Stap voor stap de installatie van DirectAccess
uk en zu zh-tw af sq ar zh-cn yo yi cy vi uz ur tr th te ta tg sv sw su es so sl sk si st sr ro pa pt pl fa no ne my mn mr mi mt ml ms mg mk lt lv la lo ko km kk kn jw ja it ga id ig is hu hmn hi iw ha ht gu el de ka gl fr fi tl et eo nl da cs hr ny ceb ca bg bs bn be eu az hy

categorie de belangrijkste  

Stap voor stap de installatie van DirectAccess


2018-01-14 07:32:46

Ik zit in een koffiehuis met uw mobiele computer, die lid is van de corporate domein. Wanneer u op de drive letter H:kan ik de bestanden en mappen op de interne file server. Wanneer u lopen gpupdate/force of wuauclt/detectnow beleid team groep worden toegepast, en controleert of er updates die afkomstig zijn van intern domein controllers en WSUS-server. Kortom, ik ben met behulp van DirectAccess en I like it.

Het bedrijf waar ik werk behoort tot een classse van kleine en middelgrote, en het kan worden toegeschreven aan zeer kleine ondernemingen. We hebben een beetje servers, maar die zijn, zijn van groot belang. Om de DirectAccess beginnen kostte ons installeer gewoon een nieuwe server en configureren van meerdere configuraties. Ik kan op elk moment in het kantoor of in een coffeeshop of ergens anders.

DirectAccess? Voor middelgrote of kleine? Ja en ja, en de omgeving is niet zo complex als beschouwd. Het een niet-triviaal, maar niet onmogelijk.

Stap 1:Maak en Bereid de DirectAccess server

Begin met training machines waarop Windows Server 2008 R2 met twee netwerkkaarten. Deze machine moet lid zijn van de interne Active Directory-domein. Een netwerkkaart is aangesloten op een extern subnet, en de andere & mdash; tot het interne netwerk. Vervolgens moet je de certificaten voor DirectAccess installeren. Omdat de server zal dienen als een brug tussen het externe en het interne netwerk is nodig om ervoor te zorgen dat het werd bijgewoond door alle nodige updates.

Wilt u ook twee opeenvolgende IP-adressen, bijvoorbeeld 98.34.120.34 en 98.34.120.35. Het is belangrijk dat zij stroken. De bereiding van dergelijke adressen kan een uitdaging voor de IT-afdeling van een klein bedrijf. Het moet heel voorzichtig zijn aanpak voor het kiezen van een ISP zijn.

Door de keuze van het adres moet zeer zorgvuldig worden genomen. Het ding is, sommige adressen worden als & laquo beschouwd; sequentiële ». De DirectAccess console geeft alfabetisch alle geopende, de IPv4-adressen toegewezen aan de Internet-adapter. Daarom DirectAccess behandelt deze paren worden niet beschouwd consequent te zijn:wxy9 en wxy10 (omdat ze worden besteld als wxy10, wxy9), wxy99 en wxy100 (ze worden besteld als wxy100, wxy99), wxy1, WXY 2 en wxy10 (ze worden gesorteerd als wxy1, wxy10, wxy2). In deze gevallen moet u andere sets van opeenvolgende adressen.

Stel de externe adressen op de externe adapter, de DirectAccess server, en het interne adres op de interne adapter. Niet slecht op hetzelfde moment de naam van de kaart, niet te vergeten, welke adapters u aansluitingen zijn. DNS-achtervoegsel voor deze verbinding gelijk aan de binnenste suffix stellen.

Stap 2:Maak een externe DNS-records

Voor DirectAccess vereist dat de resolutie van een paar externe adressen met behulp van de externe DNS-recordtype A. Beide ingangen moet verwijzen naar de eerste van een paar opeenvolgende IP-adressen (niet de tweede en niet beide). Hoewel ze allebei en wijzen op hetzelfde adres, gebruikt DirectAccess slechts een. Ten tweede moet u zoeken naar de certificaatintrekkingslijst (CRL), die we binnenkort zal oprichten.

Bijvoorbeeld, in de omgeving, zijn er twee ingangen A - directaccess.company.com en crl.company.com. Voor het maken van deze records kan nodig zijn om uw internet service provider te helpen.

Stap 3:Maak een PKI met behulp van Active Directory Certificate Services

Services

Een van de DirectAccess beveiligingscomponenten - Mutual Authentication Certificate Services-service betekent een public key infrastructure (PKI). Voeg de rol van Active Directory Certificate Services (ADCS) rol service en de Certification Authority (CA) op de bestaande server, zoals een domein controller. Pas het als root en maak een nieuwe CA private sleutel, terwijl alle andere parameters met standaardwaarden.

Vervolgens moet je een certificaat sjabloon web-server. In de Manager console Server, navigeer naar de ADCS rol en klik op Certificaatsjablonen. Rechtermuisknop op de webserver template en selecteer Kopie van sjabloon.

Een Windows Server 2008 Enterprise maken en open de eigenschappen van de console. Op het tabblad Request Handling, selecteert u Toestaan ​​private key te exporteren. Op het tabblad Beveiliging subsidie ​​groepen Domain Computers en Geverifieerde gebruikers de machtigingen lezen en schrijven. Verlaat het Properties console en met de rechtermuisknop op de zojuist gemaakte sjabloon. Selecteer Change Namen, en zet de template een beschrijvende naam.

Voeg de sjabloon om een ​​map CA Certificaatsjablonen, wat met de rechtermuisknop op de map en kies Nieuw/Certificaatsjabloon uit te brengen. Selecteer en laat de nieuw gecreëerde template.

Stap 4:Installeer de CRL server DirectAccess

Gebruik PKI-certificaat infrastructuur moet de toegang tot de CRL lijst. Lijst bevat een lijst met ingetrokken certificaten die ongeldig zijn geworden. U moet toegang hebben tot de lijst CRL van zowel het internet en het intranet, dus je DirectAccess server is uitermate geschikt om hen tegemoet te komen.

Begin met het installeren van IIS rol bij de samenstelling rol diensten standaard. De Manager IIS-beheer, maakt u een nieuwe virtuele map met de naam CRLD, die "looks" naar de map C: Inetpub wwwroot crld. Inschakelen Bladeren door mappen op de pagina Eigenschappen van de virtuele map.

Maak vervolgens een gedeelde map C: Inetpub wwwroot crld genaamd CRLD $. Zorg voor Computer CA machtiging Volledig beheer rekening voor toegang tot de gedeelde map.

Ga terug naar de Virtual Directory Properties pagina de Configuration Editor en navigeer naar system.webServer/security/verzoek filteren. Wijs parameter Double Ontsnappen aan de waarde True.

Maak vervolgens een pad voor klanten, die de resolutie voor de detectie van CRL zowel interne als externe netwerken voeren. Ga terug naar het domein controller, opent de Autoriteit console Certification, met de rechtermuisknop op het hoofdknooppunt in de console, en open het Server venster Eigenschappen CA. Op het tabblad Extensies, selecteer de CRL Distribution Point extensie (CDP). Klik op Toevoegen en voer het externe adres dat de externe klanten zullen gebruiken om de CRL te verkrijgen.

Ik gebruik dit adres:http://crl.company.com/crld/ .crl. Uw adres zal vergelijkbaar zijn met uitzondering van de volledige naam van de server. Selecteer alle selectievakjes aan de onderkant van de pagina. Nogmaals, klik op Toevoegen aan een aansluiting voor interne klanten te creëren. Geef het UNC-pad dat interne klanten kunnen gebruiken om toegang te krijgen tot de CRL.

Mijn manier is dit: crl.company.internal crld $ .crl. Aangezien dit is een interne verbinding met het netwerk, die een lijst van de CRL gepubliceerd, moet u het installeren van de Publiceren CRL vlaggen en publiceren Delta CRL`s.

Terug in de CA-console met de rechtermuisknop op ingetrokken certificaten, en klik vervolgens op Alle taken/publiceren. Als je alles goed hebt gedaan, moet u de gedeelde map in twee het CRL-bestand te zien.

Stap 5:Installeer Certificaten op de DirectAccess servers, netwerk locatie

Eerder heb je al certificaat sjablonen. Nu is het tijd om de certificaten zelf te creëren. DirectAccess server en het netwerk locatie naar de juiste server voor wederzijdse verificatie vereist web servara certificaten.

Open de Certificates MMC-console op de DirectAccess server en ga naar de Certificaten/Personal winkel. Klik met de rechtermuisknop Certificaten en klik vervolgens op Alle taken/Nieuw certificaat aanvragen. De Certificaatinschrijving console, selecteert u het certificaat dat u hebt gemaakt in stap 3

Link openen met een voorstel om extra informatie voor het certificaat aanvraag in te voeren. Klik op de link in het dialoogvenster, selecteer het tabblad onderwerp. Vraag een veel voorkomende naam en alternatieve DNS-naam. De laatste is een externe volledige externe naam van de DirectAccess server (bijvoorbeeld, mijn naam directaccess.company.com). Consequent en klik op OK Inschrijven, een verzoek om een ​​certificaat te sturen.

De server netwerklocatie (NLS) is een interne server die de IIS-rol wordt uitgevoerd. NLS niet veel middelen nodig, zodat het veilig op een bestaande server kan worden geïnstalleerd. Op dezelfde manier, stelt u in stap 3 op de NLS server-certificaat. Maar deze keer is er een klein verschil. In plaats van een interne volledige naam van de DirectAccess server moet de volledige naam opgelost op het lokale netwerk op te geven.

In mijn geval, deze naam nls.company.internal, die ik toegevoegd aan het DNS als een CNAME real NLS server. DirectAccess deals in NLS voor protokoluhttpS, dus we moeten een CNAME privyazkuhttpS creëren om deze op de standaard website.

Stap 6:Het voorbereiden van Clients Group Policy

Voor DirectAccess nodig hebt om een ​​aantal firewall-instellingen en automatische voersysteem van de aanvragen voor certificaten configureren, dat is het meest eenvoudig te doen met behulp van groepsbeleid. De eerste stap is om inkomende en uitgaande regels voor de ICMPv6, dat ondersteuning voor IPv6 ping-verzoeken dat voor de normale werking van DirectAccess zal zorgen te maken.

In Console Group Policy Management Editor, gaat u naar Computerconfiguratie/Beleid/Windows-instellingen/Beveiligingsinstellingen/Windows Firewall met geavanceerde beveiliging/Windows Firewall met geavanceerde beveiliging. Maak een nieuwe regel voor inkomende verbindingen. Selecteer de aangepaste regel soort voor alle programma`s, in het vak Protocol, klik ICMPv6, en in de Echo aanvraag - specifieke ICMP het type

.

Deze regel toepassen op alle lokale en externe IP-adressen en de verbinding in alle drie de profielen te activeren. Noem de regel en klik op Voltooien. Na herhalen van dezelfde bewerking, maakt de uitgaande regel met dezelfde parameters.

U kunt een andere configuratie van de klant te creëren in dezelfde of een nieuwe Group Policy object (GPO). Op dit moment in de Groepsbeleid-editor, navigeer naar Computer Configuration/Beleid/Windows-instellingen/Beveiligingsinstellingen/Beleid voor openbare sleutels en beleidsvisie eigenschappen Certificate Services Client & ndash; Auto-inschrijving. In Configuratie Model, stelt het selectievakje Ingeschakeld en stel twee selectievakjes die beschikbaar komen. Klik op OK.

De laatste groepsbeleidsinstelling kan worden gevonden in het knooppunt Beleid voor openbare sleutels/Automatische Certificate Request-instellingen. Klik met de rechtermuisknop en kies Nieuw/Automatic Certificate Request. Een venster opent automatisch verzoeken certificaten Configuration Wizard (Automatic Certificate Wizard Request Setup). Hiermee kunt u de soorten certificaten die de computer automatisch zal vragen te geven. Selecteer de Computer template en doorloop de wizard.

Breng de resulterende Groepsbeleid naar uw domein, alles te installeren en te gebruiken op alle computers. Voordat u de volgende twee stappen, pauzeren, voldoende om ervoor te zorgen dat het beleid toegepast op alle computers.

Stap 7:Voorbereiden Domain Services

Er zijn drie opgezet kleine bewerkingen die u toelaten om domein diensten voor te bereiden voor het werken met DirectAccess. Ten eerste is het noodzakelijk om een ​​globale groep creëren. DirectAccess is om externe toegang te verlenen aan de leden van de internationale groep. Toe te voegen aan deze groep de computer accounts die toegang moet worden verleend.

In de tweede plaats moet de DHCP-server te wijzigen. Als uw omgeving is niet IPv6 wordt uitgevoerd, wijzigt u de DHCP-server configuratie - Stel de DHCPv6 server mode zonder het bijhouden van de status

.

Ten derde moet de DNS-. In sommige gevallen, DirectAccess vereiste protocol ISATAP (Intra-Site Automatic tunneling-adres Protocol). Dit protocol is meestal onderdeel van de wereldwijde blok lijst op de DNS-server, dus meer dan ISATAP verwijderd uit deze lijst. Om dit te doen in de Register-editor op elke DNS-server knooppunt, klikt u op HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services DNS Parameters en de toetreding ISATAP verwijderen. Daarna moet voor het herstarten.

Stap 8:Installeer DirectAccess

We zijn nu klaar om DirectAccess installeren. Deze operatie wordt uitgevoerd door middel van Server Manager (Server Manager). Na de installatie, open de DirectAccess console en ga naar de Setup knooppunt. DirectAccess Setup bestaat uit vier stappen:

  1. Geef de internationale groep die de computer accounts dat het noodzakelijk is om externe toegang te bieden bevat.
  2. Geef het netwerk het internet en het interne netwerk interfaces, evenals het CA-certificaat server en een externe server. Het is simpel, als je interfaces en certificaten hernoemen, om hen gemakkelijk te onthouden namen.
  3. Geef de infrastructuur servers die kunnen communiceren met externe klanten. Hier is het noodzakelijk om het URL-adres van de server NLS, alsmede de naam en de parameters van IPv6 DNS servers, domeincontrollers en andere servers die u gebruikt om clients zoals WSUS Server of System Center specificeren. Alle servers ondersteunen IPv6 moet worden opgenomen.
  4. Voltooi de configuratie door het specificeren van alle andere servers die u wilt toegang tot externe klanten toe te kennen. Het servers serving client-side applicaties.

Na voltooiing van deze operaties, de installatie is voltooid. Tijdens de DirectAccess Setup twee GPO object (naast het feit eerder gemaakte), die moeten binden aan het domein. Deze GPOs configureren DirectAccess clients aan te sluiten.





gerelateerde artikelen

  Minecraft voor Windows 10 kregen multiplayer
  Apple heeft kopieersnelheid gecorrigeerd voor SATA II bij de MacBook Pro
  Nieuwe web browser Skyfire mobiele
  5 slechte dingen
 

De site is een privé-collectie van materialen en minnaar informatieve en educatieve middelen. Alle informatie die is verkregen uit openbare bronnen. De administratie is niet van toepassing voor het auteurschap van de gebruikte materialen. Alle rechten behoren tot hun eigenaars