Windows7和Server2008R2中的DirectAccess实验手册.docxVIP

PAGE 10  TITLE \* MERGEFORMAT Windows Server 2008 R2: 实施 DirectAccess  TITLE \* MERGEFORMAT Windows Server 2008 R2: 实施 DirectAccess PAGE 11 Windows Server 2008 R2: 实施 DirectAccess 该实验的目的是为实施DirectAccess的IT专业人员提供一个解决方案。这个实验提供了实施 DirectAccess方案的详细步骤，包含网络连接，基础结构组件和DirectAccess服务器。在这个实验结束时，你将完成DirectAccess方案中所需的所有步骤。 简介 完成实验预计时间 60 分钟 目标 在完成实验之后，你可以完成: 为DirectAccess配置基础结构的先决条件 配置DirectAccess 服务器 在客户端计算机上测试和确认DirectAccess 先决条件 在开始实验之前，你必须具备以下知识: 对活动目录（AD）、证书服务器（CA）、组策略和远程接入技术有一定理解 熟悉 IPv6, Teredo 和 4to6 掌握执行基本的活动目录管理任务 实验概览 该实验的目的是为实施DirectAccess的IT专业人员提供一个解决方案。这个实验提供了实施 DirectAccess方案的详细步骤，包含网络连接、基础结构组件和DirectAccess服务器。在这个实验结束时，你将完成DirectAccess方案中所需的所有步骤。 场景 Woodgrove 银行是一家位于Baltimore, Maryland, USA的投资银行. Woodgrove 银行拥有一个总部和多个区域、本地的分支机构.大部分的分支机构是很小的办公室并且没有本地的IT支持, 通过低带宽的WAN 连接到总部. 此外,许多Woodgrove 银行的员工需要在各个办公室之间旅行，并且需要在客户的办公室和家中来进行办公. Woodgrove 银行面临着以下全方位的挑战: 管理很多办公室的很多台服务器. 减少每个分支办公室的运作成本. 漫游的用户需要接入公司内部的资源. 管理庞大和复杂的活动目录结构. 为了解决这些挑战, Woodgrove银行决定实施Windows Server 2008 R2 和 Windows7中自带的DirectAccess 功能. 通过实施DirectAccess, Woodgrove 银行将能使用户在任何拥有Internet连接的地方通过一个安全的IPv6的隧道连接到内部的资源，不需要复杂和昂贵的VPN连接. 虚拟机技术 在这个实验中所有的计算机都是使用Microsoft Hyper-V 制作的虚拟机.在每台虚拟机开启之前，确保应用了StartingImage 快照。当你开启了虚拟机之后,按CTRL+ALT+END键然后使用凭据列表中提供的账号进行登录. 实验中的计算机 实验中使用到的虚拟机和描述在以下的列表. 在开始实验之前，你必须开启虚拟机并且登录到计算机.确保在开启其他的虚拟机之前BAL-DC-01已经完全开启. 虚拟机角色BAL-DC-01域控制器，核心的基础结构组件.BAL-DA-01DirectAccess 服务器.HomeRouter家庭网络中使用的NAT 设备.BAL-CLI-01员工在家庭网络中使用的客户机.所有的账号的秘密是Pa$$w0rd 注意：关于用户帐户控制 在使用中的某些步骤将会遭遇到关于用户帐户控制（UAC）. UAC是一项在用户在执行任务需要管理员权限时的附加的保护技术. 任务生成一个用户帐户控制的确认是使用盾牌图标记.如果你遇到盾牌图标，在对话框中确认你的操作. 练习 1 (可选): 检查现有的基础结构配置 在这个练习中你将检查为DirectAccess实施准备现有的基础结构配置. 这些配置能够代表大部分的实施结构; 通过这些，你将能够理解他们的现实意义和具体的配置要求. 检查证书模板的配置 DirectAccess 需要所有参与的客户端和服务器拥有一个有效的包含在服务器认证策略中的计算机证书. 这些证书需要公用名和DNS名称相匹配. 使用用户名 Woodgrovebank\Administrator 和密码 Pa$$w0rd登录到BAL-DC-01来执行这个任务 在开始菜单，单击服务器管理. 在服务器管理器中，展开角色然后单击 Active Directory证书服务. 检查安装的角色服务. 你将需要向下滚到然后定位到角色服务位置. DirectAccess需要证书颁发机构和证书颁发机构Web注册环境. 展开Active Directory证书服务. 单