DirectAccess完整配置
本次实验的结构图
在sever-2上创建好域环境(yangwj.com)、证书颁发机构
为sever-2的web服务器申请服务器证书并绑定https
1. 找到服务器证书
2. 开始使用向导完成服务器证书申请
注意通用名称那里很重要,客户端将通过这个名称来使用https访问网站
3. 其他的下一步并完成第一阶段
4. 打开ie浏览器进入第二个阶段申请
5. 选择高级申请后再选择使用编码格式
6. 复制先前创建好的记事本里的编码文件并选择web服务器证书
7. 提交完成颁发后下载并使用先前那里的向导完成证书申请
选择下载的证书文件并给个好记的名字
8. 最后绑定证书
将sever-1加入域yangwj.com,然后安装功能directaccess
配置directoraccess前需要做的几点
1. 打开高级防火墙开启ipv6的出站和入站规则
2. Sever-1的外网卡需要配置两个ipv4地址
3. Sever-1的内网卡需要添加dns后缀名
4. 通过想到申请计算机证书
5. 创建需要进行directaccess连接的组并将用户加入
开始配置directaccess
1. 添加需要连接管理的组
2. 完成后开始配置步骤二
3. 输入受信任根证书和计算机证书
4. 完成之后进入步骤三配置验证的网络服务器
要验证成功的话需要为sever-2上的web服务器申请证书并绑定,并且可以解析到sever-2.yangwj.com
5. 配置ipv6的dns服务器地址(可以自己修改为ipv4)
6. 手动输入ipv4的及验证
7. 配置可以管理directaccess的服务器ip
8. 手动配置服务器的ip
9. 最后配置步骤四,可以直接保持默认
10.点击完成并应用
客户端设置
1. 申请用户证书(使用向导并完成)
2. 下载吊销列表并且导入
3. 在客户端下载吊销列表之前需要在证书颁发机构上指定CRL的分发点
还有颁发机构的信息访问
4. 客户端安装吊销列表后查看
客户端设置完成
客户端验证
备注:由于一些方面的原因,最后客户端没有验证成功,上次在无意间可以成功验证,由于我所搭建的网络环境没有网上的那么复杂,可能会是其中的原因之一,还有就是它是基于ipv6的,因此我没有ipv6的应用程序来测试,我所建设的网络结构是将web验证客户端的服务器放在域控制器上,可能会有些影响,但是需要注意的是:最核心的是吊销列表的访问,那些配置不成功肯定是不能连接到公司内网的,还有这个实验可以结合微软的UAG产品一起搭配使用,但是由于方方面面的原因,我只有再等时间来完成这个实验了,目前已经大二了,还有两年的时间,感觉很紧,还要自学c\c++,java,c#,虽然我的专业是网络工程架构,管理服务器搞server系列的,但是对于这些老师并不会讲到,总的来说还是靠自己学习,所以在一些配置技术上还是会存在不足之处,在此希望大家一起来学习研究,将其完善,因为网上的此类文章并没有清楚讲述完整的,以至于很难让人看懂,因此将每一个步骤截图得很详细,希望对大家有帮助
心有所想,手便有所作,协同起每一分神经的触动,让畅想看到骄傲的成果,辉煌一散笔下,回首一幕天空,让世人的见长铸就我翱翔的梦