上篇
DA实验环境准备
实验拓扑
拓扑说明
以下计算机都包括在此拓扑:
拓扑子网:
实验环境建议使用DHCP,从而减少计算机CLIENT1漫游时手动更改IP配置的工作。
实验虚机如下:
主要步骤:
Step 1:配置DC1
? 创建一个安全组da-clients,将client1计算机加入;
? 配置DHCP作用域,为内网计算机分配TCP/IP参数;
? 配置域防火墙策略,为ICMPv4/6出入站开启例外;
? 部署企业CA,通过域策略为成员计算机自动申请证书;
Step 2:配置APP1
? APP1加入域,更新组策略;
? 配置成为内网一台文件服务器;
? 安装IIS,部署为一台WebServer;
? 确认计算机自动申请的证书,为上述网站绑定该证书;(注意自动申请的证书公用名为计算机名,所以访问名称要与其一致,这就是我们的NLS服务器);
Step 3:配置EDGE1
? EDGE1加入域,更新组策略;
? 确认自动申请的计算机证书已经生效;
? 通过MMC控制台再申请一张用于IP-HTTPS连接的计算机证书,模板选择计算机,证书公用名设置为directaccess.sr.local(将来公网发布DA时也使用该名称)
Step 4:配置INET1
? 配置DNS,新建区域sr.local,新建主机记录directaccess对应IP地址131.107.0.2
? 新建区域msftncsi.com,新建主机记录dns指向131.107.255.255,新建主机记录www指向131.107.0.1(这部分用于在模拟环境中client1能使用NCSI网络连接状态指示功能,NCSI详见
? 配置IIS,在默认网站主目录下添加一文本文件ncsi.txt,内容为“Microsoft NCSI”
? 配置DHCP,是的client漫游到internet可以获取地址;
Step 5:配置Client1
? 将Client1加入域;
? 确认组策略生效;
? 测试内网APP1服务器的文件服务及web服务;
Step 6:配置NAT1(可选,用于模拟家庭网络)
? 启用NAT功能;
? 外网卡自动获取地址;
? 内网设置为192.168.137.1/24;
以上是DA部署前期准备的大致过程描述,大家作为参考。
可能有些文档有CA CRL的发布,不过从实验结果看,客户端默认不验证证书的吊销信息,故这步可先跳过。
当然,详细操作步骤也可参考微软官方手册
下篇我们将重点看下DA服务器配置及客户端的验证