Win2008 R2之DA實戰(zhàn)：服務器部署篇

作者：方建國 2010-05-20 10:12:22

云計算虛擬化

繼上一篇環(huán)境準備后(鏈接)，本文開始來配置DA服務器，真正實現(xiàn)內網(wǎng)外網(wǎng)來去自如。

一、 Direct Access服務器設置

1. 安裝Direct Access服務器功能

在【服務器管理器】工具中，添加功能，選擇【Direct Access管理控制臺】，點擊安裝即可，同時被安裝的還有【組策略管理】功能。

2. 配置Direct Access服務器

DA功能安裝好后，打開【Direct Access管理控制臺】，點擊【安裝】，會在右側出現(xiàn)安裝程序向導(圖1)

點擊【配置】按鈕，此處加入【DA_Clients】安全組，作為DA客戶端訪問組。(圖2)

完成后來到步驟2，點擊【配置】，在【Direct Access連接性】中，只要前面的配置步驟沒有問題，這里直接點擊【下一步】即可。(圖3)

注意：要滿足此處策略要求，需要幾點：①DA服務器需要有兩個公網(wǎng)IP地址②DA服務器需要設置DNS后綴③DA服務器的Internet網(wǎng)卡不能和Intranet網(wǎng)卡同屬一個區(qū)域網(wǎng)絡，例如不能屬于AD的網(wǎng)絡。

在證書組件【遠程客戶端必須連接的根證書】中，選擇域中的企業(yè)根【contoso-DC1-DA】(圖4)

在【將用于HTTPS保護遠程客戶端連接的證書】中，選擇先前申請的【IP-HTTPS Certificate】證書，選擇完點擊【完成】。(圖5)

開始設定【步驟3】，這里開始要填寫高可用度的網(wǎng)絡位置服務器URL，輸入【https://nls.contoso.com】并點擊【驗證】，來驗證此URL的有效性。(圖6)

在【DNS和域控制器】處，會自動生成DNS服務器相關信息，并且生成的IPv6地址【2002:836b:2:1:0:5efe:10.0.0.1】是由6to4網(wǎng)絡前綴【2002:836b:2:1::/64】和ISATAP-based接口標識符【::0:5efe:10.0.0.1】組成。(圖7)

下一步的【管理】地址可空缺不填。點擊【完成】，即可完成步驟3的設置。

在接下來的【步驟4】中，只需要默認設置即可。

此時，已經(jīng)完成對DA服務器本身的設定，可以點擊【保存】并【完成】，DA服務器就開始應用此前的設置了。應用過程中可以看到DA服務器更改了組策略對象。(圖8)

3. 更新成員服務器的IPv6設置

強制【APP1】【DC1】和【Client1】更新本機IPv6設置，以支持ISATAP。

在CMD輸入【net stop iphlpsvc】和【net start iphlpsvc】重啟IPHLPSVC服務。

并且【Client1】需要強制刷新組策略，使用命令【GPupdate】

測試主機是否已經(jīng)支持ISATAP，可先用命令【IPCONFIG/FLUSHDNS】清除DNS緩存，然后使用PING命令，輸入【ping dc1.contoso.com】,正常情況下，返回地址為【2002:836b:2:1::5efe:10.0.0.1】既是已經(jīng)支持ISATAP。(圖9)

#p#

二、 DA客戶端測試訪問

1. 更改【Client 1】網(wǎng)絡地址，將其網(wǎng)絡轉移到公網(wǎng)，模擬公網(wǎng)訪問環(huán)境。

當給【Client1】配置了公網(wǎng)IP【131.107.0.10】之后，我們查看【Client1】的網(wǎng)絡信息發(fā)現(xiàn)，在6to4隧道中，有這樣一個IPv6地址信息【2002:836b:】這段地址對應的IPv4地址中的【131.107】，而6to4的默認網(wǎng)關地址【2002:836b:2::836b:2】則對應的是【131.107.0.2】。【Client1】就是使用6to4這個IPv6隧道與【DA1】進行通信的。(圖10)