lab1Windows Server R2 实现 DirectAccess v2.docx
《lab1Windows Server R2 实现 DirectAccess v2.docx》由会员分享,可在线阅读,更多相关《lab1Windows Server R2 实现 DirectAccess v2.docx(23页珍藏版)》请在冰豆网上搜索。
lab1WindowsServerR2实现DirectAccessv2
动手实验室
lab1
WindowsServer2008R2实现DirectAccess
2009.12.
1目标
通过这个动手实验室,您可以了解到
∙了解配置DirectAccess的基本条件
∙配置DirectAccess服务器
∙在客户端计算机上检测DirectAccess
先决条件
在开始这个实验之前,您必须:
∙了解ActiveDirectory,证书服务,组策略和远程访问
∙熟悉IPv6,Teredo和4to6
∙能够执行基本的ActiveDirectory管理任务
实验概述
该实验室是为负责实施DirectAccess的IT专业人员提供了解决方案。
这个实验提供给您实施一个基本的DirectAccess最终必要配置步骤的解决方案,包括网络连接配置、组件基础结构、和DirectAccess服务器的配置。
在本实验结束时,您将完成实现DirectAccess功能所需的步骤。
场景
WoodgroveBank是一家位于美国马里兰州巴尔的摩的投资银行。
WoodgroveBank有一个总部并在很多地区有分支机构。
这些分支机构由于规模较小所以没有专门的IT技术人员,并且这些分支机构都通过低速的广域网连接到总部。
此外,许多WoodgroveBank员工经常在这些分支机构、客户的办公室和家庭中使用用户帐户参加有关会议。
WoodgroveBank面临着如下的全球挑战:
1.要在这些机构中管理大量的服务器。
2.需要减少的每个分支机构的运营成本。
3.漫游和远程用户需要访问公司资源。
4.管理大型复杂的ActiveDirectory基础结构.
为了解决其中的一些挑战,WoodgroveBank已经决定使用WindowsServer2008R2和Windows7中的DirectAccess功能。
通过实施DirectAccess,WoodgroveBank能够让用户从Internet使用安全的IPv6连接从任意地点访问内部资源,而无需昂贵且复杂的VPN连接。
虚拟机技术
这个实验中所用到的计算机都是通过使用MicrosoftHyper-V来实现的。
在您启动每个虚拟机之前,确保你应用了Start-Lab快照。
当您启动了虚拟机时,按CTRL+ALT+END进入登录界面并使在实验手册中列出的凭据。
预计完成该实验的时间
60分钟
1.1虚拟机环境介绍
该实验使用如下表所述的虚拟机。
在您开始这个实验之前,您必须启动虚拟机并登录。
在您启动其他虚拟机之前请确保BAL-DC-01虚拟机已经完全启动。
虚拟机
角色
R2Lab-BAL-DC-01
域控制器,用于基础结构的核心组件。
R2Lab-BAL-DA-01
DirectAccess服务器。
R2Lab-HomeRouter
家庭网络的NAT设备。
R2Lab-BAL-CLI-01
家用客户端计算机。
✋在这个实验中所有用户帐户的密码都是Passw0rd!
2动手实验室操作脚本
2.1检查现有的配置架构
在这个练习中您将检查已经在这个环境中实施的DirectAccess基础架构需求条件。
任务
步骤
1.检查证书模板配置
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01。
1.在Startmenu,点击ServerManager.
2.在ServerManager,展开Roles并点击ActiveDirectoryCertificateServices.
3.检查已经安装的RoleServices.
♦CertificationAuthority和CertificationAuthorityWebEnrollment是DirectAccess的必要条件.
4.展开ActiveDirectoryCertificateServices.
5.点击CertificateTemplates.
6.在CertificateTemplates列表中,双击ServerandWorkstationAuthentication.
7.检查如下表中列出的属性:
Property
Purpose
General:
PublishCertificateinActiveDirectory
EnsuresthatcertificateisavailableviaActiveDirectoryforverification.
Extensions:
ApplicationPolicies
ClientAuthenticationpolicyisrequired
SubjectName:
Subjectnameformat
EnsurestheSNofthecertificatematchestheDNSname
Security
Ensuresthatalldomaincomputerscanenrollforthiscertificate.
8.关闭ServerandWorkstationAuthenticationProperties.
2.检查证书服务配置
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01并确保ServerManager已经打开。
1.在ServerManager,展开Roles/ActiveDirectoryCertificateServices/Woodgrovebank-Internal-Enterprise-Root并点击CertificateTemplates.
2.检查ServerandWorkstationAuthentication已列出.
v检查DomainCertificateAuto-Enrollment配置
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01。
3.在Start菜单,在AdministrativeTools中,点击GroupPolicyManagement.
4.依次展开Forest:
DomainPolicy.
5.单击OK.
6.在Action菜单,点击Edit.
7.依次展开ComputerConfiguration/Policies/WindowsSettings/SecuritySettings/PublicKeyPolicies.
8.双击CertificateServicesClient–Auto-Enrollment.
9.检查ConfigurationModel是Enabled,并且所有复选框都被选中,然后点击OK.
2.2完成DirectAccess基础结构服务的配置
在这个练习中,您将完成实现DirectAccess的基础结构服务的配置。
任务
步骤
1.为DirectAccess创建安全组
这个任务中您将创建一个新的安全组。
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01。
1.在Start菜单,AdministrativeTools中,点击ActiveDirectoryUsersandComputers.
2.在ActiveDirectoryUsersandComputers,展开并点击ManagedObjects.
3.创建一个名为DAClients的GlobalGroup。
4.添加BAL-CLI-01到DAClients组.
2.配置DNS
DNS配置的三个必要条件:
您必须能够实现全局的ISATAP名称解析,您必须为ISATAP创建一个DNS记录,您必须创建一个有效的反向查询区域。
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01。
9.在Start菜单,AdministrativeTools中,点击DNS.
10.依次展开BAL-DC-01/ForwardLookupZones并点击.
11.在Action菜单,点击NewHost(AorAAAA).
12.在Name下,输入ISATAP
13.在IPaddress下,输入192.168.1.3
♦这个地址是DirectAccess服务器上的internal(内部)地址.
14.点击AddHost并点击OK.
15.点击Done.
16.依次展开BAL-DC-01/ReverseLookupZones.
17.在Action菜单,点击NewZone.
18.点击Next四次直到出现ReverseLookupZoneName选项.
19.在NetworkID下,输入192.168.1并点击Next.
20.点击Next后点击Finish.
21.在Start菜单,点击Run,输入Regedit并按ENTER.
22.在RegistryEditor,依次展开HKLM:
\System\CurrentControlSet\Services\DNS\Parameters.
23.双击GlobalQueryBlockList.
24.在EditMulti-String对话框,删除ISATAP,这样只存在WPAD,并点击OK.
25.关闭RegistryEditor.
26.在Start菜单,点击CommandPrompt.
27.在CommandPrompt,输入如下命令并按ENTER:
ÃNetstopDNS&&NetStartDNS
3.为DirectAccess配置DNS名称空间
为了实现DirectAccess客户端能够连接到DirectAccess服务器,他们必须能够访问一个有效的证书吊销列表。
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01并确保DNSManager已经打开。
28.在DNSManager,依次展开ForwardLookupZones.
29.在Action菜单,点击NewZone.
30.点击Next.
31.点击PrimaryZone后点击Next.
32.点击Next.
33.在ZoneName下,输入后点击Next.
34.点击Next后点击Finish.
35.点击后在Action菜单,点击NewHost(AorAAAA).
36.在Name下,输入crl
37.在IPaddress下,输入192.168.1.3
♦这个地址是服务器上的内部地址并将用于发布CRL。
38.点击AddHost,点击OK后点击Done.
39.关闭DNSManager.
4.为CRL分发配置Web服务器
这个任务中,您将在DirectAccess服务器上添加IIS组件.
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DA-01。
40.在Start菜单,点击ServerManager.
41.在ServerManager,点击Roles后点击AddRoles.
42.点击Next,在SelectServerRoles,点击WebServer(IIS),点击Next.
43.点击Next.
44.在SelectRoleServices页面,检查IP和DomainRestrictions.
45.点击Next后点击Install.
46.当安装完成,点击Close.
47.使用WindowsExplorer,在c:
\inetpub目录下创建一个名为CRLDIST的子文件夹。
♦新文件夹如下c:
\InetPub\crldist.
48.在Start菜单,AdministrativeTools中,点击InternetInformationServices(IIS)Manager.
49.展开BAL-DA-01(Woodgrovebank\Administrator)后点击Sites.
50.在Actions窗口,点击AddWebSite.
51.在Sitename,输入CRLDist,在Physicalpath,输入c:
\InetPub\CRLDist,在Hostname,输入后点击OK.
52.在Sites下,点击CRLDist后在contents窗口,双击DirectoryBrowsing.
53.在Actions窗口,点击Enable.
54.关闭InternetInformationServices(IIS)Manager.
55.在Start菜单,AdministrativeTools中,点击ShareandStorageManagement.
56.在Actions窗口,点击ProvisionShare.
57.在Location,输入c:
\inetpub\crldist后点击Next.
58.点击Yes,changeNTFSpermissions后点击EditPermissions.
59.授予计算机BAL-DC-01Modify权限.
60.点击OK后点击Next.
61.在ShareProtocols页面,点击Next.
62.在SMBSettings页面,点击Next.
63.在SMBPermissions页面,点击AdministratorshaveFullControl,allotherusersandgroupshaveonlyReadaccessandWriteaccess.
64.点击Next.
65.在DFSNamespacePublishing页面,点击Next后点击Create.
66.点击Close.
5.配置CertificateRevocationListPublication
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01。
67.在Start菜单,AdministrativeTools中,点击CertificationAuthority.
68.在CertificateServices,点击woodgrovebank-Internal-Enterprise-Root,后在Action菜单,点击Properties.
69.在Extensionstab,点击Add.
70.在Location,输入
71.检查所有的三个可用复选框.
72.点击Add.
73.在Location,输入\\bal-da-01\crldist\.crl后点击OK.
74.检查PublishCRLstothislocation复选框后点击OK.
75.点击Yes重启CertificationAuthority.
6.更新已经发出的包含新的CRL的证书
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01并确保CertificationAuthority已经打开.
76.在CertificationAuthority,点击CertificateTemplates,后在Action菜单,点击Manage.
77.点击ServerandWorkstationAuthentication,后在Action菜单,点击ReenrollallCertificateHolders.
78.关闭CertificateTemplates控制台.
7.发布新的CRL并检验其可用性
在这个任务中,您将发布一个新的CRL。
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01并确保CertificationAuthority已经打开.
79.在CertificationAuthority,点击RevokedCertificates,后在Action菜单,指向AllTasks后点击Publish.
80.点击OK.
81.打开InternetExplorer并输入浏览该网站.
♦您将通过该站点看到.CRL文件已经可用.
8.在网络连接中配置域名后缀
在这个任务中,您将配置域控制器中网络连接的DNS。
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01。
✓Passw0rd!
82.在Start菜单,点击ServerManager.
83.在ServerManager,点击ServerManager后点击ViewNetworkConnections.
84.双击LabCorpNet后点击Properties.
85.点击InternetProtocolVersion4(TCP/IPv4)后点击Properties.
86.点击Advanced.
87.在DNStab,在DNSsuffixforthisconnection,输入W后点击OK.
88.点击OK.
89.点击Close.
90.点击Close
2.3完成DirectAccess服务器(DAS)的配置
在这个练习中,您将配置DirectAccess服务器(DAS)以便它能接受外部计算机的连接.
任务
步骤
1.配置计算机证书
这个任务中,您将强制更新计算机证书。
这一步骤将随着时间的推移自动发生。
我们强制更新是为了加快实验的速度。
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DA-01。
91.在Start菜单,点击CommandPrompt.
92.在CommandPrompt,输入如下命令并按ENTER:
ÃCertutil–Pulse
93.在Start菜单,点击Run,输入MMC并按ENTER.
94.在File菜单,点击Add/RemoveSnap-in.
95.点击Certificates后点击Add.
96.点击Computeraccount,点击Next后点击Finish.
97.点击OK以关闭AddorRemoveSnap-ins对话框.
98.展开Certificates(LocalComputer)后点击Personal.
99.在Actions窗口,点击MoreActions后点击AllTasks/RequestNewCertificate.
100.在CertificateEnrollment对话框,点击Next.
101.点击Next以接受defaultenrollmentpolicy.
102.检查SSLCertificate后点击Moreinformationisrequiredtoenrollforthiscertificate.Clickheretoconfiguresettings.
103.在CertificateProperties对话框中,SubjectName部分,Type字段,选择CommonName.
104.在Subjectname部分,Value字段,输入BAL-DA-,点击Add后点击OK.
105.点击Enroll后点击Finish.
2.启用IPV6防火墙规则
为了能够实现内部网络中的计算机连接到外部网络中的DAClient,ICMPv6必须在所有的网络连接中启用。
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DC-01。
106.在Start菜单,AdministrativeTools中,点击GroupPolicyManagement.
107.依次展开Forest:
\Domains\.
108.点击DefaultDomainPolicy,点击OK,后在Action菜单,点击Edit.
109.依次展开ComputerConfiguration\Policies\WindowsSettings\SecuritySettings\WindowsFirewallwithAdvancedSecurity\WindowsFirewallwithAdvancedSecurity\InboundRules.
110.点击InboundRules后在Actions窗口,点击NewRule.
111.点击Custom后点击Next.
112.点击Next.
113.在ProtocolType,点击ICMPv6后点击Next.
114.点击Next三次.
115.在Name,输入ICMPv6-In(Allow)后点击Finish.
116.切换到BAL-DA-01.
117.在CommandPrompt,输入如下命令并按ENTER:
ÃGPUPDATE/Force
♦组策略会自动刷新,但我们强制它更新,以便加快实验速度。
3.安装DirectAccess管理控制台
这个任务中您将安装DirectAcess管理控制台.
✓使用Woodgrovebank\Administrator帐号和密码Passw0rd!
登录到BAL-DA-01并确保ServerManager已经打开。
118.在ServerManager,点击Fea
升级会员 