萬能技客:逐步安裝 DirectAccess
只是因為你是一個小企業的一部分,並不意味著你不能通過互聯網與 DirectAccess 擴展您的網路。
Greg Shields
我的筆記型電腦,坐在這咖啡廳,這裡是在我公司的域。 當按兩下 h:驅動器中,檔和資料夾上看到我的內部檔案伺服器。 如果我運行 gpupdate /force 或 wuauclt /detectnow,它應用群組原則,並檢測來自內部網域控制站和 Windows 伺服器更新服務 (WSUS) 伺服器的更新。 總之,我使用 DirectAccess,愛它。
我的公司是小型到中型企業 (SMB) 和當時非常小的 SMB。 我們沒有很多的伺服器,但我們有那些極其重要。 我們要運行 DirectAccess 所做的一切是添加一個新的伺服器和配置的少數。 突然間,我在辦公室裡我在這裡這咖啡 — — 或其它地方。
DirectAccess? SMB 嗎? 是的的確,放在一起是不可否認較少的挑戰,比我們想像。 這不是微不足道的但肯定不是不可能。
你是準備安全地擴展您的局域網到互聯網嗎? 抓住兩個 Nic、 兩個連續的公共 IP 位址和本指南的分步過程,您可以實現今天,將電源了你自己 DirectAccess 總是對虛擬私人網路絡 (VPN) 的 Windows Server 2008 R2 伺服器。
步驟 1:構建和提供 DirectAccess 伺服器
通過資源調配兩個 Nic 的 Windows Server 2008 R2 機器啟動。 請確保它是您內部的活動目錄域的成員。 連接兩個 Nic,一到外部的子網,另您的內部網路。 下一步,您就會安裝證書和 DirectAccess 元件。 因為此伺服器的內部和外部網路的橋樑,仔細檢查以確保它具有所有必需的更新。
您還需要兩個連續的、 靜態的、 公共的 IP 位址。 例如,98.34.120.34 和 98.34.120.35,可能是這兩個位址。 最重要的一點就是他們連續。 獲取這些位址可以是一個小的 IT 商店面臨的挑戰。 你需要他們將與您的互聯網提供商。
小心你收到關於哪兩個位址。 有不為人知一拍即合 TechNet Library 中報 ,概述了一些特別的規則 DirectAccess 認為什麼是"連續"的。DirectAccess 管理主控台按字母順序排序公用的 IPv4 位址分配給網路介面卡。 因此,DirectAccess 不會考慮位址作為連續的以下設置:排序為 w.x.y.10、 w.x.y.9 和 w.x.y.10,w.x.y.9 ; 排序為 w.x.y.100、 w.x.y.99 和 w.x.y.100,w.x.y.99 ; w.x.y.1、 w.x.y.2 和 w.x.y.10,其中,w.x.y.1、 w.x.y.10、 w.x.y.2 進行排序。 您需要使用一組不同的連續的位址。
您的 DirectAccess 伺服器的外部適配器上配置兩個外部位址。 單個內部位址及其內部適配器上這樣做。 它是一個好主意,重命名,提醒您的適配器對應于哪個連接適配器。 設置為您的內部尾碼的內部適配器用於此連接的 DNS 尾碼。
步驟 2:創建外部 DNS 記錄
DirectAccess 一對外部 DNS A 記錄需要外部的解析度。 兩者都應指向你兩個連續的 IP 位址 (不到第二個,和不到兩個) 的第一。 雖然兩者都將指向相同的位址,唯一一個將用於 DirectAccess。 另將找到憑證撤銷清單 (CRL) 您很快就會設置。
例如,這些是我的環境的兩個 A 記錄:directaccess.company.com 和 crl.company.com。 您可能要使用您的互聯網提供商創建這些 A 記錄。
步驟 3:設置活動目錄證書服務與 PKI
DirectAccess 安全模型的一部分涉及使用證書服務公開金鑰基礎結構 (PKI) 的相互身份驗證。 活動目錄證書服務 (ADC) 的角色和憑證授權 (CA) 角色服務添加到可用的伺服器,如 DC。 它設置為一個企業根 CA、 創建新的私人金鑰,並接受安裝預設設置以完成安裝。
下一步,您需要創建一個 Web 伺服器憑證範本。 在伺服器管理器中,導航到模數轉換角色,然後按一下憑證範本。 按右鍵 Web 伺服器範本,然後選擇複製範本。
創建一個 Windows 伺服器 2008年企業範本和造就性能主控台。 根據處理請求選項卡中,選擇允許匯出私密金鑰。 在安全選項卡下授予域電腦和經過身份驗證的使用者和組讀取和註冊許可權。 退出性能主控台,然後按右鍵您剛才創建的範本。 選擇要為其指定友好名稱更改名稱。
該範本添加到 CA 憑證範本資料夾,按右鍵該資料夾並選擇新 |要頒發的憑證範本。 選擇併發出您剛剛創建的範本。
步驟 4:CRL DirectAccess Server 上設置
使用 PKI 證書需要訪問 CRL。 此清單中標識現在都無效的吊銷的證書。 你必須能夠訪問 CRL 從互聯網和企業內部網,所以您的 DirectAccess 伺服器是完美的主人。
通過使用預設角色服務安裝 IIS 角色開始。 在 IIS 管理器中,創建名為 CRLD C:\inetpub\wwwroot\crld 的路徑指向新的虛擬目錄。 啟用此虛擬目錄的屬性中的目錄流覽功能。
下一步,創建一個名為 CRLD$ C:\inetpub\wwwroot\crld 路徑上的共用。 CA 授予對共用電腦帳戶的完全控制許可權。
回來在虛擬目錄屬性螢幕中,選擇配置編輯器,然後定位到 system.webserver/security/request 過濾。 一次,集允許雙重轉義為 True。
接下來,創建將決心尋找來自內部和外部網路 CRL 的路徑用戶端。 DC 上重新, 啟動憑證授權主控台和用滑鼠按右鍵要查看的 CA 伺服器屬性。 在副檔名選項卡上選擇叫 CRL 分發點 (CDP) 的擴展。 按一下添加,然後輸入的外部用戶端將使用訪問 CRL 的外部位址。
我的位址是 http://crl.company.com/crld/ <CaName> <CRLNameSuffix> <DeltaCRLAllowed>.crl。 你將類似所有但您的伺服器的完全限定功能變數名稱 (FQDN)。 檢查所有主控台頁面底部的框。 按一下添加再次為內部用戶端創建連接。 輸入 UNC 路徑內部用戶端可以使用訪問 CRL。
我的路徑是 \\crl.company.internal\crld$\ <CaName> <CRLNameSuffix> <DeltaCRLAllowed>.crl。 因為此內部的連接是凡發表 CRL,檢查框標記 Crl 發佈到此位置,增量 Crl 發佈到此位置。
回來在 CA 主控台中,按右鍵吊銷的證書,選擇所有任務 |發佈。 如果你已經正確做好一切,您應該看到兩個 CRL 檔出現在該共用。
步驟 5:DirectAccess 和網路位置的伺服器上安裝證書
較早前,您創建的憑證範本。 現在是時候來創建自己的證書。 DirectAccess 和其內部的網路位置伺服器需要相互身份驗證的 Web 伺服器憑證。
打開 DirectAccess 伺服器上的證書的 MMC 主控台,然後定位到證書 |個人存儲區。 在證書上按右鍵,選擇所有任務 |請求新證書。 在證書註冊主控台中,選擇您在步驟 3 中創建的證書。
連結將出現提示您註冊此證書所需的詳細資訊。 配置設置,請按一下此處。 按一下連結,並在出現的視窗中選擇主題選項卡。 添加一個公用名稱和備用的 DNS 名稱。 將會是您的伺服器的外部 DirectAccess FQDN (例如,我是 directaccess.company.com)。 按一下確定,然後註冊註冊證書。
網路位置伺服器 (NLS) 是內部伺服器運行 IIS 的角色。 NLS 需要少的資源,因此您可以安全地安裝在現有的伺服器上。 重複第 3 步上新貸款計畫安裝證書前面描述的過程。 雖然會有一個細微的差別。 輸入外部 DirectAccess FQDN,而不是,你要提供內部可解析的 FQDN。
我的系統,為我創建名稱 nls.company.internal 中,並作為我的入息審查貸款計畫的實際伺服器名稱的 CNAME 將它添加到 DNS。 DirectAccess 其入息審查貸款計畫與交互通過 HTTPS,所以您需要在 IIS 預設 Web 網站上創建 HTTPS 綁定到該 CNAME。
步驟 6:準備好您的客戶群組原則
DirectAccess 用戶端要求是最容易使用群組原則設置的某些防火牆和證書自動註冊設置。 第一個設置創建 ICMPv6 入站和出站規則,以啟用 IPv6 平支援 DirectAccess。
在群組原則管理編輯器中,導航到電腦配置 |政策 |Windows 設置 |安全設置 |具有高級安全性的 Windows 防火牆 |具有高級安全性的 Windows 防火牆。 創建一個新的入站規則。 選擇自訂規則,所有的程式,與 ICMPv6 作為協定類型和回應要求作為特定的 ICMP 類型 (您可以找到此 ICMP 設置下)。
映射到任何本地或遠端 IP 位址的那條規則,使所有三個設定檔上的連接。 給您的規則的名稱,按一下完成。 重複這些步驟以創建一個新的出站規則具有相同的設置。
在相同的群組原則物件 (GPO) 或一個新的物件,您可以創建第二個用戶端配置。 這一次,在群組原則管理編輯器中,導航到電腦配置 |政策 |Windows 設置 |安全設置 |證書服務用戶端 — — 自動註冊公共的關鍵政策和視圖屬性。 設置為啟用,檢查配置模型的兩個核取方塊出現,並按一下確定。
你會發現你公開金鑰策略下的最後一個群組原則設置 |自動證書申請設置。 按右鍵並選擇新建 |自動證書申請。 這將啟動自動證書申請設置嚮導。 這告訴電腦證書應自動請求的類。 選擇電腦範本,然後通過按一下以完成嚮導。
此群組原則適用于您的域,所以所有的電腦將接收並應用該策略。 允許足夠的時間之前的最後兩個步驟應用該策略的電腦。
步驟 7:在準備域服務
有準備使用 DirectAccess 的功能變數名稱服務的三個次要設置。 第一,您需要創建一個通用群組。 DirectAccess 稍後將此通用群組的成員授予的外部訪問。 添加您希望授予存取權限的任何用戶端的電腦帳戶。
您的動態主機設定通訊協定 (DHCP) 伺服器執行的第二次的設置。 如果您的環境中,還沒有實現 IPv6,修改 DHCP 伺服器設置為禁用 DHCPv6 無國籍的模式。
第三個設置修改 DNS。 DirectAccess 使用其通信的一些網站內自動隧道位址協定 (ISATAP)。 該協定通常是 DNS 伺服器全球阻止清單中的一部分。 你得從它正常的阻止清單中刪除 ISATAP。 要刪除 ISATAP,導航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters 上您的 DNS 伺服器,並刪除 ISATAP 條目。 進行此更改後,重新開機服務。
步驟 8:安裝 DirectAccess
我們的配置完整的少數,我們準備好安裝 DirectAccess。 你應該這麼做通過伺服器管理器。 安裝後,啟動 DirectAccess 主控台並選擇其安裝程式的節點。 DirectAccess 設置需要四個步驟:
- 指定包含將授權外部訪問的電腦帳戶的通用群組。
- 指定互聯網和內部網路的介面,以及 CA 和外部伺服器憑證。 這應該是很容易的如果你已經重命名您的介面和有用的、 容易記住的名稱的證書。
- 指定可以進行交互的基礎結構伺服器與外部用戶端。 在這裡您將提供入息審查貸款計畫的 URL,以及名稱和您使用來管理用戶端如系統中心或 WSUS 伺服器 DNS、 直流和任何其他伺服器的 IPv6 資訊。 這些伺服器必須具有支援 IPv6。
- 通過確定外部用戶端可以訪問的任何其他伺服器完成配置。 這些其他伺服器是用戶端應用程式使用這些。
每個四個步驟完成後,將完成安裝。 作為安裝過程的一部分,DirectAccess 將創建兩個更多 Gpo (在那些你前面創建) 將需要連結到域。 這些 Gpo 進一步上連接用戶端的配置 DirectAccess 經驗。
8 步驟,到處都訪問
這肯定的是,不是微不足道的但不是不可能的要麼。 有更多的配置,少數幾個,但最困難的部分將從您的互聯網提供商獲得兩個靜態連續的 IP 位址。
結果絕對是值得努力的。 考慮到今天的到處都和總在業務需求,DirectAccess 提供了一個優秀的解決方案,保持您的使用者連接 — — 即使對於最小的 SMB 網路。
.jpg)
Greg ShieldsMVP,是在集中的技術合作夥伴。獲取更多的盾牌的多面手提示和技巧,在 ConcentratedTech.com。