DirectAccess完整配置

本次实验的结构图

在sever-2上创建好域环境（yangwj.com）、证书颁发机构

为sever-2的web服务器申请服务器证书并绑定https

1. 找到服务器证书

2. 开始使用向导完成服务器证书申请

注意通用名称那里很重要，客户端将通过这个名称来使用https访问网站

3. 其他的下一步并完成第一阶段

4. 打开ie浏览器进入第二个阶段申请

5. 选择高级申请后再选择使用编码格式

6. 复制先前创建好的记事本里的编码文件并选择web服务器证书

7. 提交完成颁发后下载并使用先前那里的向导完成证书申请

选择下载的证书文件并给个好记的名字

8. 最后绑定证书

将sever-1加入域yangwj.com，然后安装功能directaccess

配置directoraccess前需要做的几点

1. 打开高级防火墙开启ipv6的出站和入站规则

2. Sever-1的外网卡需要配置两个ipv4地址

3. Sever-1的内网卡需要添加dns后缀名

4. 通过想到申请计算机证书

5. 创建需要进行directaccess连接的组并将用户加入

开始配置directaccess

1. 添加需要连接管理的组

2. 完成后开始配置步骤二

3. 输入受信任根证书和计算机证书

4. 完成之后进入步骤三配置验证的网络服务器

要验证成功的话需要为sever-2上的web服务器申请证书并绑定，并且可以解析到sever-2.yangwj.com

5. 配置ipv6的dns服务器地址（可以自己修改为ipv4）

6. 手动输入ipv4的及验证

7. 配置可以管理directaccess的服务器ip

8. 手动配置服务器的ip

9. 最后配置步骤四，可以直接保持默认

10.点击完成并应用

客户端设置

1. 申请用户证书（使用向导并完成）

2. 下载吊销列表并且导入

3. 在客户端下载吊销列表之前需要在证书颁发机构上指定CRL的分发点

还有颁发机构的信息访问

4. 客户端安装吊销列表后查看

客户端设置完成

客户端验证

备注：由于一些方面的原因，最后客户端没有验证成功，上次在无意间可以成功验证，由于我所搭建的网络环境没有网上的那么复杂，可能会是其中的原因之一，还有就是它是基于ipv6的，因此我没有ipv6的应用程序来测试，我所建设的网络结构是将web验证客户端的服务器放在域控制器上，可能会有些影响，但是需要注意的是：最核心的是吊销列表的访问，那些配置不成功肯定是不能连接到公司内网的，还有这个实验可以结合微软的UAG产品一起搭配使用，但是由于方方面面的原因，我只有再等时间来完成这个实验了，目前已经大二了，还有两年的时间，感觉很紧，还要自学c\c++,java,c#,虽然我的专业是网络工程架构，管理服务器搞server系列的，但是对于这些老师并不会讲到，总的来说还是靠自己学习，所以在一些配置技术上还是会存在不足之处，在此希望大家一起来学习研究，将其完善，因为网上的此类文章并没有清楚讲述完整的，以至于很难让人看懂，因此将每一个步骤截图得很详细，希望对大家有帮助