到 DirectAccess 服務器時才使用 IP-HTTPS。
4. 設置一個共享文件夾,放置一個測試文本,用來測試Direct Access Client訪問情況。
#p#
INIT1配置
1. 安裝IIS和DNS角色,設置默認即可。
2. 在DNS中添加一個主要區域:【isp.example.com】,將INET1主機添加進區域中。(圖13)
3. 在DNS中再添加一個主要區域:【contoso.com】,設置為【允許安全和非安全的動態更新】,將DA1主機添加進區域當中。(圖14)
4. 安裝DHCP角色,配置作用域【Internet】,范圍:131.107.0.100/24-131.107.0.150/24 DNS為131.107.0.1 ,禁用Wins和DHCPv6服務。
#p#
Client1配置
1. 將Client 1加入域。
2. 將Client1 加入DA_Clients 安全組中。(圖15)
3. 確認Client 1 已經正常自動注冊計算機證書(圖16)
4. 使用Client 1訪問內網資源,測試連通性。
到現在為止,已經完成了對DA部署前的環境準備,下一篇中,我將描述關于DA服務器的相關設置。
【編輯推薦】
