e2e: 直接与混合的 IPv4 和 IPv6 环境访问单一服务器安装

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3022362
请注意
这篇文章是关于端到端配置和故障排除的 DirectAccess 文章系列中的一个。该系列的完整列表,请参见 端到端配置和故障排除 DirectAccess.
概要
本指南提供了在单服务器部署中使用 IPv4 和 IPv6 测试实验室中进行混合的资源配置 DirectAccess 演示功能的部署经验的指导。您将设置和部署 DirectAccess 使用五个服务器计算机和两台客户端计算机基于 Windows Server 2012 基本配置。结果测试实验室模拟企业内部网、 Internet 和家庭网络中,并演示 DirectAccess 不同 Internet 连接方案中。

重要:以下说明将用于配置远程访问测试实验室使用的计算机的最小数量。需要单独的计算机在网络提供的服务隔离开来,并清楚地显示了所需的功能。这种配置也不旨在反映最佳做法也并不反映生产网络的配置所需的或推荐的配置。配置,包括 IP 地址和其他配置参数,仅用于在独立的测试实验室网络上工作。试图调整试验或生产部署到此远程访问测试实验室配置可能会导致配置或功能问题。
部署信息

概述

在测试实验室中,用下列拓扑部署远程访问:
  • 一台计算机正在运行 Windows Server 2012 名为 dc1,将其配置为一个 intranet 的域控制器的域名系统 (DNS) 服务器,以及动态主机配置协议 (DHCP) 服务器。
  • 运行 Windows Server 2012 的一个内联网成员服务器命名为 DirectAccess 服务器配置的 EDGE1。
  • 一个内部网的成员服务器运行 Windows Server 2012 名为 APP1 配置为常规应用程序服务器和 web 服务器。APP1 是为 DirectAccess 配置为企业根证书颁发机构 (CA),并为网络位置服务器 (NLS)。
  • 运行 Windows Server 2008 R2 的一个内联网成员服务器命名 APP2 配置为常规应用程序服务器和 web 服务器。APP2 是用于演示 NAT64 和 DNS64 功能仅使用 IPv4 的内联网资源。
  • 一台独立的服务器,运行 Windows Server 2012 名为 INET1 配置为 Internet DHCP 服务器、 DNS 服务器和 web 服务器。
  • 一个漫游成员客户端计算机正在运行 Windows 8 名为 CLIENT1 配置为 DirectAccess 客户端。
  • 一个独立的客户端计算机正在运行 Windows 8 名为 NAT1 被配置为使用 Internet 连接共享的网络地址转换 (NAT) 设备。
远程访问测试实验室包含三个模拟以下的子网:
  • 互联网 (131.107.0.0/24)。
  • 企业内部网上名为企业网络 (10.0.0.0/24) (2001:db8:1:: / 64) 从互联网通过 EDGE1 分开。
  • 名为 Homenet (192.168.137.0/24) 的家庭网络连接到互联网的子网使用 NAT 设备。
在每个子网上的计算机通过使用集线器或交换机连接。请参见下图:
部署
此测试实验室演示单服务器 DirectAccess 部署资源的内部网中是 IPv4 和 IPv6 的混合。

硬件和软件要求

以下是测试实验室的所需的组件:
  • 产品光盘或 Windows Server 2012 的文件
  • 产品光盘或针对 Windows 8 的文件
  • 产品光盘或 Windows Server 2008 R2 的文件
  • 六个计算机或虚拟机,满足 Windows Server 2012 的最低硬件要求
  • 一台计算机或虚拟机,以满足 Windows Server 2008 R2 的硬件要求

已知的问题

当您使用 Windows Server 2012 配置单个服务器 DirectAccess 实验室,以下是已知问题:
  • 从一个到另一个 Windows Server 2012 服务器不支持在此版本中,并导致远程访问管理控制台停止响应并意外关闭的 DirectAccess 配置迁移。若要变通解决此问题,请执行以下操作:
    1. 启动注册表编辑器。
    2. 在注册表编辑器中,找到并单击以下注册表子项:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ramgmtsvc\Config\Parameters
    3. 删除DaConfigured DWORD 值。
    4. 在命令提示符下,运行gpupdate /force DirectAccess 新服务器上。
  • 管理未加入域的计算机通过 RSAT 的不可能,除非目标服务器帐户添加到 WinRM TrustedHosts 未加入域的计算机的列表。
    • 若要将目标 DirectAccess 服务器添加到 WinRM TrustedHosts 未加入域的计算机的列表,请运行以下命令:
      set-item wsman:\localhost\client\trustedhosts "<computerName>" -force
  • 在此版本中,远程访问向导将始终指向 DirectAccess 组策略对象 (Gpo) 域根目录,即使 Gpo 以前链接到 活动目录(AD) 中的另一个容器。如果您想要将 Gpo 链接至 OU 部署,删除域根目录链接,然后在向导完成之后重新链接到所需的 OU 的 GPO。或者,您可以在配置 DirectAccess 之前删除链接到域根 DirectAccess 管理员的权限。

如何配置远程访问测试实验室

有六个步骤在您设置远程访问快速设置测试实验室基于 Windows Server 2012 基本配置测试实验室。
  1. 基础配置测试实验室设置:

    DirectAccess 单个服务器测试实验室要求 测试实验室指南: Windows Server 2012 基本配置 使用 可选最小模块: Homenet 子网可选最小模块: 基本 PKI 作为其起点。
  2. 配置 DC1:

    DC1 已被配置为使用 活动目录(AD) 域控制器和 intranet 子 DNS 和 DHCP 服务器。对于单个服务器 DirectAccess 测试实验室,必须配置 DC1 具有静态 IPv6 地址。安全组将 DirectAccess 客户端计算机添加到 活动目录(AD) 中。
  3. 配置 app1 发出:

    APP1 已经是成员服务器,配置了 IIS 还充当文件服务器和企业根证书颁发机构 (CA)。远程访问快速设置测试实验室,APP1 必须配置为具有静态 IPv6 地址。
  4. 配置 APP2:

    APP2 被配置为站点和文件服务器以演示仅使用 IPv4 的内联网资源。
  5. 配置 EDGE1:

    EDGE1 已经是成员服务器。对于单个服务器 DirectAccess 测试实验室,EDGE1 必须配置为具有静态 IPv6 地址的远程访问服务器。
  6. 将 CLIENT1 配置:

    客户端 1 已经是域成员客户端计算机正在运行 Windows 8。对于远程访问快速设置测试实验室中,将使用客户端 1 进行测试和演示远程访问操作。
注意:您必须登录为域管理员组的成员或成员的每台计算机上管理员组,来完成本指南中描述的任务。如果无法完成任务,而是管理员组的成员的帐户登录时,请尝试执行这一任务,而您使用的帐户是域管理员组的成员身份登录。
部署方法
本指南提供了用于配置 Windows Server 2012 基本配置的计算机的步骤测试实验室,在 Windows Server 2012,配置的远程访问和展示远程客户端连接。以下各节提供有关如何执行这些任务的详细信息。

步骤 1: 设置基本配置测试实验室

使用"步骤的配置企业网络子网"和"步骤的配置 Internet 网"部分中的过程设置的企业网络和 Internet 网基础配置测试实验室 测试实验室指南: Windows Server 2012 基本配置.

通过使用中的过程设置 Homenet 子网 可选最小模块: Homenet 子网.

使用中的过程来部署基本证书基础结构 可选最小模块: 基本 PKI.

步骤 2: 配置 DC1

DC1 DirectAccess 单个服务器部署测试实验室的配置包括以下过程:
  • 在 DC1 上配置 IPv6 地址。
  • 创建 DirectAccess 客户端计算机的安全组。
  • 创建网络位置服务器的 DNS 记录。
  • 域组策略中创建 ICMPv4 和 ICMPv6 回显请求的防火墙规则。
以下各节介绍了这些详细的过程。

在 DC1 上配置 IPv6 地址

Windows Server 2012 基本配置测试实验室不包括 IPv6 地址配置。在此步骤中,添加支持 DirectAccess 部署 IPv6 地址配置。
在 DC1 上配置 IPv6 地址
  1. 在服务器管理器中,单击控制台树中的本地服务器。滚动到顶部的详细信息窗格,然后单击旁边以太网链接。
  2. 网络连接中,以太网,用鼠标右键单击,然后单击属性
  3. Internet 协议版本 6 (TCP/IPv6),请单击,然后单击属性
  4. 单击使用下面的 IPv6 地址。在IPv6 地址中,键入 2001:db8:1::1.子网前缀长度,键入 64.在默认网关中,键入 2001:db8:1::2.单击使用下面的 DNS 服务器地址,然后在首选 DNS 服务器中键入 2001:db8:1::1然后单击确定
  5. 单击Internet 协议版本 4 (TCP/IPv4),然后单击属性
  6. 默认网关中,键入 10.0.0.2然后单击确定
  7. 关闭以太网属性对话框。
  8. 关闭网络连接窗口。
演示: DC1 上配置 IPv6 地址


注意:以下 Windows PowerShell 命令 执行上一个步骤相同的功能。在单独的一行中,输入每个 cmdlet,即使可能由于格式限制而显示自动换行在这里几个行。请注意,"以太网"接口名称可能在您的计算机上不同。使用ipconfig /all给出了接口的列表。
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::1 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

步骤 3: 创建 DirectAccess 客户端计算机的安全组

DirectAccess 配置时,它将自动创建包含 DirectAccess 设置的 Gpo 并将它们应用于 DirectAccess 客户端和服务器。默认情况下,入门向导应用客户端 GPO 只,在移动式计算机到域计算机安全组中。在此实验过程不使用默认设置,但相反 DirectAccess 客户端创建备用安全组。

若要创建 DirectAccess 客户端安全组

  1. 在 DC1 上,从开始屏幕中,单击活动目录(AD) 管理中心
  2. 在控制台树中,单击箭头以展开corp (本地),,然后单击用户
  3. 任务窗格中,单击新建,然后单击
  4. 在创建组对话框中,键入 DirectAccessClients 组的名称。
  5. 向下滚动才能访问创建组对话框中的成员部分,然后单击添加
  6. 单击对象类型,选择计算机,然后单击确定
  7. 键入 客户端 1然后单击确定
  8. 单击确定以关闭创建组对话框。
  9. 退出活动目录管理的中心


注意:以下 Windows PowerShell 命令 执行上一个步骤相同的功能。在单独的一行中,输入每个 cmdlet,即使可能由于格式限制而显示自动换行在这里几个行。
New-ADGroup -GroupScope global -Name DirectAccessClients Add-ADGroupMember -Identity DirectAccessClients -Members CLIENT1$

步骤 4: 创建网络位置服务器的 DNS 记录

DNS 记录需要解决网络位置服务器,将位于 APP1 服务器的名称。

若要创建网络位置服务器的 DNS 记录

  1. 单击开始,然后单击DNS
  2. 展开正向搜索区域,DC1,然后选择corp.contoso.com
  3. Corp.contoso.com,用鼠标右键单击,然后单击新主机 (A 或 AAAA)
  4. 在名称下键入 NLS然后在 IP 地址下键入 10.0.0.3.
  5. 单击添加主机,单击确定,然后单击完成
  6. 关闭DNS 管理器控制台。
演示: 创建网络位置服务器 DNS record.mp4


注意:以下 Windows PowerShell 命令 执行上一个步骤相同的功能。在单独的一行中,输入每个 cmdlet,即使可能由于格式限制而显示自动换行在这里几个行。
Add-DnsServerResourceRecordA -Name NLS -ZoneName corp.contoso.com -IPv4Address 10.0.0.3

步骤 5: 创建 ICMPv4 和 ICMPv6 回显请求防火墙规则在域组策略

ICMPv4 和 ICMPv6 回显请求入站和出站所需的 Teredo 支持。DirectAccess 客户端使用 Teredo 作为其 IPv6 过渡技术时他们专用 (RFC 1918) IP 地址分配,位于 NAT 设备或防火墙,允许出站 UDP 端口 3544 后面 DirectAccess 服务器通过 IPv4 互联网连接。此外,启用 ping 便于测试 DirectAccess 解决方案中参与者之间的连接。

若要创建 ICMPv4 和 ICMPv6 防火墙规则

  1. 从开始屏幕中,单击组策略管理
  2. 在控制台树中,展开林: corp.contoso.com\Domains\corp.contoso.com
  3. 选择组策略对象
  4. 在详细信息窗格中,右键单击默认域策略,然后单击编辑
  5. 在组策略管理编辑器的控制台树中,展开计算机配置 \ 策略 \windows 设置 \ 安全设置 Settings\Windows 防火墙高级 Security\Windows 防火墙具有高级安全-LDAP://CN=...
  6. 在控制台树中,选择入站规则,右键单击入站规则,然后单击新规则
  7. 在新建入站规则向导规则类型页上单击自定义、,然后单击下一步
  8. 在程序页上,单击下一步
  9. 协议类型中的协议和端口页上单击ICMPv4,,然后单击自定义
  10. 在自定义 ICMP 设置对话框中,单击特定 ICMP 键入、 选择回显请求、 单击确定,然后单击下一步
  11. 单击下一步三次。
  12. 在名称页的名称中键入 入站 ICMPv4 回显请求然后单击完成
  13. 在控制台树中,右键单击入站规则,然后单击新建规则
  14. 在规则类型页中,单击自定义、,然后单击下一步
  15. 在程序页上,单击下一步
  16. 协议类型中的协议和端口页上单击ICMPv6,,然后单击自定义
  17. 在自定义 ICMP 设置对话框中,单击特定 ICMP 键入、 选择回显请求、 单击确定,然后单击下一步
  18. 单击下一步三次。
  19. 在名称页的名称中键入 入站 ICMPv6 回显请求然后单击完成
  20. 请确认您所创建的规则,出现在入站规则节点中。关闭组策略管理编辑器,然后关闭组策略管理控制台。
演示:创建 ICMPv4 和 ICMPv6 防火墙规则


注意:以下 Windows PowerShell 命令 执行上一个步骤相同的功能。在单独的一行中,输入每个 cmdlet,即使可能由于格式限制而显示自动换行在这里几个行。请注意,这些命令需要具有对企业网络的每台计算机,不配置组策略设置:
Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Enabled True -Direction Inbound -Action Allow Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv6-In)" -Enabled True -Direction Inbound -Action Allow

第 6 步: 配置 APP1

APP1 DirectAccess 单个服务器部署测试实验室的配置包括以下步骤:
  • APP1 上配置 IPv6 地址。
  • 配置 Web 服务器证书模板的权限。
  • APP1 获取更多的证书。
  • 配置 HTTPS 安全绑定。
以下各节介绍了这些详细的过程。

APP1 上配置 IPv6 地址

Windows Server 2012 基本配置测试实验室不包括 IPv6 地址配置。在此步骤中,添加支持 DirectAccess 部署 IPv6 地址配置。
APP1 上配置 IPv6 地址
  1. 在服务器管理器中,单击控制台树中的本地服务器。滚动到顶部的详细信息窗格,然后单击旁边以太网链接。
  2. 网络连接中,以太网,用鼠标右键单击,然后单击属性
  3. Internet 协议版本 6 (TCP/IPv6),请单击,然后单击属性
  4. 单击使用下面的 IPv6 地址。在IPv6 地址中,键入2001:db8:1::3。在子网前缀长度,键入64。在默认网关中,键入2001:db8:1::2。单击使用下面的 DNS 服务器地址,然后在首选 DNS 服务器中键入2001:db8:1::1。单击确定
  5. 单击Internet 协议版本 4 (TCP/IPv4),然后单击属性
  6. 默认网关键入10.0.0.2,然后单击确定
  7. 关闭以太网属性对话框。
  8. 关闭网络连接窗口。
演示: APP1 上配置 IPv6 地址


注意:以下 Windows PowerShell 命令 执行上一个步骤相同的功能。在单独的一行中,输入每个 cmdlet,即使可能由于格式限制而显示自动换行在这里几个行。请注意,"以太网"接口名称可能在您的计算机上不同。使用ipconfig /all给出了接口的列表。
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::3 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

配置 Web 服务器证书模板的权限

接下来,Web 服务器证书模板上配置权限,以便发出请求的计算机可以指定证书的主题名称。
若要配置的 Web 服务器证书模板的权限
  1. 在 APP1,从开始屏幕中,单击证书颁发机构
  2. 在详细信息窗格中,展开corp APP1 CA
  3. 用鼠标右键单击证书模板,然后再单击管理。
  4. 在证书模板控制台中,用鼠标右键单击Web 服务器模板,然后单击属性
  5. 单击安全选项卡,然后单击通过验证的用户
  6. 经过身份验证的用户的权限,在允许框中,单击注册,然后单击确定

    注意:经过身份验证的用户组配置为简单起见,在测试实验室中。在实际部署中,您将指定包含您可以请求自定义证书的组织中的计算机的计算机帐户的安全组的名称。这包括 DirectAccess 服务器和网络位置服务器。
  7. 关闭证书模板控制台。
演示: 配置 Web 服务器证书模板的权限

获取上 APP1 其他证书

使用自定义的主题和备用网络位置名称获取 APP1 其他证书。
APP1 为获取更多的证书
  1. 从开始屏幕中,键入mmc ,然后按 enter 键。
  2. 单击文件,然后单击添加/删除管理单元中
  3. 单击证书添加选择计算机帐户,单击下一步,选择本地计算机,单击完成和,然后单击确定
  4. 在证书管理单元的控制台树中,打开证书 (本地计算机) \Personal\Certificates
  5. 用鼠标右键单击证书,指向所有任务,然后单击申请新证书
  6. 单击下一步两次。
  7. 申请证书页上,单击Web 服务器,然后单击注册此证书所需的详细信息
  8. 证书属性对话框中的使用者名称键入,在主题选项卡上选择公用名
  9. 中,键入nls.corp.contoso.com,,然后单击添加
  10. 单击确定,单击注册,然后单击完成
  11. In the details pane of the Certificates snap-in, verify that a new certificate with the name nls.corp.contoso.com was enrolled with Intended Purposes of Server Authentication.
  12. 关闭控制台窗口。如果系统提示您保存设置时,请单击
演示: 获得 APP1 上的其他证书

配置 HTTPS 安全绑定

接下来,配置 HTTPS 安全绑定,以便 APP1 可以充当网络位置服务器。
若要配置 HTTPS 安全绑定
  1. 从开始屏幕中,单击Internet Information Services (IIS) 管理器
  2. 在 Internet Information Services (IIS) 管理器的控制台树中,打开APP1/站点,然后单击默认的 Web 站点
  3. 操作窗格中,单击绑定
  4. 站点绑定对话框中,单击添加
  5. 添加网站绑定对话框中的键入列表中,单击https。在SSL 证书,单击证书名称nls.corp.contoso.com。单击确定,然后单击关闭
  6. 关闭 Internet Information Services (IIS) 管理器控制台。
演示: 配置 HTTPS 安全性上 APP1 绑定

第 7 步: 安装和配置 APP2

APP2 是充当仅 IPv4 主机,用于演示仅使用 IPv4 的资源使用 DNS64 和 NAT64 功能的 DirectAccess 连接的 Windows Server 2008 R2 企业版计算机。APP2 承载 HTTP 和 SMB DirectAccess 客户端计算机将能够从模拟 Internet 访问的资源。NAT64/DNS64 功能设置使公司能够将 DirectAccess 部署而不需要用户升级到本机 IPv6 或甚至 IPv6 支持的网络资源。

APP2 DirectAccess 单个服务器测试实验室的配置包括以下步骤:
  • 在 APP2 上创建共享的文件夹。
  • 设置 IIS web 服务。
以下各节介绍了这些详细的过程。

在 APP2 上创建共享的文件夹

第一步是在 APP2 上创建的共享文件夹。APP2 将用于说明通过 DirectAccess 连接到仅 IPv4 主机的 HTTP 连接。
  1. 在 APP2,打开Windows 资源管理器
  2. 浏览到 c: 驱动器。
  3. 右击窗口的空白,指向新建,单击文件夹
  4. 键入 文件 然后按 Enter。
  5. 右键单击文件 ,然后选择属性
  6. 文件属性对话框中,在共享 选项卡上,单击共享...。添加每个人都 对于权限,然后单击共享
  7. 双击文件 文件夹。
  8. 右击窗口的空白,指向新建,然后单击文本文档
  9. 双击新建文本文档.txt 文件。
  10. 新建文本文档.txt – 记事本 窗口中,输入这是一个文本文档 APP2,IPv4 仅服务器上.
  11. 关闭记事本。在记事本对话框中,单击若要保存所做的更改。
  12. 关闭 Windows 资源管理器。

在 APP2 上安装 IIS web 服务

然后,将 APP2 配置为 web 服务器。
  1. 在 APP2,打开服务器管理器
  2. 单击角色,然后单击添加角色
  3. 中添加角色向导 窗口中,单击下一步
  4. 选择Web 服务器 (IIS),然后单击下一步
  5. 单击两次,然后单击设置
演示: 安装和配置 APP2

第 8 步: 配置 EDGE1

DirectAccess 单个服务器部署测试实验室的 EDGE1 配置包括以下步骤:
  • 在 EDGE1 上配置 IPv6 地址。
  • 为 IP 支持 HTTPS 的证书提供 EDGE1。
  • 在 EDGE1 上安装远程访问角色。
  • 在 EDGE1 上配置 DirectAccess。
  • 确认组策略设置。
  • 请确认 IPv6 设置。
以下各节介绍了这些详细的过程。

在 EDGE1 上配置 IPv6 地址

Windows Server 2012 基本配置测试实验室不包括 IPv6 地址配置。在此步骤中,将添加 EDGE1 支持 DirectAccess 部署到的 IPv6 地址配置。
在 EDGE1 上配置 IPv6 地址
  1. 在服务器管理器中,单击控制台树中的本地服务器。滚动到顶部的详细信息窗格,然后单击Corpnet旁边的链接。
  2. 网络连接中,企业网络中,用鼠标右键单击,然后单击属性
  3. Internet 协议版本 6 (TCP/IPv6),请单击,然后单击属性
  4. 单击使用下面的 IPv6 地址。在IPv6 地址中,键入 2001:db8:1::2.子网前缀长度,键入 64.单击使用下面的 DNS 服务器地址,然后在首选 DNS 服务器中键入 2001:db8:1::1.单击确定
  5. 关闭企业网络属性对话框。
  6. 关闭网络连接窗口。
演示:配置 IPv6 地址 EDGE1 上


注意:以下 Windows PowerShell 命令 执行上一个步骤相同的功能。在单独的一行中,输入每个 cmdlet,即使可能由于格式限制而显示自动换行在这里几个行。请注意,"以太网"接口名称可能在您的计算机上不同。使用ipconfig /all给出了接口的列表。
New-NetIPAddress -InterfaceAlias Corpnet -IPv6Address 2001:db8:1::2 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias Corpnet -ServerAddresses 2001:db8:1::1

为 IP 支持 HTTPS 的证书提供 EDGE1

IP HTTPS 侦听器时客户端通过 HTTPS 连接进行身份验证需要证书。
准备证书模板
  1. 在 App1,从开始屏幕中,键入 mmc然后按 enter 键。
  2. 单击文件,然后单击添加/删除管理单元中
  3. 单击证书模板,单击添加,然后单击确定。
  4. 单击证书模板 在左面板中。在详细信息面板中,右键单击计算机 模板并单击复制模板
  5. 单击主题名称 选项卡,然后再单击在请求中提供选项。单击确定
  6. 单击常规 选项卡,然后键入DA 的模板模板显示名称
  7. 单击确定
  8. 在 MMC 窗口中,单击文件,然后单击添加/删除管理单元
  9. 单击证书颁发机构,单击添加,单击本地计算机: (运行此控制台的计算机),单击完成,然后单击确定
  10. 展开corp APP1 CA、 右键单击证书模板,选择新建,单击证书模板的问题
  11. 选择DA 的模板,然后单击确定
演示: 准备一个证书模板
在 EDGE1 上安装 IP HTTPS 证书
  1. 在 EDGE1,从开始屏幕中,键入 mmc 中, 然后按 enter 键。
  2. 单击文件,然后单击添加/删除管理单元中
  3. 单击证书添加单击计算机帐户,单击下一步,选择本地计算机,单击完成和,然后单击确定
  4. 在证书管理单元的控制台树中,打开证书 (本地计算机) \Personal\Certificates
  5. 用鼠标右键单击证书,指向所有任务,然后单击申请新证书
  6. 单击下一步两次。
  7. 在申请证书页DA 的模板,请单击,然后单击注册此证书所需的详细信息
  8. 证书属性对话框中的使用者名称键入,在主题选项卡上选择公用名
  9. 键入 edge1.contoso.com然后单击添加
  10. 备用名称区域中,在键入下选择DNS
  11. 键入 edge1.contoso.com然后单击添加
  12. 常规选项卡中,在好记的名称中键入 IP HTTPS 证书.
  13. 单击确定,单击注册,然后单击完成
  14. 在证书管理单元的详细信息窗格中,验证具有名称edge1.contoso.com的新证书已注册使用的服务器身份验证、 客户端身份验证目的。
  15. 关闭控制台窗口。如果系统提示您保存设置时,请单击
注意:如果看不到DA 的模板模板,请检查以下各项:
  • 请检查用户帐户是否有权注册为 DA 模板模板。
  • 请检查是否已成功向 CA 添加证书模板时。
演示: 在 EDGE1 上安装 IP HTTPS 证书

在 EDGE1 上安装了远程访问服务器角色

Windows Server 2012 中的远程访问服务器角色将 DirectAccess 功能和 RRAS 角色服务合并到一个新的统一的服务器角色。此新的远程访问服务器角色用于集中的管理、 配置和监控 DirectAccess 和基于 VPN 的远程访问服务。下面的过程用于在 EDGE1 上安装远程访问角色。
在 EDGE1 上安装了远程访问服务器角色
  1. 仪表板控制台中的服务器管理器中,在配置此本地服务器上,请单击添加角色和功能
  2. 单击下一步三次到达服务器角色选择屏幕。
  3. 选择服务器角色对话框中,选择远程访问,单击添加功能时都出现提示,然后单击下一步
  4. 单击下一步五次接受功能、 远程访问角色服务和 web 服务器角色服务的默认设置。
  5. 在确认屏幕上,单击设置
  6. 等待完成,功能安装,然后单击关闭
视频


注意:以下 Windows PowerShell 命令 执行上一个步骤相同的功能。在单独的一行中,输入每个 cmdlet,即使可能由于格式限制而显示自动换行在这里几个行。
Install-WindowsFeature RemoteAccess -IncludeManagementTools

在 EDGE1 上配置 DirectAccess

通过使用远程访问安装向导中的单服务器部署配置 DirectAccess。
在 EDGE1 上配置 DirectAccess
  1. 从开始屏幕中,单击远程访问管理
  2. 在远程访问管理控制台中,单击运行远程访问安装向导
  3. 在配置远程访问向导中,单击部署 DirectAccess
  4. 在"步骤 1 远程客户端,"下,单击配置
  5. 选择部署完整 DirectAccess 客户端访问和远程管理,,然后单击下一步
  6. 在选择组屏幕中,单击添加,类型 DirectAccessClients单击确定,然后单击下一步
  7. 在网络连接助手屏幕上,旁边DirectAccess 连接名称,键入 Contoso DirectAccess 连接.单击完成
  8. 在"步骤 2 DirectAccess 服务器"下,单击配置
  9. 确认选择边缘作为网络拓扑结构。类型 edge1.contoso.com 作为远程访问客户端将连接到的公用名称。单击下一步
  10. 网络适配器在屏幕上,等待向导来填充的 Internet 和企业网络接口。验证CN=edge1.contoso.com自动选择要对 IP HTTPS 连接进行身份验证的证书。单击下一步
  11. 在前缀配置屏幕上,单击下一步
  12. 在身份验证屏幕中,选择使用计算机证书,然后单击浏览
  13. 选择corp APP1 CA,单击确定,然后单击完成
  14. 在"步骤 3 基础结构服务器"下,单击配置
  15. 网络位置服务器的 url,键入 https://nls.corp.contoso.com,,然后单击验证
  16. 在 APP1 NLS URL 的连接验证成功后,单击下一步
  17. 单击下一步两次以接受默认设置的 DNS 和管理,然后单击完成
  18. 在远程访问安装屏幕的底部,单击完成
  19. 远程访问权限检查对话框中,单击应用
  20. 远程访问安装向导完成后,单击关闭
  21. 在远程访问管理控制台的控制台树中,选择操作状态。等待,直到所有监视器的状态显示"正在工作"。在任务窗格的监视下,单击刷新定期来更新显示。
演示:在 EDGE1 上的直接访问配置


注意:在此版本的 Windows Server 2012,网络适配器的状态可能是黄色而不是绿色。若要确保网络适配器的状态将显示为"正在进行",打开提升的命令提示符下,键入以下命令,然后按 enter 键:
netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface = "Corpnet"

确认组策略设置

DirectAccess 向导配置 Gpo 和自动部署的远程访问服务器和 DirectAccess 客户端使用活动目录的设置。

若要检查 DirectAccess 向导所创建的组策略设置

  1. 在 EDGE1,从开始屏幕中,单击组策略管理
  2. 展开林: corp.contoso.com,展开corp.contoso.com,然后展开的组策略对象
  3. 远程访问设置向导将创建两个新的 Gpo。DirectAccess 客户端设置将应用于 DirectAccessClients 安全组的成员。DirectAccess 服务器设置将应用于 EDGE1 DirectAccess 服务器。确认的正确的安全执行筛选的每个这些 Gpo 通过单击该 GPO,然后在控制台的细节窗格中的范围选项卡上的安全筛选部分中查看这些项目。
  4. 从开始屏幕中,键入 wf.msc然后按 enter 键。
  5. 具有高级安全性的 Windows 防火墙控制台中,请注意,域配置文件处于活动状态,而公用配置文件处于活动状态。确保已启用 Windows 防火墙,并且在域和公用配置文件处于活动状态。如果禁用了 Windows 防火墙,或者禁用了域或公用配置文件,然后 DirectAccess 将无法正常运行。
  6. 具有高级安全性的 Windows 防火墙控制台树中,单击连接安全规则节点。控制台的详细信息窗格中将显示两个连接安全规则: DirectAccess 策略 DaServerToCorpDirectAccess 策略-DaServerToInfra。第一个规则用于建立内联网隧道和第二条规则是基础结构隧道。通过使用组策略情况下,这两个规则会发送到 EDGE1。
  7. 关闭具有高级安全性的 Windows 防火墙控制台。
演示: 确认组策略设置

IPv6 设置确认

  1. 在 EDGE1,在桌面任务栏中,用鼠标右键单击Windows PowerShell,,然后单击以管理员身份运行
  2. 在 Windows PowerShell 窗口中,键入 获得 NetIPAddress 然后按 Enter。
  3. 该输出显示与 EDGE1 网络配置相关的信息。有感兴趣的几个部分:
    • 6TO4 适配器部分将显示信息,包括由其外部接口上的 EDGE1 的全局 IPv6 地址。
    • IPHTTPSInterface部分显示 IP HTTPS 接口的信息。
  4. 若要在 EDGE1 上看到 Teredo 接口的信息,请键入 netsh 界面 Teredo 显示状态 然后按 Enter。输出应包括一项状态: 联机
演示: 确认 IPv6 设置

第 9 步: 连接到企业网络的子网和更新组策略客户端 1

若要接收 DirectAccess 设置,客户端 1 必须更新组策略设置在连接到企业网络的子网。

要更新客户端 1 上的组策略,并应用 DirectAccess 设置

  1. 将客户端 1 连接到企业网络的子网。
  2. 重新启动客户端 1 计算机更新组策略和安全组成员身份在连接到企业网络的子网。重新启动后,CORP\User1 以用户身份登录。
  3. 从开始屏幕中,键入 PowerShell用鼠标右键单击Windows PowerShell,,然后单击以管理员身份运行
  4. 键入 获得 DnsClientNrptPolicy 然后按 Enter。显示 DirectAccess 的名称解析策略表 (NRPT) 项。请注意,NLS 服务器免除显示为 NLS.corp.contoso.com。这是用于 APP1 服务器的别名。Corp.contoso.com 的所有其他名称解析将使用内部企业网络外部的 (2001:db8::1::2) 的 EDGE1 服务器的 IPv6 地址。
  5. 键入 获得 NCSIPolicyConfiguration 然后按 Enter。显示向导部署的网络连接状态指示器设置。请注意,DomainLocationDeterminationURL 的值是 https://nls.corp.contoso.com.只要可以访问此网络位置服务器 URL,客户端将验证它位于公司网络上,并且 NRPT 设置不会应用。
  6. 键入 获得 DAConnectionStatus 然后按 Enter。因为客户端可以访问的网络位置服务器 URL,则状态将显示为ConnectedLocally
演示: 连接到企业网络的子网和更新组策略客户端 1

客户端计算机连接到企业网络的子网,并重新启动后,请查看下面的演示视频:

第 10 步: 连接到互联网的子网的客户端 1 和测试远程访问

若要测试来自 Internet 的远程访问连接,移动到互联网的子网客户端 1 连接。

若要测试来自 Internet 的远程访问

  1. 将客户端 1 连接到互联网的子网。网络确定进程完成后,网络图标应指示访问互联网。
  2. 在 PowerShell 窗口中,键入 获得 DAConnectionStatus 然后按 Enter。状态应显示为ConnectedRemotely
  3. 单击系统通知区域中的网络图标。请注意, Contoso DirectAccess 连接被列为连接。这是我们 DirectAccess 向导中提供的连接名称。
  4. 用鼠标右键单击Contoso DirectAccess 连接,然后单击属性。请注意,状态将显示为已连接
  5. PowerShell 提示符下,键入 inet1.isp.example.com ping 然后按 enter 键以确认 Internet 名称解析和连接。您应该从 131.107.0.1 收到四个答复。
  6. 键入 app1.corp.contoso.com ping 然后按 Enter 键确认公司内部网络名称解析和连接。由于 APP1 启用 IPv6 intranet 资源,ICMP 响应是从 app1 发出的 IPv6 地址 (2001:db8:1::3)。
  7. 键入 app2.corp.contoso.com ping 并按 Enter,验证名称解析和连接到 intranet Windows Server 2003 的文件服务器。请注意返回的 IPv6 地址的格式。由于 APP2 是仅使用 IPv4 的内联网资源,则返回 APP2 的动态创建的 NAT64 地址。动态创建的前缀分配 DirectAccess NAT64 会在窗体 fdxx:xxxx:xxxx:7777:: / 96。
  8. 单击 Internet Explorer 图标来启动它。请验证您可以访问该网站 http://inet1.isp.example.com 上。此网站正在运行在 INET1 互联网服务器上,并验证 DirectAccess 之外的互联网连接。
  9. 请验证您可以访问该网站 http://app1.corp.contoso.com 上。此站点 APP1 服务器上运行,并验证 DirectAccess 连接到内部的 IPv6 web 服务器。
  10. 请验证您可以访问该网站 http://app2.corp.contoso.com 上。您会看到默认"正在建设"IIS 网页,验证 DirectAccess 连接到内部仅使用 IPv4 的 web 服务器。
  11. 从桌面任务栏中,单击Windows 资源管理器图标。
  12. 在地址栏中键入 \\app1\Files,,然后按 enter 键。
  13. 您会看到文件的共享文件夹中的内容的文件夹窗口。
  14. 文件共享的文件夹窗口中,双击Example.txt文件。您应该看到 Example.txt 文件的内容。
  15. 关闭示例 — 记事本窗口。
  16. 在 Windows 资源管理器地址栏中,键入 \\app2\Files,,然后按 enter 键。
  17. 文件共享的文件夹窗口中,双击新建文本文档.txt文件。您应该看到在 IPv4 专用服务器上共享文档的内容。
  18. 关闭新的文本文档的记事本和共享文件文件夹窗口。
  19. 从 PowerShell 窗口中,键入 获得 NetIPAddress 然后按 enter 键来检查客户端的 IPv6 配置。
  20. 键入 获得 NetTeredoState 然后按 enter 键来检查 Teredo 配置。请注意,Teredo 服务器名称是 edge1.contoso.com,请 EDGE1 服务器解析外部 DNS 名称。
  21. 键入 获得 NetIPHTTPSConfiguration 然后按 Enter。检查由定向到客户端的组策略设置 https://edge1.contoso.com:443/IPHTTPS.
  22. 键入 wf.msc 然后按 enter 键,以使用高级安全控制台启动 Windows 防火墙。展开监视,然后安全关联来检查建立 IPsec Sa。请注意所使用的身份验证方法是 Kerberos 计算机和用户 Kerberos 还计算机证书和用户的 Kerberos。
  23. 在控制台树中,选择连接安全规则。检查提供的 DirectAccess 连接所使用的规则。
  24. 关闭 Windows 防火墙,在使用高级安全控制台。
演示: 连接到互联网的子网的客户端 1 和测试远程访问

将客户端计算机连接到互联网的子网后,请查看下面的演示视频:

第 11 步: 连接到 Homenet 子网上的客户端 1 和测试远程访问

测试从 NAT 背后模拟家庭网络的远程访问连接,请将 CLIENT1 连接转向 Homenet 子网。

若要测试从家庭网络的远程访问

  1. 将客户端 1 连接到 Homenet 子网。一旦网络确定进程完成后,网络图标应指示访问互联网。
  2. 在 PowerShell 窗口中,键入 获得 DAConnectionStatus 然后按 Enter。状态将显示为ConnectedRemotely
  3. 单击系统通知区域中的网络图标。请注意, Contoso DirectAccess 连接被列为连接。用鼠标右键单击Contoso DirectAccess 连接,然后单击属性。请注意状态被列为连接
  4. 键入 app1.corp.contoso.com ping 并按 Enter 键确认公司内部网络名称解析和连接到内部 IPv6 资源。
  5. 键入 app2.corp.contoso.com ping 并按 Enter 键确认公司内部网络名称解析和连接到 IPv4 内部资源。
  6. 单击 Internet Explorer 图标以启动 Internet Explorer。请验证您可以访问 http://inet1.isp.example.com、 http://app1.corp.contoso.com,和 http://app2.corp.contoso.com 的网站。
  7. 从桌面任务栏中,单击Windows 资源管理器图标。
  8. 请确认您可以访问 \\APP1\Files 和 \\APP2\Files 中的共享的文件。
  9. 关闭 Windows 资源管理器窗口。
  10. 在 PowerShell 窗口中,键入 获得 NetIPAddress 然后按 enter 键来检查客户端的 IPv6 配置。
  11. 键入 获得 NetTeredoState 然后按 enter 键来检查 Teredo 配置。请注意,Teredo 状态被列为合格
  12. 键入 ipconfig 然后按 Enter。请注意,在此部署了 NAT 背后,DirectAccess 客户端连接通过 Teredo 隧道适配器。
演示: 连接到 Homenet 子网上的客户端 1 和测试远程访问:

将客户端计算机连接到 Homenet 子网后,请参阅下面的演示视频。

第 12 步: 监视 EDGE1 DirectAccess 服务器上的客户端连接

Windows Server 2012 中的远程访问管理控制台提供了监视功能的 DirectAccess 和 VPN 连接的远程客户端状态。

若要监视 EGDE1 上的客户端连接

  1. 从开始屏幕中,单击远程访问管理
  2. 在远程访问管理控制台中,选择仪表板
  3. 检查在远程客户端状态下收集的数据。
  4. 在远程访问管理控制台中,选择远程客户端状态
  5. 双击可显示详细的远程客户端统计信息对话框中的客户端 1 连接。
演示: 监视 EGDE1 上的客户端连接

可选: 快照配置

这将完成向 DirectAccess 简化的部署中仅 IPv4 环境测试实验室。保存此配置,以便您可以快速返回到可用的远程访问配置可以从该测试模块化其他远程访问测试实验室指南 (TLGs) TLG 扩展,或对于自己试验和学习,请执行以下:

1.在所有的物理计算机或虚拟机在测试实验室中,关闭所有窗口,然后执行正常关机。

2.如果您的实验室基于虚拟机,将每个虚拟机的快照保存并命名DirectAccess 混合使用 IPv4 和 IPv6的快照。如果您的实验室使用物理计算机,创建保存 DirectAccess 简化仅 IPv4 测试实验室配置的磁盘映像。

警告:本文已自动翻译

属性

文章 ID:3022362 - 上次审阅时间:11/09/2015 10:04:00 - 修订版本: 4.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbexpertiseadvanced kbsurveynew kbinfo kbhowto kbmt KB3022362 KbMtzh
反馈