繼上一篇環(huán)境準(zhǔn)備后(鏈接)，本文開(kāi)始來(lái)配置DA服務(wù)器，真正實(shí)現(xiàn)內(nèi)網(wǎng)外網(wǎng)來(lái)去自如。

一、 Direct Access服務(wù)器設(shè)置

1. 安裝Direct Access服務(wù)器功能

在【服務(wù)器管理器】工具中，添加功能，選擇【Direct Access管理控制臺(tái)】，點(diǎn)擊安裝即可，同時(shí)被安裝的還有【組策略管理】功能。

2. 配置Direct Access服務(wù)器

DA功能安裝好后，打開(kāi)【Direct Access管理控制臺(tái)】，點(diǎn)擊【安裝】，會(huì)在右側(cè)出現(xiàn)安裝程序向?qū)?圖1)

點(diǎn)擊【配置】按鈕，此處加入【DA_Clients】安全組，作為DA客戶端訪問(wèn)組。(圖2)

完成后來(lái)到步驟2，點(diǎn)擊【配置】，在【Direct Access連接性】中，只要前面的配置步驟沒(méi)有問(wèn)題，這里直接點(diǎn)擊【下一步】即可。(圖3)
 

注意：要滿足此處策略要求，需要幾點(diǎn)：①DA服務(wù)器需要有兩個(gè)公網(wǎng)IP地址②DA服務(wù)器需要設(shè)置DNS后綴③DA服務(wù)器的Internet網(wǎng)卡不能和Intranet網(wǎng)卡同屬一個(gè)區(qū)域網(wǎng)絡(luò)，例如不能屬于AD的網(wǎng)絡(luò)。

在證書組件【遠(yuǎn)程客戶端必須連接的根證書】中，選擇域中的企業(yè)根【contoso-DC1-DA】(圖4)

在【將用于HTTPS保護(hù)遠(yuǎn)程客戶端連接的證書】中，選擇先前申請(qǐng)的【IP-HTTPS Certificate】證書，選擇完點(diǎn)擊【完成】。(圖5)
 

開(kāi)始設(shè)定【步驟3】，這里開(kāi)始要填寫高可用度的網(wǎng)絡(luò)位置服務(wù)器URL，輸入【https://nls.contoso.com】并點(diǎn)擊【驗(yàn)證】，來(lái)驗(yàn)證此URL的有效性。(圖6)
 

在【DNS和域控制器】處，會(huì)自動(dòng)生成DNS服務(wù)器相關(guān)信息，并且生成的IPv6地址【2002:836b:2:1:0:5efe:10.0.0.1】是由6to4網(wǎng)絡(luò)前綴【2002:836b:2:1::/64】和ISATAP-based接口標(biāo)識(shí)符【::0:5efe:10.0.0.1】 組成。(圖7)
 

下一步的【管理】地址可空缺不填。點(diǎn)擊【完成】，即可完成步驟3的設(shè)置。

在接下來(lái)的【步驟4】中，只需要默認(rèn)設(shè)置即可。

此時(shí)，已經(jīng)完成對(duì)DA服務(wù)器本身的設(shè)定，可以點(diǎn)擊【保存】并【完成】，DA服務(wù)器就開(kāi)始應(yīng)用此前的設(shè)置了。應(yīng)用過(guò)程中可以看到DA服務(wù)器更改了組策略對(duì)象。(圖8)

3. 更新成員服務(wù)器的IPv6設(shè)置

強(qiáng)制【APP1】【DC1】和【Client1】更新本機(jī)IPv6設(shè)置 ，以支持ISATAP。

在CMD輸入【net stop iphlpsvc】和【net start iphlpsvc】重啟IPHLPSVC服務(wù)。

并且【Client1】需要強(qiáng)制刷新組策略，使用命令【GPupdate】

測(cè)試主機(jī)是否已經(jīng)支持ISATAP，可先用命令【IPCONFIG/FLUSHDNS】清除DNS緩存，然后使用PING命令，輸入【ping dc1.contoso.com】,正常情況下，返回地址為【2002:836b:2:1::5efe:10.0.0.1】既是已經(jīng)支持ISATAP。(圖9)

#p#

二、 DA客戶端測(cè)試訪問(wèn)

1. 更改【Client 1】網(wǎng)絡(luò)地址，將其網(wǎng)絡(luò)轉(zhuǎn)移到公網(wǎng)，模擬公網(wǎng)訪問(wèn)環(huán)境。

當(dāng)給【Client1】配置了公網(wǎng)IP【131.107.0.10】之后，我們查看【Client1】的網(wǎng)絡(luò)信息發(fā)現(xiàn)，在6to4隧道中，有這樣一個(gè)IPv6地址信息【2002:836b:】這段地址對(duì)應(yīng)的IPv4地址中的【131.107】，而6to4的默認(rèn)網(wǎng)關(guān)地址【2002:836b:2::836b:2】則對(duì)應(yīng)的是【131.107.0.2】?！綜lient1】就是使用6to4這個(gè)IPv6隧道與【DA1】進(jìn)行通信的。(圖10)

2. 進(jìn)行Internet和Intranet網(wǎng)絡(luò)WEB訪問(wèn)測(cè)試

先打開(kāi)【Client 1】的IE瀏覽器，輸入U(xiǎn)RL【http://inet1.isp.example.com】，如果可以正常打開(kāi)，則Internet網(wǎng)絡(luò)通信正常。(圖11)

在打開(kāi)一個(gè)新的IE瀏覽器，輸入U(xiǎn)RL【http://app1.contoso.com】,來(lái)測(cè)試訪問(wèn)內(nèi)網(wǎng)WEB服務(wù)器，如果也可以正常打開(kāi)，這就說(shuō)明我們的Direct Access部署基本完成了。(圖12)
 

3. Intranet共享文件夾訪問(wèn)測(cè)試

在【Client 1】中直接訪問(wèn)【\\APP1\Share For DA Client】。(圖13)

至此，已經(jīng)徹底完成了Direct Access這項(xiàng)新特性的部署及測(cè)試，但這對(duì)于一些安全級(jí)別較高的企業(yè)來(lái)說(shuō)是不夠的，下篇，我將介紹如何使用NAP來(lái)加固企業(yè)環(huán)境，達(dá)成安全的Direct Access訪問(wèn)。

【編輯推薦】

1. Win2008 R2之DA實(shí)戰(zhàn)：域環(huán)境準(zhǔn)備
2. Win2008 R2之DA實(shí)戰(zhàn)：DC FOR NAP準(zhǔn)備篇
3. Win2008 R2之DA實(shí)戰(zhàn)：服務(wù)器環(huán)境準(zhǔn)備篇