CẤU HÌNH DIRECT ACCESS TRÊN WINDOWS SERVER 2012• • купить ламинат компьютерные игры купить онлайн Category: WINDOWS SERVER Written by Đồng Phương Nam I- GIỚI THIỆU: Direct Access là chức
Trang 1CẤU HÌNH DIRECT ACCESS TRÊN WINDOWS SERVER 2012
•
•
купить ламинат
компьютерные игры купить онлайн
Category: WINDOWS SERVER
Written by Đồng Phương Nam
I- GIỚI THIỆU:
Direct Access là chức năng được Microsoft giới thiệu từ Windows Server 2008 R2 hỗ trợ các máy tính Client chạy Windows 7 kết nối vào hệ thống mạng nôi bộ mà không cần thiết lập kết nối VPN Direct Access giúp người dùng có thể kết nối vào mạng nội bộ từ Internet mà không cần thực hiện bất cứ thao tác cấu hình nào và giúp người quản trị có thể quản lý các máy tính Client khi các máy tính này ở ngoài Internet
Direct Access Client sử dụng Ipv6 để kết nối đến Direct Access Server phục
vụ cho việc truy cập mạng nội bộ, tuy nhiên nếu hệ thống mạng nội bộ đang
sử dụng Ipv4, Direct Access sẽ dùng các phương pháp để chuyển đổi Ipv6, giúp các gói tin Ipv6 có thể truyền trong hệ thống mạng nội bộ sử dụng Ipv4 sau đây:
- ISATAP: Được sử dụng trong mạng nội bộ để các máy tính liên lạc với
nhau bằng Ipv6 Protocol này sẽ tạo một adapter ISATAP tunnel có địa chỉ IPv6, đóng gói dữ liệu trong IPv4 header và truyền trong mạng nội bộ Khi đến đích sẽ giải mã gói tin và sử dụng Ipv6
- 6to4 Protocol: Hỗ trợ các máy Direct Access Client sử dụng địa chỉ IP
Public Protocol này cũng sử dụng 1 adapter 6to4 tunnel để đưa gói tin Ipv6 vào bên trong gói tin Ipv4 cho phép truyền gói tin trong mạng nội bộ sử dụng Ipv4
- Teredo Protocol: Teredo đóng gói các gói tin IPv6 theo dạng gói tin IPv4
để chuyển tiếp qua các NAT Server chạy IPv4 và mạng nội bộ IPv4 Các gói tin IPv6 này sẽ được gửi bằng giao thức UDP (User Datagram Protocol) port
3544 Windows Vista, Windows 7 và Windoww 8 mặc định đã được hỗ trợ sử dụng Teredo
- IP-HTTPS Protocol: Đây là protocol do Microsoft phát triển cho phép các
Direct Access Client kết nối với Direct Access Server bằng port 443 (nếu port này được mở trên Server)
Để triển khai dịch vụ Direct Access có 2 cách:
Trang 2a Simplified Direct Access: Theo cách này Direct Access Server và
Network Location Server sẽ tích hợp chung trên 1 Server và sử dụng
Certificate tự phát sinh (Self-Signed Certificate), do đó bạn không cần triển khai dịch vụ Active Directory Certificate Service (ADCS) trong hệ thống Tuy nhiên cách triển khai này chỉ không hỗ trợ dịch vụ NAP và các phương pháp chứng thực two-factor như smartcard…
b Full PKI Direct Access: Theo cách này thì việc cấu hình sẽ phức tạp
hơn, bạn cần triển khai cơ sở hạ tầng PKI trong hệ thống bằng cách cài đặt
và cấu hình dịch vụ Active Directory Certificate Service (ADCS) để cấp các Certificate cần thiết cho các Server và Client
Trong bài viết này tôi sẽ trình bày thao tác cấu hình Direct Access theo
cách Full PKI Deployment trên Windows Server 2012 hỗ trợ các máy Client
chạy Windows 8 kết nối vào mạng nội bộ từ bên ngoài Internet
II- CÁC BƯỚC TRIỂN KHAI:
Mô hình bài lab bao gồm 4 máy
+ DC2012: Domain Controller chạy Windows Server 2012 (domain
mcthub.local)
+ SERVER1: Domain Member đảm nhận vài trò Network Location Server (NLS) chạy Windows Server 2012 Đây là Server giúp các Direct Access
Client xác định vị trí của nó Nếu Direct Access Client liên lạc được với
Network Location Server thì Direct Access Client xác định nó đang ở trong mạng nội bộ và sử dụng DNS của hệ thống để phân giải
+ ROUTER: Domain Member đảm nhận vai trò Direct Access Server chạy
Windows Server 2012
+ CLIENT1: Domain Member chạy Windows 8
Đặt thông số TCP/IP card Internal cho các máy tính theo bảng sau đây
Trang 3ROUTER DC2012 SERVER1 CLIENT1
2/ Cài đặt và cấu hình CA Server
3/ Cài đặt Web Server (IIS) và chuẩn bị CRL Distribution Point trên Direct Access Server
4/ Publish CRL
5/ Cài đặt Web Server IIS trên Network Location Server
6/ CA Server - Tạo và phát hành Certificate Template cho Network Location Server & Direct Access Server
7/ Network Location Server chuẩn bị tài nguyên nội bộ, xin Certificate và gán vào Default Web Site
8/ Chỉnh GPO để tự động cấp Certificate Computer cho tất cả các Client trong domain
9/ Cấu hình Direct Access Server
10/ Cấu hình GPO hỗ trợ tất cả các loại Client (thay vì chỉ hỗ trợ Laptop)11/ Client cập nhật và kiểm tra Policy
12/ Kiểm tra kết nối bằng Direct Access
III- TRIỂN KHAI CHI TIẾT:
1/ Các bước chuẩn bị
- Trên máy DC2012, đặt IP như sau:
Trang 4- Mở Active Directory Users and Computers, tạo OU DA-Clients, move máy CLIENT1 vào OU này Tạo một Group tên là Gr-DA-Clients.
Trang 5- Thêm máy CLIENT1 vào danh sách thành viên group Gr-DA-Clients.
Trang 6- Do Direct Access sử dụng nền tảng Ipv6, bạn cần tạo 2 rule (In và Out)
cho phép chấp nhận các gói tin ICMPv6 Tôi sẽ chỉnh Default Domain
Policy để tạo 2 Rule này và áp dụng trên tất cả các máy tính trong domain:
Mở Group Policy Management, điều chỉnh GPO Default Domain Policy:
- Tạo Inbound Rule
Trang 8- Chọn protocol ICMPv6
Trang 10- Chọn Allow the connection để chấp nhận các gói tin ICMPv6 đi vào
Trang 12- Đặt tên tùy ý cho Rule
Trang 13- Kiểm tra Inbound Rule đã được tạo.
Trang 14- Tiếp theo bạn tạo một Outbound Rule tương tự như các bước trên như
sau:
Trang 23- Cập nhật Policy
- Mở DNS Console tạo 2 Host (A) như sau:
+ CRL có IP là 172.16.0.1 (đây là tên của máy sẽ chứa Revocation
List là máy Direct Access Server)
+ NLS có IP là 172.16.0.21 (đây là tên của Network Location
Server)
Trang 24- Mặc định DNS chặn các yêu cầu phân giải ISATAP và WPAD, bạn dùng
lệnh như hình dưới để kiểm tra cấu hình này
- Do Direct Access cần sử dụng ISATAP, do đó bạn cần loại bỏ ISATAP khỏi
danh sách chặn của DNS bằng lệnh bên dưới
Trang 25- Kiểm tra lại bằng lệnh dưới, bạn sẽ thấy DNS chỉ còn chặn WPAD, không chăn ISATAP.
2/ Cài đặt và cấu hình CA Server
- Trên máy DC2012, mở Server Manager và cài đặt dịch vụ Active Directory Certificate Service.
- Chọn Server cần cài đặt là DC2012.mcthub.local.
Trang 26- Chọn dịch vụ Active Directory Certificate Service.
Trang 27- Xác nhận cài thêm các Feature cần thiết.
Trang 29- Nhấn nút Install để tiến hành cài đặt.
Trang 30- Khi quá trình cài đặt hoàn tất, nhấn chọn Configure Active Directory Certificate Service on the desstination server để thực hiện thao tác cấu
hình cho dịch vụ
- Chấp nhận User Account dùng để cấu hình là MCTHUB\Administrator.
Trang 31- Cấu hình dịch vụ Certification Authority (CA).
Trang 32- Chọn loại CA là Enterprise CA
Trang 33- Do đây là CA Server đầu tiên và duy nhất trong hệ thống nên tôi chọn Root CA.
Trang 35- Chấp nhận thuật toán mã hóa mặc định là RSA
- Đặt tên cho CA Server là mcthub-CA
Trang 36- Chập nhận thời gian hoạt động của CA Server là 5 năm
Trang 37- Chấp nhận nơi lưu trữ dữ liệu mặc định cho CA Server.
Trang 38- Nhấn nút Configure để tiến hành cấu hình.
Trang 39- Nhấn nút Close khi hoàn tất.
Trang 40- Sau khi cấu hình CA Server, bạn restart các
máy ROUTER, SERVER1 và CLIENT1 để các máy này tự động trust CA Server trên máy DC2012
3/ Cài đặt Web Server (IIS) và chuẩn bị CRL Distribution Point trên Direct Access Server
- Do các Direct Access Client cần truy cập vào Certificate Revocation List (CRL) để kiểm tra tính xác thực của Certificate, nên bạn cần Publish CRL
sang Direct Access Server
- Trên máy ROUTER, tạo sẵn 1 thư mục tên tùy ý (ví dụ C:\CRLD), thư mục
này sẽ chứa Certificate Revocation List (CRL) được publish từ CA Server.
Trang 41- Mở Server Manager và cài đặt Web Server (IIS)
- Chọn Server cần cài đặt là ROUTER.mcthub.local
Trang 42- Chọn Web Server (IIS)
Trang 43- Xác nhận cài thêm các Feature cần thiết
Trang 45- Nhấn nút Install để tiến hành cài đặt
Trang 46- Nhấn Close khi hoàn tất.
Trang 47- Mở IIS Console cấu hình nơi chứa CRL (CRLs Distribution Point).
- Bạn tạo một Virtual Directory bên dưới trang Web mặc định (Default Web
Site)
Trang 48- Đặt tên là CRLD và chi định đường dẫn là thư mục C:\CRLD đã tạo trước
đó
Trang 49- Sau đó bạn cần share thư mục C:\CRLD để CA Server có thể Publish CRLs
vào thư mục này
Trang 50- Lưu ý share dưới dạng ẩn (gõ thêm dấu $ đằng sau Share Name) Nhấn
nút Permission để phân quyền
Trang 51- Đưa máy DC2012 vào danh sách phân quyền (Access Control List) và phân
quyền Full Control cho Everyone và DC2012.
Trang 53- Nhấn OK để xác nhận Share Permission.
Trang 54- Sang Tab Security, tiếp tục phân quyền NTFS bằng cách nhấn nút Edit.
Trang 55- Nhấn nút Add để phân quyền
Trang 56- Chọn máy DC2012 (CA Server) và phân quyền Full Control.
- Nhấn nút OK để xác nhận.
Trang 57- Nhấn nút Close để đóng hộp thoại.
Trang 584/ Publish CRL
- Trên máy DC2021 (CA Server) Mở Certification Authority.
- Bạn cần Publish CRL và Delta CRL sang Direct Access Server (ROUTER)
Trang 59- Sang Tab Extensions, nhấn nút Add đê thêm CRL Distribution Point (CDP).
Trang 60- Trong khung Location, nhập http://CRL.mcthub.local/CRLD/, sau đó trong khung Variable chọn <CAName> và nhấn Insert.
Trang 61- Trong khung Variable chọn <CRLNameSuffix> và nhấn Insert.
- Trong khung Variable chọn <DeltaCRLAllowed> và nhấn Insert.
Trang 62- Trong khung Location, đưa con trỏ ra cuối dòng và gõ thêm CRL
Bạn kiểm tra lại trong khung Location phải là:
http://CRL.mcthub.com/CRLD/<CAName><CRLNameSuffix><Delta CRLAllowed>.CRL
Sau đó nhấn OK để xác nhận
Trang 63- Đánh 2 dấu check Include in CRLs Client use this to find Delta CRL locations và Include in the CDP extension of issued certificates Nhấn nút Apply.
Trang 64- Hệ thống yêu cầu restart dịch vụ, chọn No để tiếp tục thêm CDP.
- Nhấn nút Add
Trang 65- Trong khung Location, nhập \\ROUTER\CRLD$\, sau đó trong khung Variable chọn <CAName> và nhấn Insert.
Trang 66- Trong khung Variable chọn <CRLNameSuffix> và nhấn Insert.
- Trong khung Variable chọn <DeltaCRLAllowed> và nhấn Insert.
Trang 67- Trong khung Location, đưa con trỏ ra cuối dòng và gõ thêm CRL
Bạn kiểm tra lại trong khung Location phải là:
\\ROUTER\CRLD$\<CAName><CRLNameSuffix><DeltaCRLAllowed
>.CRL
Sau đó nhấn OK để xác nhận
Trang 68- Đánh 2 dấu check Publish CRLs to this location và Publish Delta CRLs
to this location Nhấn OK.
Trang 69- Nhấn Yes để restart dịch vụ.
- Publish CRL
Trang 70- Kiểm tra kết quả Publish CRT bằng cách truy cập sang thư
mục CRLD$ trên máy ROUTER
Trang 71- Bãn sẽ thấy 2 File như hình dưới, đó chính là CRLs và Delta CRLs.
- Sang máy ROUTER kiểm tra nội dung thư mục C:\CRLD.
5/ Cài đặt Web Server IIS trên Network Location Server
- Sang máy SERVER1 Bạn thực hiện cài đặt Role Web Server (IIS) tương tự
Trang 72- Chọn Certificate Template Web Server và sao chép Certificate Template
này thành một Certificate Template mới
- Đặt tên tùy ý cho Certificate Tempalte mới (ví dụ tôi đặt là Network Location Server Certificate)
Trang 73- Sang tab Request Handling đánh dấu check Allow private key to be exported để có thể Export Certificate đề phòng trường hợp bị mất
Certificate
Trang 74- Sang Tab Security, phân quyền Enroll cho group Authenticated Users
Nhấn nút OK để xác nhận tạo Certificate Templates mới
Trang 75- Kiểm tra Certificate Templates mới đã được tạo.
Trang 76- Phát hành Certificate Templates vừa tạo
- Chọn Certificate Templates Network Location Server Certificate đã tạo
trước đó - OK
Trang 77- Kiểm tra Certificate Templates mới đã được phát hành
7/ Network Location Server chuẩn bị tài nguyên nội bộ, xin
Certificate và gán vào Default Web Site
- Sang máy SERVER1 Tạo một thư mục tùy ý để kiểm tra sau đó share thư mục này cho Everyone quyền Read/Write.
Trang 80- Sử dụng MMC tạo một Console để quản lý Certificate cho Local Computer
Trang 83- Xin Certificate để thực hiện chức năng Network Location Server.
Trang 85- Chọn Certificate Templates đã phát hành, chọn More information … để
thêm thông tin cho Certificate
Trang 86- Trong khung Type, chọn Common Name.
Trang 87- Trong khung Value nhập tên nội bộ của Network Location Server
là NLS.mcthub.local và nhấn nút Add.
Trang 88- Nhấn OK để xác nhận thông tin Certificate.
Trang 89- Nhấn nút Enroll.
Trang 90- Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.
Trang 91- Kiểm tra Certificate đã xin được và thông tin của Certificate
Trang 93- Lưu Console này lên Desktop để sử dụng cho các bước sau.
Trang 95- Mở Web Server (IIS) console cấu hình Certificate cho Default Website.
Trang 96- Gán Certificate cho Default Web Site để Website này có thể chạy bằng HTTPS.
- Bạn quan sát Website chỉ có thể chạy bằng HTTP, nhấn nút Add
Trang 97- Chọn https
- Trong khung SSL Certificate chọn Certificate đã xin là NLS.mcthub.local - Nhấn OK
Trang 99- Trên máy DC2012 Mở Group Policy Management điều chỉnh
GPO Default Domain Policy
- Tìm Policy theo hình dưới, chọn New - Automatic Certificate Request
Trang 101- Chọn Certificate Templates Computer
Trang 102- Kiểm tra Policy
Trang 103- Sang máy CLIENT1, Restart để áp dụng Policy, sau đó dùng MMC tạo
một Console để kiểm tra Certificate
Trang 106- Kiểm tra máy CLIENT1 đã có Certificate
- Kiểm tra thông tin Certificate
Trang 1079/ Cấu hình Direct Access Server
Trang 108- Trên máy ROUTER, bật Windows Firewall nếu đang tắt
- Kiểm tra IP card Internal (đây là Card mạng kết nối với mạng nội bộ)
Trang 110- Đặt IP Card External (đây là Card mạng kết nối Internet).
Trang 112- Ở đây tôi đặt một IP Public tùy ý để giả lập mội trường Internet (ví
dụ 123.1.1.1)
- Restart máy ROUTER để bảo đảm cập nhật Policy.
- Dùng MMC tạo Console kiểm tra Certificate như các bước trước đó Bạn
quan sát máy này đã có một Certificate do đã cấu hình tự động xin Certificate ở bước 8 Bây giờ bạn cần xin một Certificate mới để đảm nhận vài trò Direct Access Server
Trang 114- Chọn Certificate Templates do CA Server đã phát hành ở bước 6,
chọn More information… để thêm thông tin cho Certificate
Trang 115- Trong khung Type, chọn Common Name.
Trang 116- Trong khung Value nhập IP Public của Direct Access Server là 123.1.1.1 - Nhấn Add
Trang 117- Nhấn OK để xác nhận thông tin Certificate
Trang 118- Nhấn nút Enroll
Trang 119- Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.
Trang 120- Đặt Friendly Name cho Certificate mới là IP-HTTPS Certificate.
Trang 121- Kiểm tra thông tin Certificate
Trang 122- Tiếp theo bạn cần cài đặt Role Remote Access để có thể đảm nhận chức năng Direct Access Server Mở Server Manager tiến hành cài đặt.
Trang 123- Chọn server cần cài đặt là ROUTER.mcthub.local.
Trang 124- Chọn role Remote Access.
Trang 125- Xác nhận cài các feature cần thiết.
Trang 128- Chọn Direct Access and VPN (RAS)
Trang 129- Nhấn nút Install để tiến hành cài đặt
Trang 130- Nhấn Close khi quá trình cài đặt hoàn tất.
Trang 131- Cấu hình Direct Access: Mở Remote Access Management console.
Trang 132- Chạy giao diện cấu hình nhanh: Chọn Run the Getting Started Wizard.
- Chọn Deploy DirectAccess Only.
Trang 133- Chờ đợi quá trình cấu hình Lưu ý nếu bước này bị báo lỗi thì bạn disable card External, sau đó Enable lại và chạy lại Getting Started Wizards.
Trang 134- Dịch vụ Direct Access hỗ trợ mô hình Direct Access Server nằm phía sau một NAT Server (Direct Access Sever có thể có 2 Card mạng hoặc 1 Card mạng) Trong mô hình này Direct Access Server không nằm sau một NAT
Server nào nên bạn chọn mô hình Edge, kiểm tra IP Public ở khung dưới
Trang 135- Nhấn nút Finish để hoàn tất cấu hình mô hình Direct Access.
Trang 136- Giao diện cấu hình này sẽ tạo 2 GPO và chỉnh các Policy cần thiết là Direct Access Server Settings và Direct Access Client Settings và link 2 GPO
này vào domain Bạn chờ đợi quá trình cấu hình
Trang 137- Kiểm tra quá trình thành công và nhấn nút Close.
- Tiếp theo, bạn cần cấu hình Direct Access theo 4 bước bao gồm: Cấu hình Client, cấu hình Remote Access Server, cấu hình Infrastructure Server và cấu
Trang 138hình Application Server Bạn bắt đầu cấu hình Client bằng cách nhấn
nút Edit trong khung Step 1.
- Chọn Deploy full Direct Access for client access and remote management.
Trang 139- Chỉ định các Client được phép kết nối Direct Access là các Client thuộc
group Gr-DA-Clients đã tạo ở bước 1 Bạn xóa group Domain Computer
khỏi danh sách được phép kết nối
Trang 140- Sau đó thêm group Gr-DA-Clients vào danh sách được phép kết nối
Trang 141- Chấp nhận các giá trị mặc định và nhấn nút Finish
