DirectAccess浅析(一)_职场
 
最近折腾了一下DirectAccess。算是除Hyperv2.0以为在Windows Server 2008R2中我最感兴趣的一个东东。
按照微软官方的配置文档搭建了一个测试环境(PS:IIS配置中有一处错误。。稍后会说)

完成这个测试一共需要4台服务器;2台客户端:
  • DC01:内网域控、DNS、DHCP、CA
  • APP01: 内网应用、定位(可访问的内部网站)、共享文件夹
  • DA01:DirectAccess服务器、吊销证书列表发布点
  • INET01: 模拟ISP,提供DNS、DHCP,以及WEB服务
  • NAT01:(WIndows 7客户端)实现NAT
  • CLIENT01: 客户端
拓扑结构如下图:
 
DirectAccess浅析(一)_浅析_02
 
配置过程中需要注意的几点:
  1. 由于在2008 DNS中添加了一个新的功能 Global Query Block List区域,将WPAD(Web Proxy Automatic Discovery Protocol),ISATAP(Intra-site Tunnel Addressing Protocol)加入了阻止查询区域。为保障ISATAP隧道正常,需要使用使用命令 dnscmd /config /GlobalQueryBlockList ISATAP将 WPAD记录移除。移除后可以用使用dnscmd /info /GlobalQueryBlockList 检查现在列表记录。
  2. 在配置DA01,证书吊销列表虚拟目录CRLD的配置(即配置编辑器)中微软提供的官方文档有误,allowDoubleEscaping值路径,应为system.webServer/security/requestFilterin
  3. 由于DirectAccess应用较多协议,所以当发生故障时,根据协议使用netsh interface <协议> show state查看协议状态;也可以在客户端通过使用ipconfig /all查看对应隧道生成的适配器状态来进行分析
 
DirectAccess应用到的协议
Teredo
6to4
IPHTTPS
ISATAP
 
DirectAccess浅析(一)_浅析_03
 
微软官方文档下载地址
Step By Step Guide: Demonstrate DirectAccess in a Test Lab
 
PS:借liao0804兄DirectAccess图片一张
==============================================
深圳市深信通软件有限公司  Http://www.sxt.com.cn
QQ:121096702 MSN:zhangzhaolong007@hotmail.com
==============================================