E2E: hướng dẫn thiết lập máy chủ truy cập hỗn hợp môi trường IPv4 và IPv6

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 3022362
Thông báo
Bài viết này là một loạt các bài viết về điểm để cấu hình và khắc phục sự cố của DirectAccess. Để biết danh sách đầy đủ của, hãy xem Điểm để cấu hình và khắc phục sự cố DirectAccess.
Tóm tắt
Hướng dẫn này cung cấp hướng dẫn từng bước để cấu hình DirectAccess triển khai máy chủ nguồn IPv4 và IPv6 hỗn hợp trong phòng thí nghiệm thử nghiệm để chứng minh các chức năng kinh nghiệm triển khai. Bạn sẽ thiết lập và triển khai DirectAccess dựa trên Windows Server 2012 sở cấu hình bằng cách sử dụng năm máy chủ và máy tính khách hai. Phòng thí nghiệm kiểm tra kết quả mô phỏng mạng intranet, Internet và mạng gia đình và chứng tỏ DirectAccess trong kịch bản kết nối Internet khác nhau.

Quan trọng Các hướng dẫn cấu hình một phòng thí nghiệm kiểm tra truy nhập từ xa sử dụng số máy tính, tối thiểu. Máy tính cá nhân là cần thiết để tách các bản ghi dịch vụ được cung cấp trên mạng và hiển thị rõ ràng chức năng mong muốn. Cấu hình này không được thiết kế để phản ánh các thực tiễn tốt nhất và nó không phản ánh hình mong muốn hoặc được khuyến nghị cho mạng sản xuất. Cấu hình, bao gồm địa chỉ IP và tất cả các tham số cấu hình, được thiết kế chỉ hoạt động trên mạng phòng thí nghiệm kiểm tra riêng biệt. Cố gắng điều chỉnh cấu hình phòng thí nghiệm kiểm tra truy nhập từ xa để triển khai thử nghiệm hoặc sản phẩm có thể gây ra vấn đề chức năng hoặc cấu hình.
Thông tin triển khai

Tổng quan

Trong phòng thí nghiệm thử nghiệm này, truy nhập từ xa được triển khai với cấu trúc liên kết sau:
  • Máy tính đang chạy Windows Server 2012 tên DC1 được cấu hình với một mạng nội bộ điều khiển miền, máy chủ Hệ thống Tên Miền (DNS) và máy chủ lưu trữ cấu hình giao thức động (DHCP).
  • Một máy chủ thành viên nội bộ đang chạy Windows Server 2012 tên EDGE1 được cấu hình như một máy chủ DirectAccess.
  • Một máy chủ thành viên nội bộ đang chạy Windows Server 2012 tên APP1 được cấu hình máy phục vụ ứng dụng chung và Máy chủ Web. APP1 được cấu hình như một cơ quan chứng nhận doanh nghiệp gốc (CA) và là vị trí mạng máy chủ (NLS) cho DirectAccess.
  • Một máy chủ thành viên nội bộ đang chạy Windows Server 2008 R2 có tên APP2 đã được cấu hình máy chủ chung và Máy chủ Web. APP2 là một nguồn chỉ IPv4 nội bộ được sử dụng để chứng tỏ khả năng NAT64 và DNS64.
  • Một máy chủ độc lập đang chạy Windows Server 2012 tên INET1 được cấu hình máy chủ Internet DHCP, máy chủ DNS và Máy chủ Web.
  • Một chuyển vùng tài khoản của khách hàng máy tính đang chạy Windows 8 tên CLIENT1 được cấu hình là một khách hàng DirectAccess.
  • Máy tính độc lập khách hàng đang chạy Windows 8 có tên NAT1 đã được cấu hình là thiết bị dịch (NAT) địa chỉ mạng bằng cách sử dụng chia sẻ kết nối Internet.
Phòng thí nghiệm kiểm tra truy nhập từ xa bao gồm các mạng con ba mô phỏng sau:
  • Internet (131.107.0.0/24).
  • Mạng intranet có tên Corpnet (10.0.0.0/24), (2001:db8:1:: / 64), tách ra từ Internet bằng EDGE1.
  • Một mạng gia đình tên Homenet (192.168.137.0/24) kết nối với mạng con Internet bằng cách sử dụng một thiết bị NAT.
Máy tính mỗi con kết nối bằng cách sử dụng một trung tâm hoặc chuyển đổi. Xem hình dưới đây:
Triển khai
Phòng thí nghiệm kiểm tra này trình bày khai DirectAccess máy chủ trong đó nội bộ tài nguyên là IPv4 và IPv6.

Yêu cầu phần cứng và phần mềm

Sau đây là các cấu phần bắt buộc của phòng thí nghiệm thử nghiệm:
  • Sản phẩm đĩa hoặc tệp Windows Server 2012
  • Sản phẩm đĩa hoặc tệp cho Windows 8
  • Sản phẩm đĩa hoặc các tập tin cho Windows Server 2008 R2
  • 6 máy tính hoặc máy ảo đáp ứng các yêu cầu phần cứng tối thiểu cho Windows Server 2012
  • Một máy tính hoặc máy ảo đáp ứng các yêu cầu phần cứng cho Windows Server 2008 R2

Vấn đề đã biết

Đây vấn đề đã biết khi bạn cấu hình một máy chủ DirectAccess phòng thí nghiệm với Windows Server 2012:
  • Di chuyển hình DirectAccess từ một máy chủ Windows Server 2012 khác không được hỗ trợ trong phiên bản này và gây ra bàn điều khiển quản lý truy nhập từ xa để dừng đáp ứng và đóng đột ngột. Để khắc phục sự cố này, hãy làm như sau:
    1. Khởi động Trình soạn Sổ đăng ký.
    2. Trong Registry Editor, định vị và sau đó bấm vào khoá con kiểm nhập sau:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ramgmtsvc\Config\Parameters
    3. Xoá giá trị DWORD DaConfigured .
    4. Từ dấu kiểm nhắc lệnh, chạy gpupdate / Force trên máy chủ DirectAccess mới.
  • Quản lý từ một máy tính không phải miền-tham gia qua RSAT không thể nếu tài khoản máy chủ đích danh sách của máy tính không phải miền-tham gia WinRM TrustedHosts.
    • Để thêm máy chủ mục tiêu DirectAccess của máy tính không phải miền-tham gia danh sách WinRM TrustedHosts, chạy lệnh sau:
      set-item wsman:\localhost\client\trustedhosts "<computerName>" -force
  • Trong phiên bản này, thuật sĩ truy nhập từ xa sẽ luôn liên kết DirectAccess đối tượng chính sách nhóm (GPO) vào mục tin thư thoại gốc miền, ngay cả khi các GPO đã được liên kết đến một vùng chứa trong Thư mục Họat động. Nếu bạn muốn liên kết GPO vào một đơn vị tổ chức để triển khai, loại bỏ liên kết gốc miền và sau đó relink GPO để đơn vị tổ chức mong muốn sau khi thuật sĩ kết thúc. Cách khác, bạn có thể loại bỏ quyền liên kết vào mục tin thư thoại gốc miền dành cho quản trị viên DirectAccess trước khi cấu hình DirectAccess.

Các bước sau để cấu hình phòng thí nghiệm kiểm tra truy nhập từ xa

Có sáu bước cần thực hiện khi bạn thiết lập một truy nhập từ xa nhận thiết lập phòng thí nghiệm thử nghiệm dựa trên phòng thí nghiệm kiểm tra cấu hình cơ sở Windows Server 2012.
  1. Thiết lập phòng thí nghiệm kiểm tra cấu hình cơ sở:

    Phòng thí nghiệm kiểm tra DirectAccess máy chủ yêu cầu các Hướng dẫn phòng thí nghiệm thử nghiệm: Windows Server 2012 cấu hình cơ sở với Tùy chọn mô-đun nhỏ: Homenet mạng conTùy chọn mô-đun nhỏ: PKI cơ bản với điểm Bắt đầu của nó.
  2. Cấu hình DC1:

    DC1 đã được cấu hình là bộ điều khiển miền với Thư mục Họat động và máy chủ DNS và DHCP cho mạng con nội bộ. Máy chủ một phòng thí nghiệm kiểm tra DirectAccess DC1 phải được cấu hình để có địa chỉ IPv6 tĩnh. nhóm bảo mật sẽ được thêm vào Thư mục Họat động cho DirectAccess máy tính khách.
  3. Cấu hình APP1:

    APP1 đã có một máy chủ thành viên đã được cấu hình IIS và cũng hoạt động như một máy chủ tập tin và doanh nghiệp gốc cơ quan chứng nhận (CA). Để truy nhập từ xa nhận thiết lập thử nghiệm phòng thí nghiệm, APP1 phải được cấu hình để có địa chỉ IPv6 tĩnh.
  4. Cấu hình APP2:

    APP2 được cấu hình như một Máy chủ Web và tệp để thể hiện tài nguyên chỉ IPv4 nội bộ.
  5. Cấu hình EDGE1:

    EDGE1 đã có một máy chủ thành viên. Đối với máy chủ DirectAccess thử nghiệm phòng thí nghiệm, EDGE1 phải được cấu hình với máy chủ truy nhập từ xa có địa chỉ IPv6 tĩnh.
  6. Cấu hình CLIENT1:

    CLIENT1 đã có tên miền tài khoản của máy tính khách đang chạy Windows 8. Để truy nhập từ xa nhận thiết lập thử nghiệm phòng thí nghiệm, CLIENT1 sẽ được sử dụng để kiểm tra và thể hiện hoạt động truy nhập từ xa.
Lưu ý: Bạn phải kí nhập thành viên của nhóm quản trị viên miền hoặc thành viên của nhóm quản trị viên trên mỗi máy tính để hoàn tất tác vụ được mô tả trong hướng dẫn này. Nếu bạn không thể hoàn tất tác vụ khi bạn kí nhập bằng tài khoản thành viên của nhóm quản trị viên, hãy thử thực hiện tác vụ khi bạn kí nhập bằng tài khoản thành viên của nhóm quản trị viên miền.
Phương pháp triển khai
Hướng dẫn này cung cấp các bước sau để cấu hình máy tính Windows Server 2012 cơ sở hình phòng thí nghiệm, kiểm tra cấu hình truy nhập từ xa trong Windows Server 2012 và mô tả Kết nối từ xa máy tính khách. Phần sau đây cung cấp chi tiết về cách thực hiện các tác vụ này.

Bước 1: Thiết lập phòng thí nghiệm kiểm tra cấu hình cơ sở

Thiết lập phòng thí nghiệm kiểm tra cấu hình cơ sở cho mạng con Corpnet và Internet bằng cách sử dụng các quy trình trong phần "Bước để cấu hình các Corpnet con" và "Bước để cấu hình các Internet mạng con" của các Hướng dẫn phòng thí nghiệm thử nghiệm: Windows Server 2012 cấu hình cơ sở.

Thiết lập mạng con Homenet bằng cách sử dụng quy trình trong phần Tùy chọn mô-đun nhỏ: Homenet mạng con.

Triển khai cơ sở hạ tầng cơ sở chứng chỉ bằng cách sử dụng quy trình trong phần Tùy chọn mô-đun nhỏ: PKI cơ bản.

Bước 2: Cấu hình DC1

Cấu hình DC1 phòng thí nghiệm kiểm tra việc triển khai DirectAccess máy chủ bao gồm các quy trình sau:
  • Đặt cấu hình địa chỉ IPv6 DC1.
  • Tạo một nhóm bảo mật cho máy tính khách DirectAccess.
  • Tạo một vị trí mạng máy chủ DNS ghi.
  • Tạo quy tắc tường lửa ICMPv4 và ICMPv6 yêu cầu echo miền chính sách nhóm.
Các phần sau đây giải thích các quy trình chi tiết.

Cấu hình địa chỉ IPv6 trên DC1

Phòng thí nghiệm kiểm tra Windows Server 2012 sở cấu hình không bao gồm cấu hình địa chỉ IPv6. Trong bước này, thêm để hỗ trợ triển khai DirectAccess cấu hình địa chỉ IPv6.
Để cấu hình một địa chỉ IPv6 trên DC1
  1. Trong quản lý máy chủ, bấm vào Máy chủ địa phương trong cây điều khiển. Cuộn lên đầu ngăn chi tiết, và sau đó nhấp vào liên kết bên cạnh Ethernet.
  2. Kết nối mạng, bấm chuột phải vào Ethernetvà sau đó bấm thuộc tính.
  3. Bấm Internet Protocol phiên bản 6 (TCP/IPv6), và sau đó bấm thuộc tính.
  4. Nhấp vào sử dụng địa chỉ IPv6. Địa chỉ IPv6, gõ 2001:db8:1::1. Độ dài tiền tố con, gõ 64. Trong cổng mặc định, gõ 2001:db8:1::2. Nhấp vào sử dụng các địa chỉ máy chủ DNS sau đâyvà trong máy chủ DNS ưa thích, hãy nhập 2001:db8:1::1, sau đó bấm OK.
  5. Bấm Internet Protocol Version 4 (TCP/IPv4), và sau đó bấm thuộc tính.
  6. Trong cổng mặc định, gõ 10.0.0.2, sau đó bấm OK.
  7. Đóng hộp thoại Thuộc tính Ethernet .
  8. Đóng cửa sổ Kết nối mạng .
Giới thiệu: Đặt cấu hình địa chỉ IPv6 DC1


Lưu ý: Các lệnh ghép ngắn Windows PowerShell hoặc lệnh ghép ngắn thực hiện chức năng tương tự như quy trình trước đó. Nhập mỗi lệnh trên một dòng, mặc dù chúng có thể xuất hiện từ gói trên một vài dòng đây vì định dạng khó khăn. Xin lưu ý rằng tên "Ethernet" giao diện có thể khác trên máy tính của bạn. Sử dụng ipconfig/all vào danh sách trong các giao diện.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::1 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Bước 3: Tạo một nhóm bảo mật cho máy tính khách DirectAccess

Khi DirectAccess được cấu hình, nó sẽ tự động tạo GPO có cài đặt chuyên biệt DirectAccess và này được áp dụng cho DirectAccess máy tính khách và máy chủ. theo mặc định, thuật sĩ khởi động các áp dụng khách GPO để máy tính di động, trong nhóm bảo mật máy tính miền. Quy trình trong phòng thí nghiệm này không sử dụng thiết đặt mặc định, nhưng thay vì tạo một nhóm bảo mật khác cho khách hàng DirectAccess.

Để tạo một nhóm bảo mật của khách hàng DirectAccess

  1. Trên DC1, từ màn hình Bắt đầu , bấm vào Trung tâm quản trị Thư mục Họat động.
  2. Trong cây điều khiển, bấm vào mũi tên mở rộng corp (cục bộ), và sau đó nhấp vào người dùng.
  3. Trong ngăn tác vụ , bấm mới, và sau đó nhấp vào nhóm.
  4. Trong hộp thoại tạo nhóm, nhập DirectAccessClients tên nhóm.
  5. Cuộn xuống để truy cập phần thành viên của nhóm tạo hộp, và sau đó bấm Thêm.
  6. Bấm Loại đối tượng, chọn máy tính, và sau đó bấm OK.
  7. Loại CLIENT1, sau đó bấm OK.
  8. Bấm OK để đóng hộp thoại Tạo nhóm .
  9. Thoát khỏi Trung tâm quản trị Thư mục Họat động.


Lưu ý: Các lệnh ghép ngắn Windows PowerShell hoặc lệnh ghép ngắn thực hiện chức năng tương tự như quy trình trước đó. Nhập mỗi lệnh trên một dòng, mặc dù chúng có thể xuất hiện từ gói trên một vài dòng đây vì định dạng khó khăn.
New-ADGroup -GroupScope global -Name DirectAccessClients Add-ADGroupMember -Identity DirectAccessClients -Members CLIENT1$

Bước 4: Tạo một vị trí mạng máy chủ DNS ghi

Bản ghi DNS được yêu cầu để quyết định tên máy (ứng dụng) phục vụ vị trí mạng sẽ được đặt trên máy chủ APP1.

Tạo bản ghi DNS server vị trí mạng

  1. Bấm Bắt đầu, và sau đó nhấp vào DNS.
  2. Mở rộng DC1, vùng chuyển tiếp tra cứu, và sau đó chọn corp.contoso.com.
  3. Bấm chuột phải vào corp.contoso.com, và sau đó nhấp vào Máy chủ mới (A hoặc AAAA).
  4. Tên, loại NLS, theo địa chỉ IP, gõ 10.0.0.3.
  5. Bấm Lưu trữ thêm, bấm OKvà sau đó bấm hoàn tất.
  6. Đóng bàn điều khiển Quản lý DNS .
Giới thiệu: Tạo một vị trí mạng máy chủ DNS record.mp4


Lưu ý: Các lệnh ghép ngắn Windows PowerShell hoặc lệnh ghép ngắn thực hiện chức năng tương tự như quy trình trước đó. Nhập mỗi lệnh trên một dòng, mặc dù chúng có thể xuất hiện từ gói trên một vài dòng đây vì định dạng khó khăn.
Add-DnsServerResourceRecordA -Name NLS -ZoneName corp.contoso.com -IPv4Address 10.0.0.3

Bước 5: Tạo yêu cầu echo ICMPv4 và ICMPv6 quy tắc tường lửa miền chính sách nhóm

ICMPv4 và ICMPv6 echo yêu cầu đến và đi được yêu cầu hỗ trợ Teredo. DirectAccess khách hàng sử dụng Teredo là công nghệ chuyển đổi IPv6 của họ để kết nối với máy chủ DirectAccess IPv4 Internet khi chúng được gán địa chỉ IP (RFC 1918) riêng nằm phía sau tường lửa cho phép đi cổng UDP 3544 hoặc thiết bị NAT. Ngoài ra, cho phép ping tạo điều kiện kết nối kiểm tra giữa người tham gia vào giải pháp DirectAccess.

Để tạo quy tắc tường lửa ICMPv4 và ICMPv6

  1. Từ màn hình Bắt đầu, bấm vào Quản lý chính sách nhóm.
  2. Trong cây điều khiển, mở rộng Nhóm: corp.contoso.com\Domains\corp.contoso.com.
  3. Chọn đối tượng chính sách nhóm.
  4. Trong ngăn chi tiết, bấm chuột phải vào Chính sách miền mặc định, và sau đó nhấp vào chỉnh sửa.
  5. Trong cây điều khiển quản lý nhóm chính sách, mở rộng Máy tính Configuration\Policies\Windows Settings\Security Settings\Windows tường lửa lửa nâng cao Security\Windows với nâng cao bảo mật-LDAP://CN=...
  6. Trong cây điều khiển, chọn Quy tắc đến, bấm chuột phải vào Quy tắc đếnvà sau đó bấm vào Quy tắc mới.
  7. Mới đến quy tắc thuật sĩ, trang quy tắc loại, bấm tùy chỉnhvà rồi bấm tiếp theo.
  8. Trên trang chương trình, bấm vào tiếp theo.
  9. Giao thức và cổng trang, giao thức loại, bấm ICMPv4và sau đó bấm tùy chỉnh.
  10. Trên hộp thoại thiết đặt ICMP tuỳ chỉnh, bấm ICMP cụ thể loại, chọn Echo yêu cầu, bấm OKvà sau đó nhấp vào tiếp theo.
  11. Bấm tiếp theo ba lần.
  12. Trên trang tên, tên nhập Đến ICMPv4 Echo yêu cầu, sau đó bấm kết thúc.
  13. Trong cây điều khiển, bấm chuột phải vào Quy tắc đếnvà sau đó bấm vào Quy tắc mới.
  14. Trên trang quy tắc loại, bấm tùy chỉnhvà rồi bấm tiếp theo.
  15. Trên trang chương trình, bấm vào tiếp theo.
  16. Giao thức và cổng trang, giao thức loại, bấm ICMPv6và sau đó bấm tùy chỉnh.
  17. Trên hộp thoại thiết đặt ICMP tuỳ chỉnh, bấm ICMP cụ thể loại, chọn Echo yêu cầu, bấm OKvà sau đó nhấp vào tiếp theo.
  18. Bấm tiếp theo ba lần.
  19. Trên trang tên, tên nhập Đến ICMPv6 Echo yêu cầu, sau đó bấm kết thúc.
  20. Xác nhận rằng các quy tắc mà bạn đã tạo xuất hiện trong quy tắc đến nút chọn một. Đóng quản lý chính sách nhóm và đóng Panel điều khiển quản lý chính sách nhóm.
Demo:Tạo ICMPv4 và ICMPv6 các quy tắc tường lửa


Lưu ý: Các lệnh ghép ngắn Windows PowerShell hoặc lệnh ghép ngắn thực hiện chức năng tương tự như quy trình trước đó. Nhập mỗi lệnh trên một dòng, mặc dù chúng có thể xuất hiện từ gói trên một vài dòng đây vì định dạng khó khăn. Xin lưu ý rằng các lệnh được yêu cầu trên mỗi máy tính corpnet và không cấu hình thiết đặt chính sách Nhóm:
Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Enabled True -Direction Inbound -Action Allow Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv6-In)" -Enabled True -Direction Inbound -Action Allow

Bước 6: Cấu hình APP1

Cấu hình APP1 phòng thí nghiệm kiểm tra việc triển khai DirectAccess máy chủ bao gồm các quy trình sau:
  • Đặt cấu hình địa chỉ IPv6 APP1.
  • Cấu hình các quyền của biểu mẫu chứng chỉ Máy chủ Web.
  • Tải xuống một chứng chỉ bổ sung cho APP1.
  • Cấu hình bảo mật liên kết HTTPS.
Các phần sau đây giải thích các quy trình chi tiết.

Cấu hình địa chỉ IPv6 trên APP1

Phòng thí nghiệm kiểm tra Windows Server 2012 sở cấu hình không bao gồm cấu hình địa chỉ IPv6. Trong bước này, thêm để hỗ trợ triển khai DirectAccess cấu hình địa chỉ IPv6.
Để cấu hình một địa chỉ IPv6 trên APP1
  1. Trong quản lý máy chủ, bấm vào Máy chủ địa phương trong cây điều khiển. Cuộn lên đầu ngăn chi tiết, và sau đó nhấp vào liên kết bên cạnh Ethernet.
  2. Kết nối mạng, bấm chuột phải vào Ethernetvà sau đó bấm thuộc tính.
  3. Bấm Internet Protocol phiên bản 6 (TCP/IPv6), và sau đó bấm thuộc tính.
  4. Nhấp vào sử dụng địa chỉ IPv6. Trong địa chỉ IPv6, nhập 2001:db8:1::3. Độ dài tiền tố con, gõ 64. Trong cổng mặc định, hãy nhập 2001:db8:1::2. Nhấp vào sử dụng các địa chỉ máy chủ DNS sau đâyvà trong máy chủ DNS ưa thích, nhập 2001:db8:1::1. Bấm vào OK.
  5. Bấm Internet Protocol Version 4 (TCP/IPv4), và sau đó bấm thuộc tính.
  6. Trong cổng mặc định, gõ 10.0.0.2, và sau đó bấm OK.
  7. Đóng hộp thoại Thuộc tính Ethernet .
  8. Đóng cửa sổ Kết nối mạng .
Giới thiệu: Đặt cấu hình địa chỉ IPv6 APP1


Lưu ý: Các lệnh ghép ngắn Windows PowerShell hoặc lệnh ghép ngắn thực hiện chức năng tương tự như quy trình trước đó. Nhập mỗi lệnh trên một dòng, mặc dù chúng có thể xuất hiện từ gói trên một vài dòng đây vì định dạng khó khăn. Xin lưu ý rằng tên "Ethernet" giao diện có thể khác trên máy tính của bạn. Sử dụng ipconfig/all vào danh sách trong các giao diện.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::3 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Cấu hình quyền của biểu mẫu chứng chỉ Máy chủ Web

Tiếp theo, cấu hình quyền trên biểu mẫu chứng chỉ Máy chủ Web để yêu cầu máy tính có thể chỉ định tên chủ đề của chứng chỉ.
Để đặt cấu hình quyền của biểu mẫu chứng chỉ Máy chủ Web
  1. Ngày APP1, từ màn hình Bắt đầu, bấm Cơ quan chứng nhận.
  2. Trong ngăn chi tiết, mở rộng Tập đoàn APP1 CA.
  3. Bấm chuột phải vào Chứng chỉ mẫu, và sau đó bấm quản lý.
  4. Trong Panel điều khiển mẫu chứng chỉ, bấm chuột phải vào Máy chủ Web mẫu và sau đó bấm thuộc tính.
  5. Nhấp vào tab bảo mật , và sau đó nhấp vào Xác thực người dùng.
  6. Quyền xác thực người dùng, nhấp vào ghi danhcho phép, và sau đó bấm OK.

    Lưu ý: Nhóm Người dùng xác thực được cấu hình ở đây đơn giản trong phòng thí nghiệm thử nghiệm. Triển khai thực tế, bạn sẽ chỉ định tên của nhóm bảo mật có tài khoản máy tính của máy tính trong tổ chức của bạn có thể yêu cầu chứng chỉ tuỳ chỉnh. Điều này bao gồm DirectAccess máy chủ và máy chủ vị trí mạng.
  7. Đóng Panel điều khiển mẫu chứng chỉ.
Giới thiệu: Đặt cấu hình quyền của biểu mẫu chứng chỉ Máy chủ Web

Có một chứng chỉ thêm vào APP1

Tải xuống một chứng chỉ bổ sung cho APP1 tuỳ chỉnh tiêu đề và tên thay thế cho vị trí mạng.
Để có được cấp chứng chỉ bổ sung cho APP1
  1. Từ màn hình Bắt đầu, loại mmc, và sau đó nhấn Enter.
  2. Bấm tệp, và sau đó nhấp vào thêm/loại bỏ phần đính vào.
  3. Bấm vào chứng chỉ, bấm vào Thêm, chọn tài khoản máy tính, bấm tiếp theo, chọn máy tính cục bộ, bấm kết thúcvà sau đó bấm OK.
  4. Trong cây điều khiển của chứng chỉ đính vào, mở \Personal\Certificates chứng chỉ (máy tính).
  5. Bấm chuột phải vào chứng chỉ, trỏ tới Tất cả tác vụvà sau đó nhấp vào Yêu cầu chứng chỉ mới.
  6. Bấm vào tiếp theo hai lần.
  7. Trên trang Yêu cầu chứng chỉ , bấm Máy chủ Webvà sau đó nhấp vào thông tin được yêu cầu để kiểm nhập cho chứng chỉ này.
  8. Trên tab chủ đề trong hộp thoại Thuộc tính chứng chỉ , tên chủ đềloại, chọn Tên.
  9. Giá trị, nhập nls.corp.contoso.com, và sau đó bấm Thêm.
  10. Bấm OK, bấm ghi danh, và sau đó bấm kết thúc.
  11. Trong ngăn chi tiết của chứng chỉ đính vào, xác minh chứng chỉ mới có tên nls.corp.contoso.com được kiểm nhập Nhằm mục đích của Máy chủ xác thực.
  12. Đóng cửa sổ Panel điều khiển. Nếu bạn được nhắc để lưu thiết đặt, bấm không.
Giới thiệu: Được cấp chứng chỉ thêm vào APP1

Cấu hình liên kết HTTPS bảo mật

Tiếp theo, cấu hình các HTTPS bảo mật liên kết để APP1 có thể hoạt động như máy chủ vị trí mạng.
Cấu hình liên kết HTTPS bảo mật
  1. Từ màn hình Bắt đầu, hãy nhấp vào trình quản lý bản ghi dịch vụ thông tin Internet (IIS).
  2. Trong cây điều khiển quản lý bản ghi dịch vụ thông tin Internet (IIS), mở APP1/các web site, và sau đó nhấp vào web site mặc định.
  3. Trong ngăn tác vụ , nhấp vào liên kết.
  4. Trong hộp thoại Liên kết web site , bấm vào Thêm.
  5. Trong hộp thoại Thêm liên kết web site trong danh sách loại , bấm https. Trong Chứng chỉ SSL, hãy bấm vào chứng chỉ với tên nls.corp.contoso.com. Bấm OK, và sau đó bấm đóng.
  6. Đóng bàn điều khiển quản lý bản ghi dịch vụ thông tin Internet (IIS).
Giới thiệu: Cấu hình bảo mật HTTPS liên kết trên APP1

Bước 7: cài đặt chuyên biệt và cấu hình APP2

APP2 là máy tính Windows Server 2008 R2 Enterprise Edition hoạt động như một máy chủ chỉ IPv4 và được sử dụng để mô DirectAccess kết nối với chỉ IPv4 tài nguyên bằng cách sử dụng các tính năng DNS64 và NAT64. APP2 lưu trữ tài nguyên HTTP và SMB DirectAccess máy tính có thể truy cập Internet mô phỏng. Tính năng NAT64/DNS64 thiết lập cho phép các tổ chức để triển khai DirectAccess mà không có yêu cầu họ nâng cấp tài nguyên mạng riêng IPv6 hoặc thậm chí IPv6 có khả năng.

Cấu hình APP2 phòng thí nghiệm kiểm tra máy chủ DirectAccess bao gồm các quy trình sau:
  • Tạo một mục tin thư thoại được chia sẻ trên APP2.
  • cài đặt chuyên biệt bản ghi Dịch vụ Web IIS.
Các phần sau đây giải thích các quy trình chi tiết.

Tạo một mục tin thư thoại được chia sẻ trên APP2

Bước đầu tiên là tạo ra một cặp dùng chung trên APP2. APP2 sẽ được sử dụng để mô HTTP kết nối qua kết nối DirectAccess tới một máy chủ chỉ IPv4.
  1. Ngày APP2, mở Window Explorer.
  2. Trình duyệt ổ C:.
  3. Bấm chuột phải vào chỗ trống của cửa sổ, trỏ chuột vào mớirồi bấm vào mục tin thư thoại.
  4. Loại Tệp và nhấn Enter.
  5. Bấm chuột phải vào tập tin và chọn thuộc tính.
  6. Trên Thuộc tính tệp hộp thoại, trên các chia sẻ , bấm chia sẻ.... ThêmMọi người Đối với đọc quyền, và sau đó nhấp vào chia sẻ.
  7. Bấm đúp vào tập tin mục tin thư thoại.
  8. Bấm chuột phải vào chỗ trống của cửa sổ, trỏ chuột vào mớivà sau đó bấm vào Tài liệu văn bản.
  9. Bấm đúp vào mới văn bản Document.txt tập tin.
  10. Trong các mới văn bản Document.txt-Notepad cửa sổ, nhậpĐây là một tài liệu văn bản trên APP2, một máy chủ chỉ IPv4.
  11. Đóng Notepad. Trên hộp thoại Notepad, bấm để lưu thay đổi.
  12. Đóng Window Explorer.

cài đặt chuyên biệt bản ghi Dịch vụ Web IIS trên APP2

Sau đó, cấu hình APP2 như Máy chủ Web.
  1. Trên APP2, hãy mở Trình quản lý máy chủ.
  2. Nhấp vào vai trò, và sau đó bấm Thêm vai trò.
  3. Trong thêm vai trò sĩ cửa sổ, bấm tiếp theo.
  4. Chọn Máy chủ Web (IIS), và sau đó nhấp vào tiếp theo.
  5. Bấm tiếp theo hai lần rồi bấm cài đặt chuyên biệt.
Giới thiệu: cài đặt chuyên biệt và cấu hình APP2

Bước 8: Cấu hình EDGE1

Cấu hình EDGE1 phòng thí nghiệm kiểm tra việc triển khai DirectAccess máy chủ bao gồm các quy trình sau:
  • Đặt cấu hình địa chỉ IPv6 EDGE1.
  • Cung cấp EDGE1 với chứng chỉ cho IP HTTPS.
  • cài đặt chuyên biệt vai trò truy nhập từ xa trên EDGE1.
  • Đặt cấu hình DirectAccess EDGE1.
  • Xác nhận thiết đặt chính sách nhóm.
  • Xác nhận cài đặt chuyên biệt IPv6.
Các phần sau đây giải thích các quy trình chi tiết.

Cấu hình địa chỉ IPv6 trên EDGE1

Phòng thí nghiệm kiểm tra Windows Server 2012 sở cấu hình không bao gồm cấu hình địa chỉ IPv6. Trong bước này, hãy thêm cấu hình địa chỉ IPv6 EDGE1 để hỗ trợ triển khai DirectAccess.
Để cấu hình một địa chỉ IPv6 trên EDGE1
  1. Trong quản lý máy chủ, bấm vào Máy chủ địa phương trong cây điều khiển. Cuộn lên đầu ngăn chi tiết, và sau đó nhấp vào liên kết bên cạnh Corpnet.
  2. Kết nối mạng, bấm chuột phải vào Corpnet, và sau đó bấm thuộc tính.
  3. Bấm Internet Protocol phiên bản 6 (TCP/IPv6), và sau đó bấm thuộc tính.
  4. Nhấp vào sử dụng địa chỉ IPv6. Địa chỉ IPv6, gõ 2001:db8:1::2. Độ dài tiền tố con, gõ 64. Nhấp vào sử dụng các địa chỉ máy chủ DNS sau đâyvà trong máy chủ DNS ưa thích, hãy nhập 2001:db8:1::1. Bấm vào OK.
  5. Đóng hộp thoại Thuộc tính Corpnet .
  6. Đóng cửa sổ Kết nối mạng .
Demo:Cấu hình địa chỉ IPv6 trên EDGE1


Lưu ý: Các lệnh ghép ngắn Windows PowerShell hoặc lệnh ghép ngắn thực hiện chức năng tương tự như quy trình trước đó. Nhập mỗi lệnh trên một dòng, mặc dù chúng có thể xuất hiện từ gói trên một vài dòng đây vì định dạng khó khăn. Xin lưu ý rằng tên "Ethernet" giao diện có thể khác trên máy tính của bạn. Sử dụng ipconfig/all vào danh sách trong các giao diện.
New-NetIPAddress -InterfaceAlias Corpnet -IPv6Address 2001:db8:1::2 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias Corpnet -ServerAddresses 2001:db8:1::1

Cung cấp EDGE1 với chứng chỉ cho IP HTTPS

Chứng chỉ được yêu cầu xác thực nghe IP HTTPS khi khách hàng kết nối qua HTTPS.
Chuẩn bị một biểu mẫu chứng chỉ
  1. Ngày App1, từ màn hình Bắt đầu, gõ MMC, và sau đó nhấn Enter.
  2. Bấm tệp, và sau đó nhấp vào thêm/loại bỏ phần đính vào.
  3. Bấm vào Chứng chỉ mẫu, bấm Thêm, và sau đó bấm OK.
  4. Bấm chứng chỉ mẫu trong cửa sổ. Trong Panel điều khiển chi tiết, bấm chuột phải vào các tính mẫu và bấm Mẫu trùng lặp.
  5. Bấm vào tên chủ đề sau đó bấm Tùy chọn cung cấp yêu cầu . Bấm vào OK.
  6. Bấm vào chung tab, và sau đó gõTiêu bản cho DA trong mẫu tên hiển thị.
  7. Bấm vào OK.
  8. Trong cửa sổ MMC, bấm tệp, và sau đó nhấp vào thêm/loại bỏ phần đính vào.
  9. Bấm Cơ quan chứng nhận, bấm vào Thêm, bấm máy tính cục bộ: (máy tính Panel điều khiển này đang chạy trên), bấm kết thúc, và sau đó bấm OK.
  10. Mở rộng corp APP1 CA, bấm chuột phải vào Biểu mẫu chứng chỉ, chọn mới, bấm vào Biểu mẫu chứng chỉ sự cố.
  11. Chọn mẫu cho DArồi bấm OK.
Giới thiệu: Chuẩn bị một biểu mẫu chứng chỉ
Để cài đặt chuyên biệt một chứng chỉ IP HTTPS trên EDGE1
  1. Ngày EDGE1, từ màn hình Bắt đầu, gõ MMC, và sau đó nhấn Enter.
  2. Bấm tệp, và sau đó nhấp vào thêm/loại bỏ phần đính vào.
  3. Bấm vào chứng chỉ, bấm Thêm, bấm vào tài khoản máy tính, bấm tiếp theo, chọn máy tính cục bộ, bấm kết thúc, và sau đó bấm OK.
  4. Trong cây điều khiển của chứng chỉ đính vào, mở \Personal\Certificates chứng chỉ (máy tính).
  5. Bấm chuột phải vào chứng chỉ, trỏ tới Tất cả tác vụvà sau đó nhấp vào Yêu cầu chứng chỉ mới.
  6. Bấm vào tiếp theo hai lần.
  7. Trên trang yêu cầu chứng chỉ, bấm mẫu cho DAvà sau đó nhấp vào thông tin được yêu cầu để kiểm nhập cho chứng chỉ này.
  8. Trên tab chủ đề trong hộp thoại thuộc tính chứng chỉ, tên chủ đềloại, chọn Tên.
  9. Giá trị, nhập edge1.contoso.com, sau đó bấm Thêm.
  10. Trong khu vực các tên theo loại, chọn DNS.
  11. Giá trị, nhập edge1.contoso.com, sau đó bấm Thêm.
  12. Trên tab chung , dưới tên thân thiện, gõ Chứng chỉ IP HTTPS.
  13. Bấm OK, bấm ghi danh, và sau đó bấm kết thúc.
  14. Trong ngăn chi tiết của chứng chỉ đính vào, xác minh chứng chỉ mới có tên edge1.contoso.com được kiểm nhập với nhằm mục đích của Máy chủ xác thực, xác thực máy tính khách.
  15. Đóng cửa sổ Panel điều khiển. Nếu bạn được nhắc để lưu thiết đặt, bấm không.
Lưu ý: Nếu bạn không thấy khuôn mẫu cho DA , kiểm tra các mục sau:
  • Kiểm tra xem tài khoản người dùng có quyền kiểm nhập khuônmẫu cho DA .
  • Kiểm tra xem biểu mẫu chứng chỉ đã được thêm vào ca.
Giới thiệu: cài đặt chuyên biệt một chứng chỉ IP HTTPS trên EDGE1

cài đặt chuyên biệt vai trò máy chủ truy nhập từ xa trên EDGE1

Vai trò máy chủ truy nhập từ xa trong Windows Server 2012 kết hợp các tính năng DirectAccess và bản ghi dịch vụ vai trò RRAS vào vai trò hợp nhất máy chủ mới. Vai trò máy chủ truy nhập từ xa mới này cho Trung tâm quản trị, cấu hình và giám sát của DirectAccess dựa trên VPN từ xa truy cập bản ghi dịch vụ. Sử dụng quy trình sau để cài đặt chuyên biệt vai trò truy nhập từ xa trên EDGE1.
Để cài đặt chuyên biệt vai trò máy chủ truy nhập từ xa trên EDGE1
  1. Trong bảng điều khiển của máy chủ quản lý, trong cấu hình máy chủ cục bộ, bấm vào thêm vai trò và tính năng.
  2. Bấm tiếp theo ba lần tới máy chủ lựa chọn vai trò màn hình.
  3. Trong hộp thoại Chọn vai trò máy chủ , chọn truy nhập từ xa, bấm vào Thêm tính năng khi bạn được nhắc, và sau đó nhấp vào tiếp theo.
  4. Bấm tiếp theo năm lần để chấp nhận thiết đặt mặc định cho tính năng, bản ghi dịch vụ vai trò truy nhập từ xa và bản ghi dịch vụ vai trò Máy chủ Web.
  5. Trên màn hình xác nhận, bấm vào cài đặt chuyên biệt.
  6. Đợi cài đặt chuyên biệt tính năng để hoàn thành, và sau đó bấm đóng.
video


Lưu ý: Các lệnh ghép ngắn Windows PowerShell hoặc lệnh ghép ngắn thực hiện chức năng tương tự như quy trình trước đó. Nhập mỗi lệnh trên một dòng, mặc dù chúng có thể xuất hiện từ gói trên một vài dòng đây vì định dạng khó khăn.
Install-WindowsFeature RemoteAccess -IncludeManagementTools

Cấu hình DirectAccess trên EDGE1

Cấu hình DirectAccess triển khai máy chủ bằng cách sử dụng thuật sĩ thiết lập truy nhập từ xa.
Để đặt cấu hình DirectAccess EDGE1
  1. Từ màn hình Bắt đầu, bấm vào Quản lý truy nhập từ xa.
  2. Trong Panel điều khiển quản lý truy nhập từ xa, bấm chạy thuật sĩ thiết lập truy nhập từ xa.
  3. Trong thuật sĩ cấu hình truy nhập từ xa, bấm Triển khai DirectAccess chỉ.
  4. Trong phần "Bước 1 máy tính khách từ xa," bấm cấu hình.
  5. Chọn triển khai DirectAccess đầy đủ để truy cập máy tính khách và quản lý từ xa, và sau đó nhấp vào tiếp theo.
  6. Trên màn hình chọn nhóm, bấm vào Thêm, gõ DirectAccessClients, bấm OK, và sau đó nhấp vào tiếp theo.
  7. Trên màn hình hỗ trợ kết nối mạng, bên cạnh tên DirectAccess kết nối, nhập Kết nối contoso DirectAccess. Bấm Hoàn tất.
  8. "Bước 2 máy chủ DirectAccess," bấm cấu hình.
  9. Xác minh rằng cạnh được chọn là máy chủ mạng. Loại edge1.contoso.com Tên khu vực mà khách hàng truy nhập từ xa sẽ kết nối. Bấm Tiếp theo.
  10. Trên màn hình bộ thích ứng mạng, đợi thuật sĩ để xác định các giao diện Internet và Corpnet. Xác minh rằng CN=edge1.contoso.com chứng chỉ được chọn tự động để xác nhận kết nối IP-http. Bấm Tiếp theo.
  11. Trên màn hình tiền tố cấu hình, bấm vào tiếp theo.
  12. Trên màn hình xác thực, chọn chứng chỉ sử dụng máy tínhvà sau đó nhấp vào trình duyệt.
  13. Chọn corp APP1 CA, bấm OK, và sau đó bấm kết thúc.
  14. Trong phần "Bước 3 máy chủ cơ sở hạ tầng," bấm cấu hình.
  15. Đối với URL máy chủ vị trí mạng, gõ https://nls.corp.contoso.com rồi sau đó bấm xác nhận.
  16. Sau khi kết nối với URL NLS trên APP1 được xác thực thành công, bấm vào tiếp theo.
  17. Bấm vào tiếp theo hai lần để chấp nhận thiết đặt mặc định DNS và quản lý, và sau đó bấm kết thúc.
  18. Ở cuối màn hình từ xa truy cập cài đặt chuyên biệt, bấm kết thúc.
  19. Trong hộp thoại Kiểm tra truy nhập từ xa , bấm vào áp dụng.
  20. Sau khi thuật sĩ thiết lập truy nhập từ xa kết thúc, bấm đóng.
  21. Trong cây điều khiển của bàn điều khiển quản lý truy nhập từ xa, chọn trạm đậu hoạt động. Chờ cho đến khi tình trạng của tất cả các màn hình hiển thị "Làm việc". Trong ngăn tác vụ trong giám sát, bấm làm mới thường xuyên để Cập Nhật màn hình.
Demo:Cấu hình thẳng trên EDGE1


Lưu ý: Trong phiên bản này của Windows Server 2012, trạm đậu của bộ thích ứng mạng có màu vàng thay vì màu xanh lá cây. Để đảm bảo rằng trạm đậu của bộ thích ứng mạng được hiển thị là "Làm việc", mở dấu kiểm nhắc lệnh nâng cao, nhập lệnh sau, và sau đó nhấn Enter:
netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface = "Corpnet"

Xác nhận thiết đặt chính sách nhóm

DirectAccess thuật sĩ cấu hình GPO và cài đặt chuyên biệt tự động được triển khai bằng cách sử dụng Thư mục Họat động cho máy chủ truy nhập từ xa và khách hàng DirectAccess.

Để kiểm tra thiết đặt chính sách nhóm tạo thuật sĩ DirectAccess

  1. Ngày EDGE1, từ màn hình Bắt đầu, bấm vào Quản lý chính sách nhóm.
  2. Mở rộng Nhóm: corp.contoso.com, mở rộng miền, mở rộng corp.contoso.com, và sau đó mở rộng Đối tượng chính sách nhóm.
  3. Thuật sĩ thiết lập truy nhập từ xa tạo hai GPO mới. DirectAccess khách hàng cài đặt chuyên biệt được áp dụng cho các thành viên của nhóm bảo mật DirectAccessClients. cài đặt chuyên biệt máy chủ DirectAccess được áp dụng cho máy chủ EDGE1 DirectAccess. Xác nhận rằng lọc bảo mật chính xác được thực hiện cho mỗi GPO này bằng cách bấm vào GPO, sau đó xem các mục trong phần Lọc bảo mật trong phạm vi tab trong ngăn chi tiết của bàn điều khiển.
  4. Từ màn hình Bắt đầu, gõ WF.msc, và sau đó nhấn Enter.
  5. Trong Panel điều khiển Tường lửa của Windows với bảo mật nâng cao , thông báo rằng cấu hình miền đang hoạt độnghồ sơ đang hoạt động. Đảm bảo rằng tường lửa của Windows được kích hoạt và miền và khu vực hồ sơ đang hoạt động. Nếu tường lửa của Windows bị tắt hoặc nếu miền hoặc hồ sơ công cộng bị vô hiệu hoá, sau đó, DirectAccess sẽ không hoạt động đúng.
  6. Trong cây điều khiển Tường lửa của Windows với bảo mật nâng cao , bấm vào nút chọn một Kết nối bảo mật quy tắc . Ngăn chi tiết của bàn điều khiển sẽ hiển thị hai quy tắc bảo mật kết nối: DirectAccess chính sách-DaServerToCorpDirectAccess chính sách-DaServerToInfra. Quy tắc đầu tiên được sử dụng để thiết lập đường ống nội bộ và quy tắc thứ hai cho cơ sở hạ tầng đường ống. Quy tắc đều được gửi đến EDGE1 bằng cách sử dụng chính sách nhóm.
  7. Đóng bàn điều khiển Tường lửa của Windows với bảo mật nâng cao .
Giới thiệu: Xác nhận thiết đặt chính sách nhóm

Xác nhận cài đặt chuyên biệt IPv6

  1. Trên EDGE1 từ máy tính để bàn thanh tác vụ, bấm chuột phải vào Windows PowerShellvà sau đó nhấp vào chạy như quản trị viên.
  2. Trong cửa sổ Windows PowerShell, gõ Get-NetIPAddress và nhấn Enter.
  3. Kết quả sẽ hiển thị thông tin cấu hình mạng EDGE1. Có một số phần quan:
    • Phần 6TO4 bộ điều hợp Hiển thị thông tin có địa chỉ IPv6 chung được sử dụng bởi EDGE1 trên giao diện bên ngoài.
    • Phần IPHTTPSInterface Hiển thị thông tin về giao diện IP-HTTPS.
  4. Để biết thông tin về giao diện Teredo trên EDGE1, gõ Netsh giao diện Teredo Hiển thị trạm đậu và nhấn Enter. Kết quả sẽ bao gồm các mục trạng thái: trực tuyến.
Giới thiệu: Xác nhận cài đặt chuyên biệt IPv6

Bước 9: Kết nối Client1 Corpnet con và chính sách nhóm Cập Nhật

Để nhận được các cài đặt chuyên biệt DirectAccess, CLIENT1 phải Cập Nhật thiết đặt chính sách nhóm trong khi kết nối với mạng con Corpnet.

Cập Nhật chính sách nhóm trên CLIENT1 và áp dụng cài đặt chuyên biệt DirectAccess

  1. Kết nối CLIENT1 con Corpnet.
  2. Khởi động lại máy tính CLIENT1 Cập Nhật chính sách nhóm và các nhóm thành viên bảo mật trong khi kết nối với mạng con Corpnet. Sau khi khởi động, kí nhập với CORP\User1.
  3. Từ màn hình Bắt đầu, gõ PowerShell, bấm chuột phải vào Windows PowerShell, và sau đó nhấp vào chạy như quản trị viên.
  4. Loại Get-DnsClientNrptPolicy và nhấn Enter. Các chính sách giải pháp tên bảng (NRPT) mục DirectAccess được hiển thị. Thông báo miễn trừ chủ NLS được hiển thị dưới dạng NLS.corp.contoso.com. Đây là bí danh được sử dụng cho máy chủ APP1. Tất cả giải pháp tên cho corp.contoso.com sẽ sử dụng địa chỉ IPv6 nội bộ máy chủ EDGE1 (2001:db8::1::2) khi bên ngoài mạng doanh nghiệp.
  5. Loại Get-NCSIPolicyConfiguration và nhấn Enter. Mạng kết nối trạm đậu chỉ cài đặt chuyên biệt triển khai hướng dẫn được hiển thị. Xin lưu ý rằng giá trị của DomainLocationDeterminationURL https://NLS.Corp.contoso.com. Bất cứ khi nào URL máy chủ vị trí mạng này có thể truy cập, khách hàng sẽ xác minh rằng đó là trong mạng công ty NRPT cài đặt chuyên biệt sẽ không được áp dụng.
  6. Loại Get-DAConnectionStatus và nhấn Enter. Bởi vì khách hàng có thể đạt tới vị trí mạng máy chủ URL, trạm đậu sẽ được hiển thị dưới dạng ConnectedLocally.
Giới thiệu: Kết nối Client1 Corpnet con và chính sách nhóm Cập Nhật

Sau khi bạn kết nối máy tính mạng con Corpnet và khởi động lại, xem video giới thiệu sau đây:

Bước 10: Kết nối CLIENT1 con Internet và thử truy nhập từ xa

Để kiểm tra Kết nối từ xa truy cập từ Internet, tới CLIENT1 kết nối mạng con Internet.

Để kiểm tra các truy nhập từ xa từ Internet

  1. Kết nối CLIENT1 con Internet. Sau khi hoàn tất quá trình xác định mạng, biểu tượng mạng sẽ chỉ truy cập Internet.
  2. Trong cửa sổ PowerShell, gõ Get-DAConnectionStatus và nhấn Enter. trạm đậu sẽ được hiển thị dưới dạng ConnectedRemotely.
  3. Nhấp vào biểu tượng mạng trong khu vực thông báo của hệ thống. Xin lưu ý rằng Contoso DirectAccess kết nối được liệt kê là kết nối. Đây là tên kết nối chúng tôi cung cấp trong thuật sĩ DirectAccess.
  4. Bấm chuột phải vào Contoso DirectAccess kết nối và sau đó bấm thuộc tính. Xin lưu ý rằng trạm đậu được hiển thị như kết nối.
  5. Từ dấu kiểm nhắc PowerShell, gõ ping inet1.isp.example.com và nhấn Enter để kiểm tra giải pháp tên Internet và kết nối. Bạn sẽ nhận được trả lời 4 từ 131.107.0.1.
  6. Loại ping app1.corp.contoso.com và nhấn Enter để kiểm tra giải pháp tên công ty nội bộ và kết nối. Vì APP1 tài nguyên mạng intranet IPv6 được kích hoạt, trả lời ICMP là địa chỉ IPv6 APP1 (2001:db8:1::3).
  7. Loại ping app2.corp.contoso.com và nhấn Enter để kiểm tra giải pháp tên và kết nối với máy chủ tập tin nội bộ Windows Server 2003. Lưu ý định dạng của địa chỉ IPv6 trở lại. Vì APP2 tài nguyên chỉ IPv4 intranet, tự động tạo NAT64 địa chỉ APP2 được trả lại. Tiền tố tự động tạo giao DirectAccess cho NAT64 sẽ fdxx:xxxx:xxxx:7777 mẫu:: / 96.
  8. Bấm vào biểu tượng Internet Explorer khởi động. Xác minh rằng bạn có thể truy cập các web site trên http://inet1.isp.example.com. web site này đang chạy trên máy chủ INET1 Internet và xác nhận kết nối Internet ở DirectAccess.
  9. Xác minh rằng bạn có thể truy cập các web site trên http://app1.corp.contoso.com. web site này đang chạy trên máy chủ APP1 và xác nhận DirectAccess kết nối với một Máy chủ Web IPv6 nội bộ.
  10. Xác minh rằng bạn có thể truy cập các web site trên http://app2.corp.contoso.com. Bạn sẽ thấy web site mặc định "Trong xây dựng" IIS, phê chuẩn DirectAccess kết nối với một Máy chủ Web trong chỉ IPv4.
  11. Từ màn hình thanh tác vụ, bấm vào biểu tượng Window Explorer .
  12. Trong Thanh địa chỉ, nhập \\app1\Files, và sau đó nhấn Enter.
  13. Bạn sẽ thấy một cửa sổ mục tin thư thoại nội dung của mục tin thư thoại được chia sẻ tệp.
  14. Trong cửa sổ cặp được chia sẻ tệp , bấm đúp vào tệp Example.txt . Bạn sẽ thấy nội dung của tệp Example.txt.
  15. Đóng cửa sổ ví dụ - Notepad .
  16. Trong Thanh địa chỉ Window Explorer, loại \\app2\Files, và sau đó nhấn Enter.
  17. Trong cửa sổ cặp được chia sẻ tệp , bấm đúp vào tệp Mới văn bản Document.txt . Bạn sẽ thấy nội dung của tài liệu chia sẻ trên máy chủ chỉ IPv4.
  18. Đóng Tài liệu văn bản mới - Notepad và cửa sổ cặp tệp chia sẻ.
  19. Từ cửa sổ PowerShell, gõ Get-NetIPAddress và sau đó nhấn Enter để kiểm tra cấu hình máy tính khách IPv6.
  20. Loại Get-NetTeredoState và nhấn Enter để kiểm tra cấu hình Teredo. Thông báo rằng tên máy (ứng dụng) phục vụ Teredo edge1.contoso.com, bên ngoài resolvable tên DNS của máy chủ EDGE1.
  21. Loại Get-NetIPHTTPSConfiguration và nhấn Enter. Kiểm tra các thiết đặt được áp dụng chính sách nhóm để hướng dẫn khách hàng https://edge1.contoso.com:443/IPHTTPS.
  22. Loại WF.msc và sau đó nhấn Enter để khởi động Windows Firewall bằng bàn điều khiển bảo mật nâng cao. Mở rộng giám sát, sau đó Kết hợp bảo mật để kiểm tra SAs IPsec thiết lập. Chú ý rằng các phương pháp xác thực được sử dụng máy tính Kerberos Kerberos sử dụng, và cũng chứng chỉ của máy tính và sử dụng Kerberos.
  23. Chọn Kết nối bảo mật quy tắc trong cây điều khiển. Kiểm tra các quy tắc được sử dụng để cung cấp kết nối DirectAccess.
  24. Đóng Windows Firewall bằng bàn điều khiển bảo mật nâng cao.
Giới thiệu: Kết nối CLIENT1 con Internet và thử truy nhập từ xa

Sau khi bạn kết nối máy tính mạng con Internet, xem video giới thiệu sau đây:

Bước 11: Kết nối CLIENT1 Homenet con và thử truy nhập từ xa

Để kiểm tra kết nối truy nhập từ xa từ một mạng gia đình mô phỏng sau NAT, tới kết nối CLIENT1 Homenet con.

Để kiểm tra các truy nhập từ xa từ mạng nhà riêng

  1. Kết nối CLIENT1 Homenet con. Ngay sau khi quá trình xác định mạng được hoàn tất, biểu tượng mạng sẽ chỉ truy cập Internet.
  2. Trong cửa sổ PowerShell, gõ Get-DAConnectionStatus và nhấn Enter. trạm đậu được hiển thị dưới dạng ConnectedRemotely.
  3. Nhấp vào biểu tượng mạng trong khu vực thông báo của hệ thống. Xin lưu ý rằng Contoso DirectAccess kết nối được liệt kê là kết nối. Bấm chuột phải vào Contoso DirectAccess kết nối và sau đó bấm thuộc tính. Xin lưu ý rằng trạm đậu được liệt kê là kết nối.
  4. Loại ping app1.corp.contoso.com và nhấn Enter để kiểm tra giải pháp tên công ty nội bộ và kết nối với một nguồn IPv6 nội bộ.
  5. Loại ping app2.corp.contoso.com và nhấn Enter để kiểm tra giải pháp tên công ty nội bộ và kết nối với một nguồn IPv4 nội bộ.
  6. Bấm vào biểu tượng Internet Explorer khởi động Internet Explorer. Xác minh rằng bạn có thể truy cập web site http://inet1.isp.example.com, http://app1.corp.contoso.com và http://app2.corp.contoso.com.
  7. Từ màn hình thanh tác vụ, bấm vào biểu tượng Window Explorer .
  8. Xác minh rằng bạn có thể truy cập các tệp được chia sẻ trong \\APP1\Files và \\APP2\Files.
  9. Đóng cửa sổ Window Explorer.
  10. Trong cửa sổ PowerShell, gõ Get-NetIPAddress và sau đó nhấn Enter để kiểm tra cấu hình máy tính khách IPv6.
  11. Loại Get-NetTeredoState và nhấn Enter để kiểm tra cấu hình Teredo. Thông báo trạm đậu Teredo được liệt kê là đủ điều kiện.
  12. Loại ipconfig và nhấn Enter. Xin lưu ý rằng tại này sau một NAT, khách hàng DirectAccess kết nối qua đường ống Teredo hợp.
Giới thiệu: Kết nối CLIENT1 Homenet con và thử truy cập từ xa:

Sau khi bạn kết nối máy tính khách Homenet con, xem video giới thiệu sau đây.

Bước 12: Màn hình kết nối máy tính khách trên máy chủ EDGE1 DirectAccess

Bàn điều khiển quản lý truy nhập từ xa trong Windows Server 2012 cung cấp sơ đồ sàn trạm đậu khách từ xa theo dõi chức năng DirectAccess và VPN.

Theo dõi kết nối máy tính khách trên EGDE1

  1. Từ màn hình Bắt đầu, bấm vào Quản lý truy nhập từ xa.
  2. Trong Panel điều khiển quản lý truy nhập từ xa, chọn Panel điều khiển.
  3. Kiểm tra dữ liệu được thu thập trong sơ đồ sàn trạm đậu khách từ xa.
  4. Trong Panel điều khiển quản lý truy nhập từ xa, chọn sơ đồ sàn trạm đậu khách từ xa.
  5. Bấm đúp vào kết nối CLIENT1 để hiển thị hộp thoại số liệu thống kê chi tiết khách hàng từ xa.
Giới thiệu: Màn hình kết nối máy tính khách trên EGDE1

Tùy chọn: Hình ảnh chụp

Điều này hoàn tất việc triển khai DirectAccess đơn giản trong một phòng thí nghiệm kiểm tra môi trường chỉ IPv4. Lưu cấu hình này để bạn có thể nhanh chóng trở lại làm việc từ xa truy cập cấu hình mà bạn có thể kiểm tra các truy nhập từ xa mô-đun kiểm tra hướng dẫn phòng thí nghiệm (TLGs), TLG Tiện ích mở rộng, hoặc thử nghiệm và học tập của riêng bạn, hãy làm như sau:

1. trên tất cả các máy tính vật lý hoặc máy ảo trong phòng thí nghiệm kiểm tra, đóng tất cả cửa sổ và sau đó thực hiện một tắt duyên dáng.

2. nếu phòng thí nghiệm của bạn được dựa trên máy ảo, lưu ảnh chụp mỗi máy ảo và tên ảnh DirectAccess trộn IPv4 và IPv6. Nếu phòng thí nghiệm của bạn sử dụng máy tính vật lý, tạo ảnh đĩa để lưu hình DirectAccess phòng thí nghiệm thử nghiệm chỉ IPv4 đơn giản.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 3022362 - Xem lại Lần cuối: 11/09/2015 10:03:00 - Bản sửa đổi: 4.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbexpertiseadvanced kbsurveynew kbinfo kbhowto kbmt KB3022362 KbMtvi
Phản hồi