扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:IT168 2009年11月03日
关键字:VPN
DA及其他服务环境准备
一、DA1配置
1. 安装IIS角色,作为一个简单的WEB服务器,设置默认即可。
2. 为DA服务器申请一个web服务器证书。
在MMC中打开【证书】,证书管理选择【计算机帐户】-【本地计算机】-【证书】-【个人】-【申请新证书】,证书注册策略选择默认即可。(图1)
在【请求证书】处,勾选【Web Server 2008】并点击链接进行配置(图2)
在【使用者名称】-【类型】中选择【公用名】,值输入【da1.contoso.com】,点击添加。(图3)
在常规选项卡中可以输入一个友好名称:IP-HTTPS Certificarte,确定即可,然后点击【注册】(图4)
证书注册成功后,可看到刚注册的证书类型属于【服务器身份验证】(图5)
3. 创建CRL列表分发点
在IIS的默认网站中,创建一个名为【CRLD】的虚拟目录,物理路径指向本地硬盘的【CRLDist】目录(没有可自行创建)。(图6)
创建好虚拟目录,在右侧【管理】中找到【配置编辑器】,双击进入。在【节】中依次选择【system.webServer\security\authentication\requestFiltering】,更改【allowDoubleEscaping】的值为【Ture】(图7)
4. 配置CRL分发点文件夹权限
打开本地硬盘中【CRLDist】文件夹属性,选择【共享】,点击【高级共享】,共享名改为【CRLDist$】,权限设置将DC1设置为完全控制。(图8)
5. 发布CRL分发点
回到DC1的证书颁发机构中,选中【吊销的证书】,右击【所有任务】,选择【发布】,选择【新的CRL】确定即可。如果之前设置不正确,此处会弹出相关错误提示。(图9)
二、APP1配置
1. 安装IIS角色,默认设置即可。
2. 申请一个web服务器证书,设置可参考DA1申请证书过程,有一点需要注意,证书申请时,使用者名称选择【公用名】,输入【nls.contoso.com】,备用名称选择【DNS】,输入【nls.contoso.com】.(图10)
3. 启用IIS中的HTTPS安全绑定。
打开IIS管理器,选择【default web site】,在右侧【编辑网站】处,点选【绑定】
注释:nls为APP1主机别名,在DNS中添加即可。这里指Network Loaction Server,属于DA客户端访问的Intranet资源。(图11)
网站绑定类型为:【HTTPS】,证书选择刚申请到的【nls.contoso.com】(图12)
小贴士:IP-HTTPS 是 Windows 7 和 Windows Server 2008 R2 的一项新协议,该协议允许位于 Web 代理服务器或防火墙后面的主机通过在基于 IPv4 的安全超文本传输协议 (HTTPS) 会话内隧道传送 IPv6 数据包来建立连接。通常,只有在客户端无法使用其他 IPv6 连接方法连接到 DirectAccess 服务器时才使用 IP-HTTPS。
4. 设置一个共享文件夹,放置一个测试文本,用来测试Direct Access Client访问情况。
三、INIT1配置
1. 安装IIS和DNS角色,设置默认即可。
2. 在DNS中添加一个主要区域:【isp.example.com】,将INET1主机添加进区域中。(图13)
3. 在DNS中再添加一个主要区域:【contoso.com】,设置为【允许安全和非安全的动态更新】,将DA1主机添加进区域当中。(图14)
4. 安装DHCP角色,配置作用域【Internet】,范围:131.107.0.100/24-131.107.0.150/24 DNS为131.107.0.1 ,禁用Wins和DHCPv6服务。
Client1配置
1. 将Client 1加入域。
2. 将Client1 加入DA_Clients 安全组中。(图15)
3. 确认Client 1 已经正常自动注册计算机证书(图16)
4. 使用Client 1访问内网资源,测试连通性。
到现在为止,已经完成了对DA部署前的环境准备,下一篇中,我将描述关于DA服务器的相关设置,敬请期待。