Windows Server 2012 R2 DirectAccess

简介:

    DirectAccess是微软下一代VPN技术,主要用来替代传统VPN以及解决一些现有技术难以解决的疑难杂症,它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立VPN连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。

Direct Access克服了VPN的很多局限性,它可以自动地在外网客户机和公司内网服务器之间建立双向的连接。DirectAccess使用IPSec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。

Direct Access工作时,客户机建立一个通向DirectAccess服务器的IPv6隧道连接。这个IPv6的隧道连接,可以在普通的IPv4网络上工作。DirectAccess 服务器承担了网关的角色连接内网和外网。


优点:

     提高漫游员工工作效率:提供内部与外部办公同样的连接体验,只要有互联网连接便可以访问内部网络资源的能力,无论他在旅行还是在家。

远程用户更易于管理:如果没有DirectAccess,只有当用户连接到VPN或进入办公室,才能对移动计算机进行管理。通过DirectAccess,只要移动计算机有互联网连接就可以进行管理,即使用户没有登录。这允许对移动计算机进行定期管理,有助于确保移动用户保持最新的安全性和系统健康策略。DirectAccess有助于企业对漫游在企业网络外的财产进行安全监督和数据保护。

改进的安全性:直接访问使用IPSec进行认证和加密。您可以选择用智能卡(Smart Card)进行用户身份验证。DirectAccess集成NAP,规定DirectAccess客户端必须符合系统健康要求才能允许连接到DirectAccess服务器。


以下几点为网友总结,比较经典:

   1、当用户在外办公时遇到网络不稳定时,VPN需要断线重拨,而DirectAccess完全是自动的,30秒的间隔会自动重新连接服务器

   2、当我们在外出差的时候,公司有了新的域策略或者是修改了域策略,那么用户就接收不到最新的策略了。而DirectAccess是用户打开电脑后,登录系统前就会建立好连接,并将域策略刷新过来,当然了,如果还要拨宽带连接的话就做不到了。实际测试的过程中会发现,这跟你服务器的部署方式也会有点关系。

   3、用VPN是不能双向访问的,通过DirectAccess管理员可以直接远程桌面到在外出差办公的客户机。

   4、DirectAccess还支持NAP,能对连接进网络的用户进行健康检查和准入控制。

   5、VPN不能灵活控制哪些服务器能访问、哪些不能访问,DirectAccess不但可以进行灵活的控制,还能对访问隧道进行IPSec加密防止通信被第三方窃取!


拓扑图(点击图片可查看大图):

wKioL1L1o02BmSSkAAG39Vw6oy0837.png


一、安装DC

安装AD+DNS+DHCP过程(略)

域名为corp.sxleilong.com,电脑名称为DC

wKiom1Ltv9eC95M5AALe_5wzT6g842.jpg


IPv4地址配置如下所示

wKioL1Ltv7OQm3W2AAHyHydmPJs553.jpg


IPv6地址如下,说明:IPv6也必须配置静态IP地址

wKiom1Ltv9iR69Y2AAIbMSb2fSw718.jpg


DHCP地址池地址分配如下所示

wKioL1Ltv7TyPZVsAAJ4i3xFn8Y350.jpg


DirectAccessClients创建一个全局安全组。

打开AD管理中心,切换到“corp(本地)”,选中“Users”,在“任务”面板,点击“新建”,选择“组”

wKiom1Ltv9mjA0uYAAKv5FVccUs982.jpg


填写组名DA-Clients,此时,也可以添加成员,我稍后在添加

wKioL1Ltv7bQLveUAAIYvXQOuOk163.jpg


创建网络位置服务器DNS记录。

打开DNS管理器,展开到“corp.sxleilong.com”并右击,选择“新建主机”

wKiom1Ltv9vDrHfOAAMzgp-61c4045.jpg


名称填写NLS,地址填写10.0.0.3,然后点击“添加主机”

wKioL1Ltv7egRi8dAAEfIubcm8U380.jpg


创建ICMPv4ICMPv6回显请求防火墙规则。

用命令gpmc.msc打开组策略管理控制台,展开到“组策略对象”,右击“DefaultDomain Policy”选择“编辑”

wKiom1Ltv9zDLjCpAALCuFDV9rA916.jpg


依次展开默认域策略―》计算机配置―》策略―》Windows设置―》安全设置―》高级安全,选定“入站规则”并右击,选择“新建规则”

wKioL1Ltv7nQUB0aAAKS3f15F1E892.jpg


选中“自定义”,下一步

wKiom1Ltv92hg-34AAFu21Dhkz0600.jpg


协议类型选择“ICMPv4”,然后点击“自定义”,勾选特定ICMP类型下的“回显请求”

wKioL1Ltv7rx6q0TAAI8wKNfi2s682.jpg


勾选“允许连接”,下一步

wKiom1Ltv96DdDPWAAHAfSH22C4824.jpg


3项务必全部选中,下一步

wKioL1Ltv7vCF9IcAAFbscCTv2o295.jpg


填写新建的入站规则名称,点击“完成”

wKiom1Ltv9-Tu6kYAAEbbpWPwLM060.jpg


同理,再创建一个ICMPv6的入站回显请求规则

wKioL1Ltv7yC0Fs-AAKJJuQKWWw202.jpg


二、安装及配置App1服务器

APP1服务器IPv4地址配置如下所示:

wKiom1LtwCnBTaChAAHsz2OIhng586.jpg


IPv6地址配置如下

wKioL1LtwAbRrZfsAAIhkloMkgA179.jpg


变更服务器名称为App1,并将其加入corp.sxleilong.com域中,然后重启

wKiom1LtwCrz9v7hAAJwCdB3jng666.jpg


安装AD CAWeb服务器IIS角色。

wKioL1LtwAfhl_GRAAKmFnL3ALw475.jpg


同时,也勾选“证书颁发机构Web注册”,下一步

wKiom1LtwCyy7coJAAItIzm1gK4870.jpg


提示功能安装完成。点击“配置目标服务器上的Active Directory证书服务器”

wKioL1LtwAmR2P-mAAKsavf8OB0396.jpg


采用默认,下一步

wKiom1LtwC6i_La_AAHshWsGix8246.jpg


同时勾选“证书颁发机构”和“证书颁发机构Web注册”,下一步

wKioL1LtwAuDd1xcAAGbgmHPRPc421.jpg


选中“企业CA”,下一步

wKiom1LtwDDgZRNKAAIhycx7rTY920.jpg


选中“根CA”,下一步

wKioL1LtwA3Bhn24AAIuSDxjx7c571.jpg


选中“创建新的私钥”,下一步

wKiom1LtwDKhS1vbAAJoGesgReI016.jpg


默认是选择SHA1算法,我这里选择“SHA256”算法,下一步

wKioL1LtwA6hFxjlAAHzPoOFnBk843.jpg


确认无误后点击“下一步”

wKiom1LtwDOBs6sfAAIeJn7vGGE280.jpg


提示AD证书服务器配置成功

wKioL1LtwBCw6mhvAAGOo7e1n08500.jpg


开启计算机证书自动注册。

登录DC,打开组策略管理器,展开到安全设置下的“公钥策略”,右击“证书服务客户端-自动注册”,选择“属性”

wKiom1LtwDWxrpnxAANaCVz0GSo808.jpg


配置模式选择“启动”,并勾选“续订过期证书、更新未决证书并删除吊销的证书”和“更新使用证书模板的证书”

wKioL1LtwBGjnxOuAAFZjtWefVE903.jpg


配置客户端-服务器验证模板自动注册。

打开证书颁发机构,展开“corp-APP1-CA”,右击“证书模板”选择“管理”

wKiom1LtwDaBpdCrAALgpEEO2v8238.jpg


选中“工作站身份验证”并右击,选择“复制模板”

wKioL1LtwBOCFXFeAAPUnaQYkgg806.jpg


切换到“常规”选项卡,填写模板显示名称为“客户端-服务器认证”,并勾选“在ActiveDirectory中发布证书”

wKiom1LtwDjyCOtlAAGIpX7IPUM303.jpg


切换到“扩展”选项卡,选中“应用程序策略”,点击“编辑”,再点击“添加”

wKiom1LtwDiizpeVAAHSg6wXd_E100.jpg


选中“服务器身份验证”,确定

wKioL1LtwBWAHTgiAAGSinJwQHc168.jpg


切换到“安全”选项卡,选中“DomainComputers”,然后选中“自动注册”

wKiom1LtwDmj5fJaAAIBPXYI3ak001.jpg


在证书颁发机构控制台,右击“证书模板”,选择“新建”的子菜单“要颁发的证书模板”

wKioL1LtwBaDMP-XAAL_qiBvDMM824.jpg


选中“客户端-服务器认证”,确定

wKiom1LtwDuw3RwTAAKRQ7VKSjk273.jpg


和以上方法类似,定制Web服务器证书,并配置Web服务器证书模板权限。

以命令:certtmpl.msc打开证书模板控制台,右击“Web服务器”,选择“复制模板”

wKioL1LtwBjgaI84AAN40VYyX_o460.jpg


切换到“安全”选项卡,选中“AuthenticatedUsers”,并勾选允许“注册”

wKiom1LtwDzjsGKvAAHTNE46MHY487.jpg


点击“添加”,添加“DomainComputers”,并勾选允许“注册”

wKioL1LtwBmw0eFOAAH5LMVYWlU978.jpg


切换到“常规”选项卡,填写模板显示名称,并勾选“在AD中发布证书”

wKioL1LtwBnSKRoBAAF9OQBg9IQ625.jpg


切换到“请求处理”选项卡,勾选“允许导出私钥”

wKiom1LtwD7gjywtAAIcP9lI6ek318.jpg


如下图所示。2个模板已经全部定制好

wKioL1LtwBvSfskOAAMgHuXN9XQ332.jpg


APP1申请一个附加证书。

命令行中输入mmc,打开控制台1,选则“文件”下拉菜单“添加/删除管理单元”

wKiom1LtwD_CMc64AAGtfuW2g18557.jpg


选中“证书”,点击“添加”,选择“计算机帐户”

wKioL1LtwByAB6pIAALB8k12z-U239.jpg


选中“本地计算机”,点击“完成”

wKiom1LtwInCHamFAAFYw7fycuE845.jpg


依次展开证书(本地计算机)―》个人―》证书,并右击选择“所有任务”子菜单“申请新证书”

wKioL1LtwGaxUYSEAAK6R38gueU607.jpg


选中“ActiveDirectory注册策略”,下一步

wKiom1LtwIrx6RnNAAFeCzBt4fQ372.jpg


勾选“WebServer 2012 R2”和“客户端-服务器认证”,点击“注册此证书需要详细信息。单击这里以配置设置。”

wKioL1LtwGfCaaiXAAGJjy4VdTo542.jpg


切换到“使用者”选项卡,选择类型为“公用名”,值为:nls.corp.sxleilong.com,然后点击“添加”

wKiom1LtwIvDasyAAAHO2veDc0A027.jpg


点击“注册”,直至最终提示注册策略成功

wKioL1LtwGjyKtv9AAE2VsuPE3Y837.jpg


关闭控制台1,点击“否”,无需将控制台设置存入控制台1

wKiom1LtwIyiIPlFAAMzxVYGFc0587.jpg


配置Https安全绑定。

打开IIS管理器,展开到“Default Web Site”,点击右侧的“绑定”,再点击“添加”,类型选择为HttpsSSL证书选择“nls.corp.sxleilong.com

wKiom1LtwI6SCETaAAM9lO9Gz9A118.jpg


创建一个共享文件夹。

APP1服务器磁盘根目录下创建一个共享文件夹ShareFiles,并在其中创建一个记事本Example.txt,内容如下所示。

wKioL1LtwGrwKX8WAAHT-B7ivDU093.jpg


ShareFiles共享给特定的用户。测试环境中,我将其赋予Everyone读取权限。

wKiom1LtwI-RMvxNAAJfumN5h_8566.jpg

wKioL1LtwGvzp8yxAAFt0QKLOks933.jpg

至此,App1服务器角色安装及配置完成。

三、安装及配置App2服务器

说明:微软官方文档中APP2使用Windows Server 2003 SP2 Enterprise Edition,扮演一个使用DNS64NAT64功能能通过DirectAccess连接的仅有IPv4资源的主机。App2服务器我依旧使用Windows Server 2012 R2

配置App2IP地址、子网掩码、默认网关和首选DNS

wKiom1LtwM3gLDSbAAHw1mqXJI4599.jpg


直接去掉“Internet协议版本6(TCP/IPv6)”前的对勾

wKioL1LtwKqz68DuAAImcJ6c-hE969.jpg


变更App2的计算机名称,并将其加入corp.sxleilong.com域中

wKiom1LtwM_DanLjAALHzwYGsk8770.jpg


App2将作为一个Web服务器,所以要安装Web服务器(IIS)服务器角色,下一步

wKioL1LtwKzDXjNGAAKiobxqfbY189.jpg


完全采用默认安装,直至最终提示安装完成

wKiom1LtwNDyGaVFAAI-sCVT9P0114.jpg


下面我将App2IE增强关掉了

wKioL1LtwK3CKeBgAAGK1EEjqCs809.jpg


App2上创建一个共享文件夹。

C盘根目录下创建一个名为Share的文件夹,并在其目录下新建一个名为Notepad的记事本,并在其中写入:This is atext document on APP2an IPv4 only server.

wKiom1LtwNHivj0NAAGzOfFwCAU271.jpg


赋予新建的文件夹Everyone读取权限

wKioL1LtwK7CSy09AALdTLKHzOo644.jpg

至此,App2服务器安装及配置完成。

四、安装Client计算机

安装一台名为Client的客户端计算机,用于充当漫游客户端。如下图,指定计算机名称为Client

wKiom1LtwXSB7hZSAAELYkLhm-g224.jpg


点击“Useexpress settings

wKioL1LtwVHwy0T9AAOROjXIeZE979.jpg

到登陆提示时,选则创建一个本地帐户,注意,如果当Client连接到Corpnet subnet时有提示“Turn on sharing and connect to devices”,点击“YES”。


加入ClientCorp.sxleilong.com域。

wKiom1LtwXbT2D8DAALNftTe5c0190.jpg

加入域完成后有提示重启,重启完Client后以域帐户登录Client计算机。测试中我直接以域帐户Administrator登录。


测试从Client访问Corpnet网络的资源。

打开IE,输入地址http://app1.corp.sxleilong.com/并回车,可以看到App1上默认的IIS8 Web页面。再打开App1上的共享文件夹ShareFiles,可以看到里面的Example记事本,所以,成功验证Client能访问内网App1上的Web和文件共享资源。

wKioL1LtwVLhUMSLAAHjPfQ-lZI154.jpg


五、安装DirectAccess服务器

DirectAccess服务器必须要有2块网卡,一个连接到内网,另一个连接到模拟的公网。OS安装完成后配置内网IPv4地址如下所示,注意,务必要配置DNS后缀

wKiom1LtwYqC-zI-AAX-se9zgEk855.jpg


配置IPv6地址

wKioL1LtwWfhASN_AATKRte4CWg526.jpg


配置模拟公网IPv4地址,同样需要配置DNS后缀,这是DirectAccess的要求。

wKiom1LtwY3ip6wZAAXM1Ypq3Ms422.jpg


将另一个公网IP地址添加进来

wKioL1LtwWmjg3UyAAFjyk8xek4048.jpg


然后变更DirectAccess服务器名称,且将其加入到corp.sxleilong.com域中

wKiom1LtwY6hVSQdAAN6_UE0DmQ845.jpg


六、安装及配置Inter服务器

Inter服务器主要用来模拟公网DNSDHCP

配置IPv4地址如下所示,并指定DNS后缀:isp.example.com

wKioL1LtwZ7BiepjAAPwu2JB0Nc577.jpg


开启“文件和打印机共享”

wKiom1LtwcLimmuYAAKF89XJi2g885.jpg


变更计算机名称,然后重启Inter服务器

wKioL1LtwZ_hL8ipAAIBniWu6Vo662.jpg


安装DHCPDNSWeb服务器IIS,下一步

wKiom1LtwcTDhBf9AAKZ8XJy26E387.jpg


提示角色安装完成

wKioL1LtwaGxTje_AAJPp6BfP8k493.jpg


Inter上创建DNS记录。

打开DNS管理器,右击“正向查找区域”,选则“新建区域”,采用默认“主要区域”,下一步

wKioL1LtwaKjdZjfAAKp9d9H1H4857.jpg


填写区域的名称isp.example.com,下一步

wKiom1LtwcaSseEzAAFj-JEv4Zg181.jpg


点选“允许非安全和安全动态更新”,下一步

wKiom1Ltwcfjc3yWAAIPTUgEZko725.jpg


选中刚新建的区域isp.example.com并右击,选则“新建主机(AAAAA)”

wKioL1LtwaPym-hFAAJblVMOBUs318.jpg


填写名称为InterIP地址为131.107.0.1,然后点击“添加主机”

wKiom1LtwcjhyW4PAAItTbg4Cl0802.jpg


再创建一个新区域sxleilong.com,用来模拟从公网申请的域名

wKioL1LtwaWwDPtpAAJUMolISoE577.jpg


以同样的方法添加DirectAccess服务器的A记录

wKioL1LtwaXyngKBAAHMVLAeUYI840.jpg


最后还需要创建一个区域msftncsi.com,并添加2A记录,具体如下图所示。

[Windows系统连接网络时,会自动向微软发送一个域名访问的请求,返回的结果用来作为网络连接状况的指示器(NetworkConnectivity Status IndicatorNCSI)的状态显示,NCSI首先在dns.msftncsi.com上执行一次DNS查询,然后请求访问文件http://www.msftncsi.com/ncsi.txt,这是一个明文的文本文件,只有一行字母“Microsoft NCSI”。dns.msftncsi.com应该解析为131.107.255.255,如果地址不匹配,那么它会猜测网络连接工作不正常]

注意:NCSI配置请参见:http://technet.microsoft.com/zh-cn/library/ee126135(v=ws.10).aspx

wKiom1LtwcqzcqEjAAHvaL1DlAs786.jpg


配置DHCP

IPv4上新建作用域,指定名称为Internet,下一步

wKiom1LtwcqhZTR3AAHfiD1SnEc142.jpg


填写DHCP作用地址范围和子网掩码,下一步

wKioL1Ltwafxp-DGAAGV3HZSQmQ968.jpg


指定默认网关地址为:131.107.0.1,下一步

wKioL1LtwafA6x2fAAE645MIsaM745.jpg


指定父域名称isp.example.com,下一步

wKiom1LtwczwvvY4AAHQa2panOs501.jpg


配置NCSIWeb site

进入C盘中c:\inetpub\wwwroot目录下,新建一个记事本文件并命名为ncsi.txt,并写入Microsoft NCSI,注意,写完后不要按回车键再添加一空行,保存并退出。注意,这块务必配置正确,否则客户端会提示:DirectAccessno Internet access”。

wKioL1L16J7QVhY0AAHJHOr0Ktg438.jpg

七、安�DA及配置DA

DA上安装一个IP-HTTPS证书。该证书用于当客户端通过HTTPS连接是作为认证需求。运行窗口中输入mmc,确认后打开控制台,点击“File”,选则“Add/Remove Snap-in

wKioL1Ltwg_wE4I7AAJQ2NzpqFA817.jpg


选中“Certificates”,点击“Add”,选则“Computer account

wKiom1LtwjOj_NGeAALZDI0Zsn4841.jpg


选中“Local Computer”,点击“Finish

wKiom1LtwjSwlndzAAErQ7yZxzo133.jpg


依次展开Certificates―》Personal―》Certificates并右击,选则All Tasks子菜单“Request New Certificate

wKioL1LtwhCw7ijJAAL5NmLjaL8696.jpg


勾选“Web Server 2012 R2”,并点击“More Information is required……”

wKiom1LtwjWyAzgjAAHLBKFx948252.jpg


Subject name下类型选择“Common name”,值填写DirectAccess.sxleilong.com,然后点击“Add”,备用名称下类型选择“DNS”,值填写与上面相同,并进行添加

wKioL1LtwhGBrxmcAAISvJGwJ2c809.jpg


切换到“General”选项卡,填写Friendly nameIP-HTTPS Certificate

wKiom1LtwjXROgYOAAEpoyJRhJc208.jpg


完成以上操作后,点击“注册”,直至出现如下成功界面

wKioL1LtwhGS4Uy0AAFEQltoUPc806.jpg


点击关闭控制台,此时会提示是否需要保存设置,点击“No

wKiom1LtwjayBaP-AANGyzSXLVg847.jpg


DA服务器上安装Remote Access服务器角色。勾选“Remote Access”,下一步

wKioL1LtwhOyaHaGAAOJ0NuJzRE696.jpg


勾选“DirectAccess and VPN(RAS)”,下一步

wKiom1LtwjixqiAcAAKRmdRNzqE999.jpg


直到提示安装成功。点击“Openthe Getting Started Wizard”,下一步

wKioL1LtwhWBvtZzAAMLK3Jp3AA726.jpg


直到提示安装成功。点击“Openthe Getting Started Wizard”,下一步

wKioL1LtwhaSJIymAAKYXXMMpTg369.jpg


选中“Edge”,系统会自动识别Public name,下一步

wKiom1LtwjuymxOpAAJHa1ZAZx0457.jpg


(说明:以下2步也可以先跳过,后续再进行配置)点击“here”,再点击Remote Clients前的“Change”,添加之前在域控上创建的DA-Clients组,删除其它的组,并去掉勾选“Enable DirectAccess for mobile computers only

wKiom1Ltwj3gWH5AAAPuMUIwXdk229.jpg


变更DirectAccess Connection name,点击Finish

wKioL1LtwhqiWsroAAJl5Fd2jmc491.jpg


直到最终配置远程访问成功

wKiom1Ltwj_jSNcwAAKygBd6zPE938.jpg


配置DirectAccess

打开远程管理控制台,选中“DirectAccessand VPN”,然后点击“Edit

wKioL1LtwhzAm8RAAANWiJ7TB0c363.jpg


勾选“Deploy full DirectAccess for client access and remote management”,下一步

wKioL1Ltwh3wbd0CAAMHnmE_8uo194.jpg


由于前面已经做过设定,所以直接下一步

wKiom1LtwkKzop9oAAKjp7EV2ao572.jpg


采用默认,下一步

wKiom1LtwkPgBBqUAAKb-6hRbBA763.jpg


点击Step2下的“Edit

wKioL1LtwiGDmMKDAAPr90nAud8291.jpg


核对一下看是否选中“Edge”,另外Public name地址为:DirectAccess.sxleilong.com,如果无误,下一步

wKioL1LtwiLS2fQbAAKTnh4Lr-k086.jpg


在内网和公网这块,务必核对看是否IP地址对应,IP-HTTPS连接这里默认会自动选中“CN=DirectAccess.sxleilong.com”,下一步

wKiom1Ltwkegpu_lAAJ8A1m8WLg033.jpg


采用默认,下一步

wKioL1LtwiSz4KXiAAISpGltMm4126.jpg


勾选“Use computer certificates”,点击“Browse”,选中CA证书,我这里是corp-APP1-CA

wKiom1LtwknRMvG9AAO7oUiP_l0145.jpg


点击Step3下的“Edit

wKioL1LtwieyIqpiAAPtehpTaRY680.jpg


勾选“The network location server is deployed on a remote web server”,并填写nls的地址:https://nls.corp.sxleilong.com,点击“Validate”,下一步

wKiom1LtwkzjHb9eAAMjsuCS5NA999.jpg


采用默认,下一步

wKiom1Ltwk2h2Ap0AANKhC7jnek625.jpg


采用默认,下一步

wKioL1LtwiqwtwwyAAKLVz6-XQ4593.jpg


采用默认,下一步。

说明:如果域中有System Center Configuration Manager Server,且处于关机状,要么将其开机,要么从管理服务器组中移除。

wKiom1Ltwk_gEHQjAAIADXKlZQQ329.jpg


配置完成DirectAccess后显示如下。

说明:有个Network adapters的警告,目前只有2012服务器会有,2008不会出现警告。

wKioL1LtwizjznHeAAMdeHpt7cA804.jpg


处理警告。

以管理员身份打开命令提示符窗口

wKiom1LtwnmhS3fZAAEBjyVlfEw491.jpg


输入以下命令,并回车

netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface=”Corpnet”

wKioL1LtwlWz3gRoAAEIrtiQZ4g096.jpg


再次查看网络适配器警告已经消除

wKioL1Ltwlag7Oo8AAMcJSa9TWo417.jpg


配置组策略设置。

DirectAccess服务器上,运行命令gpmc.msc打开组策略管理控制台,依次展开Forest―》Domains―》corp.sxleilong.com―》Group Policy Objects,选中DirectAccess Client Settings,确保该策略只应用到之前创建的DA-Clients群组

wKiom1Ltwnvjx8KSAAOw28_CLgQ187.jpg


DirectAccess Server Settings只应用到DA服务器

wKiom1LtwnzCs6pXAAPDzb9AuqA307.jpg


输入命令wf.msc打开防火墙设置

wKioL1LtwljzvVORAADUM971xDI511.jpg


确保Domain ProfilePublic Profile处于Active状态,注意:DirectAccess要求防火墙必须开启。

wKioL1LtwlnSRgRkAAPuK4NoPfw069.jpg


选中“Connection Security Rules”,以下2条规则中第一条规则用来建立内网通道,而第二条规则用于建立基础设施通道。

wKiom1Ltwn2hSgLIAAHs15V5WAY157.jpg



八、Client访问测试

配置Client

首先先登录域控,将要测试的漫游客户端Client添加到创建的DA-Clients组中

wKioL1LtwqfQ8TGlAAMHYjBaYHU146.jpg


将漫游客户端Client放置在内网,让其自由获取IP地址,并应用组策略。使用域帐号登录Client,会看到已经自动通过DirectAccess成功连接到内网

wKiom1LtwsuS2P1lAACmD1fq83U895.jpg


以管理员身份打开PowerShell,输入命令:Get-DnsClientNrptPolicy,可以查看名称解析策略表NRPTnls服务器为nls.corp.sxleilong.com,它是APP1服务器的别名。所有其它内部网络名称解析为corp.sxleilong.com的将使用DA服务器的内部IPv6地址2001:db8::1:2与外网通信。

wKioL1Ltwqehw_o0AANkWDObms8267.jpg


输入命令:Get-NCSIPolicyConfiguration,可以查看到网络位置服务器的URL,用于确定Client的位置,成功连接到url的客户端被认为是位于内部网络上,并且不会使用DirectAccess策略

wKiom1LtwsySzS6dAAGgIrvDZG8291.jpg


输入命令:Get-DAConnectionStatus,由于Client能访问到网络位置服务器的URL,所以状态会显示ConnectedLocally

wKiom1LtwsyS2_5OAACGsdX53xw912.jpg


测试从公网进行远程访问。

当切换客户端到公网时,客户端会提示如下图所示,点击“YES

wKioL1LtwqjDz33aAAEFZUoLJZg334.jpg


可以看到DirectAccess连接状态依旧显示“Connected

wKiom1LtwsyC74waAACaD0RkTbo166.jpg


此时,我们再次使用命令:Get-DAConnectionStatus,可以查看到状态显示为:ConnectedRemotely

wKioL1LtwqngviOlAAEdfR41zQQ411.jpg


Ping Inter.isp.example.com测试,会得到4条来自131.107.0.1的响应。Ping App1.corp.sxleilong.com测试,由于App1是一个启动了IPv6的内网资源,所以ICMP响应是来自App1服务器的IPv6地址2001:db8:1::3Ping App2.corp.sxleilong.com测试,因为我这里是使用WindowsServer 2012模拟一个只有IPv4通信的文件服务器,所以系统动态的创建了一个NAT64地址,地址为fdb5:9e49:468c:7777::a00:4 (为fdxx:xxxx:xxxx:7777::/96格式)

wKioL1LtwqnT0DsEAARwoTP8jGE232.jpg


分别验证访问Inter.sip.example.comApp1.corp.sxleilongApp2.corp.sxleilong.com均正常

wKiom1Ltws6iGyQEAALBpV0m4Do348.jpg


验证访问App1上的共享文件夹和App2上的共享文件夹,也均测试通过

wKioL1LtwquyEfVTAAHXkm_K5Uw672.jpg


以管理员身份打开PowerShell,输入命令Get-NetIPHTTPSConfiguration,检查组策略应用到客户端指向到https://Directaccess.sxleilong.com:443/IPHTTPS的设置

wKiom1Ltws-DMCDtAAEfnAbzsHY532.jpg


输入命令wf.msc,打开高级安全防火墙控制台,展开Monitoring―》Security Associations,可以看到认证方式使用ComputerKerberosUserKerberos,可以使用ComputerCertificateUserKerberos

wKiom1LtwtDj6cVtAAJ-_G7-KwQ360.jpg


选中“ConnectionSecurity Rules”,可以查看提供DirectAccess连接的规则策略

wKioL1Ltwqzz3YumAAKt3_PlerE981.jpg


九、Homenet网络配置及Client测试

NAT客户端也需要2块网卡,一块连接公共网络,另一块连接家庭私有网络。公网网卡可以配置IP静态IP地址,也可以自动获取,私有网络采用自动获取就行。

以本地管理员身份登录NAT操作系统,打开公网网卡属性,切换到“Sharing”选项卡,勾选以下2个选项,点击确定

wKioL1LtwuOwyMwBAAHrzGqDQeU923.jpg


此时,可以看到家庭私有网卡已经自动获取到IP地址:192.168.137.1

wKiom1LtwwewOjzeAALfytQY7p0669.jpg


测试Homenet网络访问公司内网资源。

Client计算机移动到家庭私有网络,以域管理员身份登录Client计算机。以管理员身份打开PowerShell,输入命令:Get-DAConnectionStatus,可以看到显示ConnectedRemotely。查看启动获取到的IP地址,我这里是192.168.137.184

wKioL1LtwuSDDOE-AAMFOzscLdA915.jpg


下图也显示已经成功连接到DirectAccess服务器了

wKiom1LtwwjCnxtlAACbnrBMiV0041.jpg


分别pingapp1.corp.sxleilong.compingapp2.corp.sxleilong.com,均可以正常ping

wKioL1LtwuWAJIbwAAQlToaOT1w984.jpg


IE形式打开App1App2Inter服务器Web资源,也均可以正常访问

wKiom1LtwwrRIxSwAAK1n994lMQ881.jpg


以网络路径形式分别访问App1服务器和App2服务器的共享资源,也可以正常访问

wKioL1LtwuewaALqAAG3uy3gCGc048.jpg


在回到DirectAccess服务器,打开远程访问管理控制台,选中“OperationsStatus”可以看到DirectAccess所有组件都工作正常

wKiom1Ltwwyj1cgZAAPLLNPr_K4930.jpg


选中“仪表板”,点击右侧“ConfigureRefresh Interval”,可以调整远程客户端活动刷新和服务器活动刷新时间

wKioL1LtwumTlnwmAANgqvqAwpI773.jpg


点击“StartTracing”,可以进行数据包捕获和日志记录追踪

wKiom1Ltww7TM2RzAANRegpgmts279.jpg

至此,整个WindowsServer 2012 R2 混合IPv4及IPv6 DirectAccess 功能测试完成。

转自: “Ray Loong” 博客。

相关文章
相关标签/搜索