Lab direct access service
Download as DOCX, PDF0 likes237 views
DirectAccess cung cấp khả năng truy cập an toàn vào mạng nội bộ mà không cần VPN, cho phép người dùng từ xa kết nối đến các tài nguyên mạng. Quá trình kết nối diễn ra tự động và bao gồm xác thực giữa client và server, cùng với các bước kiểm tra cấu hình và cấp phát chứng chỉ. Hướng dẫn cấu hình chi tiết gồm nhiều bước để thiết lập DirectAccess, từ cấu hình DNS đến quản lý chứng chỉ và kiểm tra kết nối từ xa.
Lab direct access service
- 1. Direct Access Service 1 Tổng Quan. DirectAccess cho phép người sử dụng từ xa an toàn truy cập những file chia sẽ bên trong mạng, Web site, và những ứng dụng không cần kết nối đến VPN, một mạng bên trong còn được biết như một mạng riêng hoặc intranet. DirecAccess thiết lập kết nối 2 chiều với mạng bên trong mọi lúc máy tính DirecAccess kíchhoạt kết nối tới internet. Thậm chí trước khi user đăng nhập. các user không bao giờ có ý nghĩ về việc kết nối đến mạng bên trong và các quản trị mạng có thể quản lý các máy tính ở xa bên ngoài văn phòng, thậm chí khi các máy tính không kết nối VPN. 2 Quá trình kết nối DirectAccess Quá trình kết nối giữa client và server trong mạng intranet diễn ra ngầm trong hệ thống và hoàn toàn “trong suốt” với người sử dùng. 1. Client kiểm tra vị trí của mình đang ở trong mạng công ty hay bên ngoài công ty. Bằng việc kết nối tới một webserver trong intranet. 2. Client mở một kết nối đến DirectAccess server, mặc định sẽ sử dụng IPSec, nếu không thì nó sẽ sử dụng IP-HTTPS để tạo kết nối thông qua cổng SSL (Secure Sockets Layer). 3. Quá trình xác thực giữa Client và Server DirectAccess bằng các Certificate. Khí quá trình này hoàn tất Client sẽ được phép truy cập tới Domain controler và DNS trong mạng nội bộ. 4. Đường kết nối tới Server DirecAccess được mở, Sử dụng các thông tin ở bước 3 để xác thực AD DS.
- 2. 5. DirectAccess Server kiểm tra AD DS group membership của máy tính và người dùng. 6. Nếu Server có cấu hình kiểm tra cấu hình máy Client, sẽ gửi một Health Certificate tới NSP, mang thông số thiết bị 7. Quá trình kết nối hoàn tất. 3 Lab DirectAccess Bài lab dùng 04 máy: LON-DC1, LON-RTR, LON-SVR1 & LON-CL1 Chú ý: Không khởi động LON-CL1 cho đến khi có hướng dẫn. 1. Cấu hình AD DS và DNS 1.1 . LON -DC1: Tạo OU, group trong OU và add member LON -CL1 vào group Gr -DA -Clients như hình 1. 2. LON -DC1: Tạo 02 firewall rule
- 8. 1.3. LON-DC1: Tạo 02 DNS host record - CRL.Adatum.com --> 172.16.0.1 - NLS.Adatum.com --> 172.16.0.21 1.4. LON-DC1: Đưa ISATAP ra khỏi DNS global query block list 1.5 . LON -RTR: Cấu hình DNS suffix trên Local Area Connection
- 9. 1.6 . LON -RTR: Chỉnh IP của Local Area Connection 2
- 10. 2. Cấu hình Certification Authority 2.1 . LON -DC1: Bổ sung thông số CRL Distribution Point
- 11. - Thông tin trong khung Location phải là: http://CRL.Adatum.com/CRLD/<CAName><CRLNameSuffix><DeltaCRLAllowed>.CRL
- 13. - Thông tin trong khung Location phải là: LON -RTR CRLDist$ <CAName><CRLNameSuffix><DeltaCRLAll owed>.CRL 2.2 . LON -DC1: Tạo 01 certificate template
- 15. 2.3 . LON -DC1: Dùng GPO cấu hình computer certificate auto -enrollment
- 16. 3. Cấu hình Network Location Server & Chuẩn bị tài nguyên mạng nội bộ 3.1. LON- SVR1: Cập nhật policy.
- 17. 3.2 . LON -SVR1: Tạo console Certificate Local Computer
- 18. 3.3. LON-SVR1: Yêu cầu certificate
- 20. - Chú ý value phải là NLS.Adatum.com (FQDN của Network Location Server)
- 22. 3.4 . LON -SVR1: Gán certificate cho Default W eb Site
- 24. 3.5. LON-SVR1: Tạo tài nguyên để kiểm tra truy cập 4. Cấu hình Direct Access server 4.1. LON-RTR: Cập nhật policy 4.2. LON-RTR: Tạo console Certificate Local Computer: thực hiện tương tự mục 3.2. 4.3. LON- RTR: Yêu cầu certificate
- 26. - Chú ý value phải là 123.0.0.2 (public IP của LON-RTR)
- 28. - Khai báo Friendly Name (của certificate vừa yêu cầu xong): IP -HTTPS Certificate
- 29. 4.4 . LON -RTR: Tạo CRL distribution point
- 30. - Chọn Enable - Chọn CRLD > Nhấp kép Configuration Editor - Chọn Default Web Site > Nhấp kép Directory Browsing
- 31. - Bung danh sách Section > system.webServer > security > chọn requestFiltering - Chỉnh giá trị allowDoubleEscaping thành True
- 32. - Chọn Apply 4.5 . LON -RTR: Share và thiết lập permission trên CRLDist
- 35. - Publish CRL thành công DC1: Publish CRL đến LON -RTR - Truy cập LON -RTR để kiểm tra
- 36. RTR: Xóa domain profile trên external interface của Direct Access server RTR: Hoàn tất wizard DirectAccess Setup - Chỉnh properties của Local Area Connection 2 - Restart LON -RTR, bảo đảm Local Area Connection 2 có profile Unidentified network
- 37. - Run the Getting Started Wizard
- 38. - Bảo đảm IPv4 là 123.0.0.2
- 40. - Bảo đảm chọn group Gr-DA-Clients - Remove group Domain Computers
- 42. - Bảo đảm IPv4 là 123.0.0.2 - Chọn Adapter external là Local Area Connection 2 và Adapter internal là Local Area Connection
- 43. - Bảo đảm certificate là CN=123.0.0.2
- 45. - Nhập URL: https://NLS.Adatum.com> chọn Validate
- 47. Chọn Finish
- 48. - Kiểm tra IP Chọn Apply 4.9 . LON -RTR: Cập nhật policy
- 49. Bảo đảm có IPHTTPSInterface 5. Áp GPO DirectAccess 5.1 . LON -DC1: Chỉnh GPO DirectAccess Client Settings không dùng WMI Filter
- 50. 5.2. LON-DC1: Cập nhật policy và restart CA service
- 51. 5.3. LON-CL1: Start, cập nhật policy & kiểm tra bảo đảm GPO DirectAccess Clients Settings đã áp 5.4. LON-CL1: Kiểm tra tồn tại certificate
- 52. - Tạo console Certificate Local Computer: tương tự mục 3.2 - Bảo đảm trong Personal > Cerificate có certificate issued to LON-CL1.Adatum.com
- 53. 5.5. LON-CL1: Kiểm tra truy cập HTTPS 6. Giả lập LON-CL1 làm việc ngoài internet và thực hiện kết nối DirectAccess 6.1. LON-CL1: Thay đổi IP
- 54. 6.2 . Máy host: Đổi vSwitch của LON -CL1 thành Private Network 2
- 57. 6.3. LON-CL1: DirectAccess - Quan sát trạng thái card mạng - Thực hiện kết nối HTTP thành công
- 58. - Thành công - Ping LON-DC1.Adatum.com được reply - Cập nhật policy thành công - Truy cập dữ liệu
- 59. - Quan sát iphttpsinterface
- 60. 6.4 . LON -RTR: Quan sát trạng thái của DirectAccess Client -- Ω --