百科--------------------------------------------------------------------------------------------
Direct Access 称为直接访问,它是Windows 7和Windows Server 2008 R2中的一项新功能。凭借这个功能,外网的用户可以在不需要建立×××连接的情况下,高速、安全的从Internet直接访问公司防火墙之后的资源。
DirectAccess 网络连接示意图
Direct Access功能克服了×××的很多局限性,它可以自动地在外网客户机和公司内网服务器之间连接双向的连接。Direct Access通过利用IPv6技术的一些特性做到这点。Direct Access使用IPSec进行计算机之间的验证,这也允许了IT部门在用户登录之前进行计算机的管理。
Direct Access工作时,客户机建立一个通向DirectAccess 服务器的IPv6隧道连接。这个IPv6的隧道连接,可以在普通的IPv4网络上工作,如图所示。DirectAccess 服务器承担了网关的角色,连接内网和外网之间。
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------DC 192.168.1.66 xin.xinn.com
DA 192.168.1.67 sr2.xinn.com 双网卡131.107.0.88
win7 一台,3台主机加入域xinn.com中
1DC 上建立全局安全组DAClient,
2加计算机win7客户端,用户lucy为成员
3建反向查找记录1.168.192
4更新其他主机的ptr,tick prt option
5
建2个A记录 ISATAP/CRL都指向DA内部网卡
6注册表中只阻止wpad, 不阻止ISATAP
Dnscmd /config /gloalqueryblocklist wpad.
7装CA服务(企业)
8管理模板-复制-起模板名字DA moban-请求处理(允许导出私钥)
9安全tab中,选注册-自动注册给计算机(domain computers)和所有用户(authentificated users)
10选择刚才建立的模板DA moban
下面证书撤销列表(外网可访问)
11
外网域名
12自动注册(组策略)
启用 tick 2 option
13允许IPV4,V6回显-添加规则-自定义-icmpv4/6-允许连接(出入都是),出入站各2条
14配DA
尚未加入域,2网卡-内网加内网DNS后缀,外网加俩个连续IP和外网域名加在DNS后缀
加入域
15装iis角色,加ip和域限制选项
16
目录浏览-启用
17配置编辑器-下图-第一个选项false改为true-应用
18察看
19网站绑定,加https选择上述证书
20
21到DC上发布后,
到DA中
22
DA-申请证书
加公用名/DNS各4条
23加个友好名称
24添加功能
25
26步骤一
27步骤二
28步骤3
删除
29
步骤4直接配置完成
保存-完成-应用
30
域中所有计算机gpupdate,服务ip helper重启
31 netsh namespace show policy
上图说明错误
到DA上做:
Netsh namespace show effective
真机上建新区域,指向xinhome.com
改真机的ip-虚拟机133…..
Win7改成公网后设置
