最近折腾了一下DirectAccess。算是除Hyperv2.0以为在Windows Server 2008R2中我最感兴趣的一个东东。
按照微软官方的配置文档搭建了一个测试环境(PS:IIS配置中有一处错误。。稍后会说)
按照微软官方的配置文档搭建了一个测试环境(PS:IIS配置中有一处错误。。稍后会说)
完成这个测试一共需要4台服务器;2台客户端:
- DC01:内网域控、DNS、DHCP、CA
- APP01: 内网应用、定位(可访问的内部网站)、共享文件夹
- DA01:DirectAccess服务器、吊销证书列表发布点
- INET01: 模拟ISP,提供DNS、DHCP,以及WEB服务
- NAT01:(WIndows 7客户端)实现NAT
- CLIENT01: 客户端
拓扑结构如下图:
配置过程中需要注意的几点:
- 由于在2008 DNS中添加了一个新的功能 Global Query Block List区域,将WPAD(Web Proxy Automatic Discovery Protocol),ISATAP(Intra-site Tunnel Addressing Protocol)加入了阻止查询区域。为保障ISATAP隧道正常,需要使用使用命令 dnscmd /config /GlobalQueryBlockList ISATAP将 WPAD记录移除。移除后可以用使用dnscmd /info /GlobalQueryBlockList 检查现在列表记录。
- 在配置DA01,证书吊销列表虚拟目录CRLD的配置(即配置编辑器)中微软提供的官方文档有误,allowDoubleEscaping值路径,应为system.webServer/security/requestFilterin
- 由于DirectAccess应用较多协议,所以当发生故障时,根据协议使用netsh interface <协议> show state查看协议状态;也可以在客户端通过使用ipconfig /all查看对应隧道生成的适配器状态来进行分析
DirectAccess应用到的协议
Teredo6to4IPHTTPSISATAP
微软官方文档下载地址
Step By Step Guide: Demonstrate DirectAccess in a Test Lab
PS:借liao0804兄DirectAccess图片一张
==============================================
深圳市深信通软件有限公司 Http://www.sxt.com.cn
QQ:121096702 MSN:zhangzhaolong007@hotmail.com
==============================================
深圳市深信通软件有限公司 Http://www.sxt.com.cn
QQ:121096702 MSN:zhangzhaolong007@hotmail.com
==============================================
