在上篇文章中(點(diǎn)擊)，我們完成了DC環(huán)境準(zhǔn)備的準(zhǔn)備工作，本文將繼續(xù)介紹DA、網(wǎng)絡(luò)位置服務(wù)器及客戶端的環(huán)境準(zhǔn)備。

一、DA及其他服務(wù)器環(huán)境準(zhǔn)備

DA1配置

1. 安裝IIS角色，作為一個(gè)簡(jiǎn)單的WEB服務(wù)器，設(shè)置默認(rèn)即可。

2. 為DA服務(wù)器申請(qǐng)一個(gè)web服務(wù)器證書(shū)。

在MMC中打開(kāi)【證書(shū)】，證書(shū)管理選擇【計(jì)算機(jī)帳戶】-【本地計(jì)算機(jī)】-【證書(shū)】-【個(gè)人】-【申請(qǐng)新證書(shū)】，證書(shū)注冊(cè)策略選擇默認(rèn)即可(圖1)

在【請(qǐng)求證書(shū)】處，勾選【W(wǎng)eb Server 2008】并點(diǎn)擊鏈接進(jìn)行配置(圖2)
 

在【使用者名稱】-【類(lèi)型】中選擇【公用名】，值輸入【da1.contoso.com】，點(diǎn)擊添加。(圖3)
 

在常規(guī)選項(xiàng)卡中可以輸入一個(gè)友好名稱：IP-HTTPS Certificarte，確定即可，然后點(diǎn)擊【注冊(cè)】(圖4)

證書(shū)注冊(cè)成功后，可看到剛注冊(cè)的證書(shū)類(lèi)型屬于【服務(wù)器身份驗(yàn)證】(圖5)
 

3. 創(chuàng)建CRL列表分發(fā)點(diǎn)

在IIS的默認(rèn)網(wǎng)站中，創(chuàng)建一個(gè)名為【CRLD】的虛擬目錄，物理路徑指向本地硬盤(pán)的【CRLDist】目錄(沒(méi)有可自行創(chuàng)建)。(圖6)

創(chuàng)建好虛擬目錄，在右側(cè)【管理】中找到【配置編輯器】，雙擊進(jìn)入。在【節(jié)】中依次選擇【system.webServer\security\authentication\requestFiltering】，更改【allowDoubleEscaping】的值為【Ture】(圖7)

4. 配置CRL分發(fā)點(diǎn)文件夾權(quán)限

打開(kāi)本地硬盤(pán)中【CRLDist】文件夾屬性，選擇【共享】，點(diǎn)擊【高級(jí)共享】，共享名改為【CRLDist$】，權(quán)限設(shè)置將DC1設(shè)置為完全控制。(圖8)
 

5. 發(fā)布CRL分發(fā)點(diǎn)

回到DC1的證書(shū)頒發(fā)機(jī)構(gòu)中，選中【吊銷(xiāo)的證書(shū)】，右擊【所有任務(wù)】，選擇【發(fā)布】，選擇【新的CRL】確定即可。如果之前設(shè)置不正確，此處會(huì)彈出相關(guān)錯(cuò)誤提示。(圖9)

#p#

APP1配置

1. 安裝IIS角色，默認(rèn)設(shè)置即可。

2. 申請(qǐng)一個(gè)web服務(wù)器證書(shū)，設(shè)置可參考DA1申請(qǐng)證書(shū)過(guò)程，有一點(diǎn)需要注意，證書(shū)申請(qǐng)時(shí)，使用者名稱選擇【公用名】，輸入【nls.contoso.com】,備用名稱選擇【DNS】，輸入【nls.contoso.com】.(圖10)

3. 啟用IIS中的HTTPS安全綁定。

打開(kāi)IIS管理器，選擇【default web site】,在右側(cè)【編輯網(wǎng)站】處，點(diǎn)選【綁定】

注釋?zhuān)簄ls為APP1主機(jī)別名，在DNS中添加即可。這里指Network Loaction Server，屬于DA客戶端訪問(wèn)的Intranet資源。(圖11)

網(wǎng)站綁定類(lèi)型為：【HTTPS】，證書(shū)選擇剛申請(qǐng)到的【nls.contoso.com】(圖12)
 

小貼士：IP-HTTPS 是 Windows 7 和 Windows Server 2008 R2 的一項(xiàng)新協(xié)議，該協(xié)議允許位于 Web 代理服務(wù)器或防火墻后面的主機(jī)通過(guò)在基于 IPv4 的安全超文本傳輸協(xié)議 (HTTPS) 會(huì)話內(nèi)隧道傳送 IPv6 數(shù)據(jù)包來(lái)建立連接。通常，只有在客戶端無(wú)法使用其他 IPv6 連接方法連接到 DirectAccess 服務(wù)器時(shí)才使用 IP-HTTPS。

4. 設(shè)置一個(gè)共享文件夾，放置一個(gè)測(cè)試文本，用來(lái)測(cè)試Direct Access Client訪問(wèn)情況。

#p#

INIT1配置

1. 安裝IIS和DNS角色，設(shè)置默認(rèn)即可。

2. 在DNS中添加一個(gè)主要區(qū)域：【isp.example.com】,將INET1主機(jī)添加進(jìn)區(qū)域中。(圖13)

3. 在DNS中再添加一個(gè)主要區(qū)域：【contoso.com】，設(shè)置為【允許安全和非安全的動(dòng)態(tài)更新】，將DA1主機(jī)添加進(jìn)區(qū)域當(dāng)中。(圖14)

4. 安裝DHCP角色，配置作用域【Internet】，范圍：131.107.0.100/24-131.107.0.150/24 DNS為131.107.0.1 ，禁用Wins和DHCPv6服務(wù)。

#p#

Client1配置

1. 將Client 1加入域。

2. 將Client1 加入DA_Clients 安全組中。(圖15)
 

 3. 確認(rèn)Client 1 已經(jīng)正常自動(dòng)注冊(cè)計(jì)算機(jī)證書(shū)(圖16)
 

4. 使用Client 1訪問(wèn)內(nèi)網(wǎng)資源，測(cè)試連通性。

到現(xiàn)在為止，已經(jīng)完成了對(duì)DA部署前的環(huán)境準(zhǔn)備，下一篇中，我將描述關(guān)于DA服務(wù)器的相關(guān)設(shè)置。

【編輯推薦】

1. Win2008 R2之DA實(shí)戰(zhàn)：服務(wù)器部署篇
2. Win2008 R2之DA實(shí)戰(zhàn)：域環(huán)境準(zhǔn)備
3. Win2008 R2之DA實(shí)戰(zhàn)：DC FOR NAP準(zhǔn)備篇