ng:0px;border:0px currentcolor;">I- GIỚI THIỆU:

Direct Access là chức năng được Microsoft giới thiệu từ Windows Server 2008 R2 hỗ trợ các máy tính Client chạy Windows 7 kết nối vào hệ thống mạng nôi bộ mà không cần thiết lập kết nối VPN. Direct Access giúp người dùng có thể kết nối vào mạng nội bộ từ Internet mà không cần thực hiện bất cứ thao tác cấu hình nào và giúp người quản trị có thể quản lý các máy tính Client khi các máy tính này ở ngoài Internet.

 Direct Access Client sử dụng Ipv6 để kết nối đến Direct Access Server phục vụ cho việc truy cập mạng nội bộ, tuy nhiên nếu hệ thống mạng nội bộ đang sử dụng Ipv4, Direct Access sẽ dùng các phương pháp để chuyển đổi Ipv6, giúp các gói tin Ipv6 có thể truyền trong hệ thống mạng nội bộ sử dụng Ipv4 sau đây:

- ISATAP: Được sử dụng trong mạng nội bộ để các máy tính liên lạc với nhau bằng Ipv6. Protocol này sẽ tạo một adapter ISATAP tunnel có địa chỉ IPv6, đóng gói dữ liệu trong IPv4 header và truyền trong mạng nội bộ. Khi đến đích sẽ giải mã gói tin và sử dụng Ipv6.

- 6to4 Protocol: Hỗ trợ các máy Direct Access Client sử dụng địa chỉ IP Public. Protocol này cũng sử dụng 1 adapter 6to4 tunnel để đưa gói tin Ipv6 vào bên trong gói tin Ipv4 cho phép truyền gói tin trong mạng nội bộ sử dụng Ipv4.

- Teredo Protocol: Teredo đóng gói các gói tin IPv6 theo dạng gói tin IPv4 để chuyển tiếp qua các NAT Server chạy IPv4 và mạng nội bộ IPv4. Các gói tin IPv6 này sẽ được gửi bằng giao thức UDP (User Datagram Protocol) port 3544. Windows Vista, Windows 7 và Windoww 8 mặc định đã được hỗ trợ sử dụng Teredo

- IP-HTTPS Protocol: Đây là protocol do Microsoft phát triển cho phép các Direct Access Client kết nối với Direct Access Server bằng port 443 (nếu port này được mở trên Server)

Để triển khai dịch vụ Direct Access có 2 cách:

a. Simplified Direct Access: Theo cách này Direct Access Server và Network Location Server sẽ tích hợp chung trên 1 Server và sử dụng Certificate tự phát sinh (Self-Signed Certificate), do đó bạn không cần triển khai dịch vụ Active Directory Certificate Service (ADCS) trong hệ thống. Tuy nhiên cách triển khai này chỉ không hỗ trợ dịch vụ NAP và các phương pháp chứng thực two-factor như smartcard…

b. Full PKI Direct Access:  Theo cách này thì việc cấu hình sẽ phức tạp hơn, bạn cần triển khai cơ sở hạ tầng PKI trong hệ thống bằng cách cài đặt và cấu hình dịch vụ Active Directory Certificate Service (ADCS) để cấp các Certificate cần thiết cho các Server và Client.

Trong bài viết này tôi sẽ trình bày thao tác cấu hình Direct Access theo cách Full PKI Deployment trên Windows Server 2012 hỗ trợ các máy Client chạy Windows 8 kết nối vào mạng nội bộ từ bên ngoài Internet.

II- CÁC BƯỚC TRIỂN KHAI:

Trong bài viết này tôi sẽ trình bày thao tác cấu hình Direct Access theo cách Full PKI D00;">

Mô hình bài lab bao gồm 4 máy

DC2012Domain Controller chạy Windows Server 2012 (domain mcthub.local)

SERVER1: Domain Member đảm nhận vài trò Network Location Server (NLS) chạy Windows Server 2012. Đây là Server giúp các Direct Access Client xác định vị trí của nó. Nếu Direct Access Client liên lạc được với Network Location Server thì Direct Access Client xác định nó đang ở trong mạng nội bộ và sử dụng DNS của hệ thống để phân giải.

+ ROUTER: Domain Member đảm nhận vai trò Direct Access Server chạy Windows Server 2012

+ CLIENT1: Domain Member chạy Windows 8.

Đặt thông số TCP/IP card Internal cho các máy tính theo bảng sau đây

ROUTER

DC2012

SERVER1

CLIENT1

IP Address:172.16.0.1

Subnet Mask:

255.255.0.0

Default Gateway

(trống)

DNS:

172.16.0.10

IP Address:172.16.0.10

Subnet Mask:

255.255.0.0

Default Gateway

172.16.0.1

DNS:

127.0.0.1

IP Address:172.16.0.21

Subnet Mask:

255.255.0.0

Default Gateway

172.16.0.1

DNS:

172.16.0.10

IP Address: 172.16.0.10

172.16.0.50

Subnet Mask:

255.255.0.0

Default Gateway

172.16.0.1

DNS:

172.16.0.10

* Quy trình thực hiện:

1/ Các bước chuẩn bị

2/ Cài đặt và cấu hình CA Server

3/ Cài đặt Web Server (IIS) và chuẩn bị CRL Distribution Point trên Direct Access Server

4/ Publish CRL

5/ Cài đặt Web Server IIS trên Network Location Server

6/ CA Server - Tạo và phát hành Certificate Template cho Network Location Server & Direct Access Server

7/ Network Location Server chuẩn bị tài nguyên nội bộ, xin Certificate và gán vào Default Web Site

8/ Chỉnh GPO để tự động cấp Certificate Computer cho tất cả các Client trong domain

9/ Cấu hình Direct Access Server

10/ Cấu hình GPO hỗ trợ tất cả các loại Client (thay vì chỉ hỗ trợ Laptop)

11/ Client cập nhật và kiểm tra Policy

12/ Kiểm tra kết nối bằng Direct Access

III- TRIỂN KHAI CHI TIẾT:

1/ Các bước chuẩn bị

- Trên máy DC2012, đặt IP như sau:

picture000

- Mở Active Directory Users and Computers, tạo OU DA-Clients, move máy CLIENT1 vào OU này. Tạo một Group tên là Gr-DA-Clients.

Dong Phuong Nam- Mở Active Directory Users and Computers, tạo OU DA-Clients, move máy CLIENT1 vào OU này. Tạo một Group tên là Gr-DA-Clients.

Dong Phuong Nam

- Thêm máy CLIENT1 vào danh sách thành viên group Gr-DA-Clients.

Dong Phuong Nam

- Do Direct Access sử dụng nền tảng Ipv6, bạn cần tạo 2 rule (In và Out) cho phép chấp nhận các gói tin ICMPv6. Tôi sẽ chỉnh Default Domain Policy để tạo 2 Rule này và áp dụng trên tất cả các máy tính trong domain: Mở Group Policy Management, điều chỉnh GPO Default Domain Policy:

Dong Phuong Nam

- Tạo Inbound Rule

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Chọn protocol ICMPv6

Dong Phuong Nam

Dong Phuong Nam

- Chọn Allow the connection để chấp nhận các gói tin ICMPv6 đi vào

Dong Phuong Nam

Dong Phuong Nam

- Đặt tên tùy ý cho Rule

Dong Phuong Nam Dong Phuong Nam

- Đặt tên tùy ý cho Rule

Dong Phuong Nam - Kiểm tra Inbound Rule đã được tạo.

Dong Phuong Nam

- Tiếp theo bạn tạo một Outbound Rule tương tự như các bước trên như sau:

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Cập nhật Policy

Dong Phuong Nam

- Mở DNS Console tạo 2 Host (A) như sau:

          + CRL có IP là 172.16.0.1 (đây là tên của máy sẽ chứa Revocation List là máy Direct Access Server)

          + NLS có IP là 172.16.0.21 (đây là tên của Network Location Server)

Dong Phuong Nam

- Mặc định DNS chặn các yêu cầu phân giải ISATAP và WPAD, bạn dùng lệnh như hình dưới để kiểm tra cấu hình này.

Dong Phuong Nam

- Do Direct Access cần sử dụng I:0px;padding:0px;border:0px currentcolor;">WPAD, bạn dùng lệnh như hình dưới để kiểm tra cấu hình này.

Dong Phuong Nam

ISATAP khỏi danh sách chặn của DNS bằng lệnh bên dưới.

Dong Phuong Nam

- Kiểm tra lại bằng lệnh dưới, bạn sẽ thấy DNS chỉ còn chặn WPAD, không chăn ISATAP.

Dong Phuong Nam

2/ Cài đặt và cấu hình CA Server

- Trên máy DC2012, mở Server Manager và cài đặt dịch vụ Active Directory Certificate Service.

Dong Phuong Nam

- Chọn Server cần cài đặt là DC2012.mcthub.local.

Dong Phuong Nam

- Chọn dịch vụ Active Directory Certificate Service.

Dong Phuong Nam

- Xác nhận cài thêm các Feature cần thiết.

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Nhấn nút Install để tiến hành cài đặt.

Dong Phuong Nam

- Khi quá trình cài đặt hoàn tất, nhấn chọn Configure Active Directory Certificate Service on the desstination server để thực hiện thao tác cấu hình cho dịch vụ.

Dong Phuong Nam

- Chấp nhận User Account dùng để cấu hình là MCTHUB\Administrator.

Dong Phuong Nam

- Cấu hình dịch vụ Certification Authority (CA).

Dong Phuong Nam

- Chọn loại CA là Enterprise CA

Dong Phuong Nam

- Do đây là CA Server đầu tiên và duy nhất trong hệ thống nên tôi chọn Root CA.

Dong Phuong Nam

Dong Phuong Nam

- Chấp nhận thuật toán mã hóa mặc định là RSA

Dong Phuong Nam

- Đặt tên cho CA Server là mcthub-CA

Dong Phuong Nam

- Chập nhận thời gian hoạt động của CA Server là 5 năm

Dong Phuong Nam

- Chấp nhận nơi lưu trữ dữ liệu mặc định cho CA Server.

Dong Phuong Nam

- Nhấn nút Configure để tiến hành cấu hình.

Dong Phuong Nam

- Nhấn nút - Nhấn nút Configure để tiến hành cấu hình.

Dong Phuong Nam

Close khi hoàn tất.

Dong Phuong Nam

- Sau khi cấu hình CA Server, bạn restart các máy ROUTERSERVER1 và CLIENT1 để các máy này tự động trust CA Server trên máy DC2012 

3/ Cài đặt Web Server (IIS) và chuẩn bị CRL Distribution Point trên Direct Access Server

- Do các Direct Access Client cần truy cập vào Certificate Revocation List (CRL) để kiểm tra tính xác thực của Certificate, nên bạn cần Publish CRL sang Direct Access Server.

- Trên máy ROUTER, tạo sẵn 1 thư mục tên tùy ý (ví dụ C:\CRLD), thư mục này sẽ chứa Certificate Revocation List (CRL) được publish từ CA Server.

picture000

- Mở Server Manager và cài đặt Web Server (IIS)

Dong Phuong Nam

- Chọn Server cần cài đặt là ROUTER.mcthub.local

Dong Phuong Nam

- Chọn Web Server (IIS)

Dong Phuong Nam

- Xác nhận cài thêm các Feature cần thiết

- Chọn  Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Nhấn nút Install để tiến hành cài đặt

Dong Phuong Nam

- Nhấn Close khi hoàn tất.

Dong Phuong Nam

- Mở IIS Console cấu hình nơi chứa CRL (CRLs Distribution Point).

Dong Phuong Nam

 

Dong Phuong Nam

- Bạn tạo một Virtual Directory bên dưới trang Web mặc định (Default Web Site)

Dong Phuong Nam

- Đặt tên là CRLD và chi định đường dẫn là thư mục C:\CRLD đã tạo trước đó

Dong Phuong Nam

- Sau đó bạn cần share thư mục C:\CRLD để CA Server có thể Publish CRLs vào thư mục này

Dong Phuong Nam

Dong Phuong Nam

- Lưu ý share dưới dạng ẩn (gõ thêm dấu $ đằng sau Share Name). Nhấn nút Permission để phân quyền.

Dong Phuong Nam

- Đưa máy DC2012 vào danh sách phân quyền (Access Control List) và phân quyền Full Control cho Everyone và DC2012.

Dong Phuong Nam

- Đưa máy DC2012 vào danh sách phân quyền (Access Control List) và phân quyền Full Control cho  Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Nhấn OK để xác nhận Share Permission.

Dong Phuong Nam

- Sang Tab Security, tiếp tục phân quyền NTFS bằng cách nhấn nút Edit.

Dong Phuong Nam

- Nhấn nút Add để phân quyền

Dong Phuong Nam

- Chọn máy DC2012 (CA Server) và phân quyền Full Control.

Dong Phuong Nam

- Nhấn nút OK để xác nhận.

Dong Phuong Nam

- Nhấn nút Close để đóng hộp thoại.

Dong Phuong Nam

4/ Publish CRL- Nhấn nút Close để đóng >

- Trên máy DC2021 (CA Server). Mở Certification Authority.

Dong Phuong Nam

- Bạn cần Publish CRL và Delta CRL sang Direct Access Server (ROUTER)

Dong Phuong Nam

- Sang Tab Extensions, nhấn nút Add đê thêm CRL Distribution Point (CDP).

Dong Phuong Nam

- Trong khung Location, nhập http://CRL.mcthub.local/CRLD/, sau đó trong khung Variable chọn <CAName> và nhấn Insert.

Dong Phuong Nam

- Trong khung Variable chọn <CRLNameSuffix> và nhấn Insert.

Dong Phuong Nam

- Trong khung Variable chọn <DeltaCRLAllowed> và nhấn Insert.

Dong Phuong Nam

- Trong khung Location, đưa con trỏ ra cuối dòng và gõ thêm .CRL

Bạn kiểm tra lại trong khung Location phải là:

http://CRL.mcthub.com/CRLD/<CAName><CRLNameSuffix><DeltaCRLAllowed>.CRL

Sau đó nhấn OK để xác nhận.

Dong Phuong Nam

- Đánh 2 dấu check Include in CRLs. Client use this to find Delta CRL locations và Include in the CDP extension of issued certificates. Nhấn nút Apply.

- Đánh 2 dấu check Include in CRLs. Client use this to find Delta CRL locations Dong Phuong Nam

- Hệ thống yêu cầu restart dịch vụ, chọn No để tiếp tục thêm CDP.

Dong Phuong Nam

- Nhấn nút Add

Dong Phuong Nam

- Trong khung Location, nhập \\ROUTER\CRLD$\, sau đó trong khung Variable chọn <CAName> và nhấn Insert.

Dong Phuong Nam

- Trong khung Variable chọn <CRLNameSuffix> và nhấn Insert.

Dong Phuong Nam

- Trong khung Variable chọn <DeltaCRLAllowed> và nhấn Insert.

Dong Phuong Nam

- Trong khung Location, đưa con trỏ ra cuối dòng và gõ thêm .CRL

Bạn kiểm tra lại trong khung Location phải là:

\\ROUTER\trỏ ra cuối dòng và gõ thêm .CRL

Sau đó nhấn OK để xác nhận.

Dong Phuong Nam

- Đánh 2 dấu check Publish CRLs to this location và Publish Delta CRLs to this location. Nhấn OK.

Dong Phuong Nam

- Nhấn Yes để restart dịch vụ.

Dong Phuong Nam

- Publish CRL.

Dong Phuong Nam

Dong Phuong Nam

- Kiểm tra kết quả Publish CRT bằng cách truy cập sang thư mục CRLD$ trên máy ROUTER

Dong Phuong Nam

- Bãn sẽ thấy 2 File như hình dưới, đó chính là CRLs và Delta CRLs.

Dong Phuong Nam

- Sang máy ROUTER kiểm tra nội dung thư mục C:\CRLD.

Dong Phuong Nam

5/ Cài đặt Web Server IIS trên Network Location Server

- Sang máy SERVER1. Bạn thực hiện cài đặt Role Web Server (IIS) tương tự như bước 3

6/ CA Server - Tạo và phát hành Certificate Template cho Network Location Server & Direct Access Server

- Sang máy DC2012, mở Certification Authority. Mở console quản lý Certificate Templates

Dong Phuong Nam

- Chọn Certificate Template Web Server và sao chép Certificate Template này thành một Certificate Template mới

Dong Phuong Nam

- Chọn Certificate Template 

- Đặt tên tùy ý cho Certificate Tempalte mới (ví dụ tôi đặt là Network Location Server Certificate)

Dong Phuong Nam

- Sang tab Request Handling đánh dấu check Allow private key to be exported để có thể Export Certificate đề phòng trường hợp bị mất Certificate

Dong Phuong Nam

- Sang Tab Security, phân quyền Enroll cho group Authenticated Users. Nhấn nút OK để xác nhận tạo Certificate Templates mới.

Dong Phuong Nam

- Kiểm tra Certificate Templates mới đã được tạo.

Dong Phuong Nam

- Phát hành Certificate Templates vừa tạo

Dong Phuong Nam

- Chọn Certificate Templates Network Location Server Certificate đã tạo trước đó - OK

Dong Phuong Nam

- Kiểm tra Certificate Templates mới đã được phát hành

Dong Phuong Nam

7/ Network Location Server chuẩn bị tài ntcolor;color:#666666;line-height:24px;font-family:tahoma;"> - Kiểm tra Certificate Templates mới đã được phát hành

- Sang máy SERVER1. Tạo một thư mục tùy ý để kiểm tra sau đó share thư mục này cho Everyone quyền Read/Write.

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Sử dụng MMC tạo một Console để quản lý Certificate cho Local Computer

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

 

Dong Phuong Nam

- Xin Certificate để thực hiện chức năng Network Location Server.

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Chọn Certificate Templates đã phát hành, chọn More information … để thêm thông tin cho Certificate.

Dong Phuong Nam

- Trong khung Type, chọn Common Name.

Dong Phuong Nam

- Trong khung Value nhập tên nội bộ của Network Location Server là NLS.mcthub.local và nhấn nút Add.

Dong Phuong Nam

- Nhấn OK để xác nhận thông tin Certificatall;font-family:verdana,geneva;color:#000000;">- Trong khung Value nhập tên nội bộ của Network Location Server là NLS.mcthub.local và nhấn nút Add.

Dong Phuong Nam

- Nhấn nút Enroll.

Dong Phuong Nam

- Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.

Dong Phuong Nam

- Kiểm tra Certificate đã xin được và thông tin của Certificate

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Lưu Console này lên Desktop để sử dụng cho các bước sau.

Dong Phuong Nam

Dong Phuong Nam

- Mở Web Server (IIS) console cấu hình Certificate cho Default Website.

Dong Phuong Nam

Dong Phuong Nam

- Gán Certificate cho Defeva;color:#000000;">Dong Phuong Nam

Dong Phuong NamHTTPS.

Dong Phuong Nam

- Bạn quan sát Website chỉ có thể chạy bằng HTTP, nhấn nút Add

Dong Phuong Nam

- Chọn https

Dong Phuong Nam

- Trong khung SSL Certificate chọn Certificate đã xin là NLS.mcthub.local - Nhấn OK

Dong Phuong Nam

- Nhấn Close để đóng hộp thoại

Dong Phuong Nam

8/ Chỉnh GPO để tự động cấp Certificate Computer cho tất cả các Client trong domain

Do các Direct Access Client cần có một Certificate Computer. Thay vì để các máy Client tự xin Certificate, bạn có thể dùng GPO để cho phép các Client tự động xin Certificate này.

- Trên máy DC2012. Mở Group Policy Management điều chỉnh GPO Default Domain Policy

Dong Phuong Nam

- Tìm Policy theo hình dưới, chọn New - Automatic Certificate Request

Dong Phuong Nam

Dong Phuong Nam

- Chọn Certificate Templates Computer

Dong Phuong Nam

Dong Phuong Nam

- Kiểm tra Policy

Dong Phuong Nam

- Sang máy CLIENT1Restart để áp dụng Policy, sau đó dùng MMC tạo một Console để kiểm tra Certificate

Dong Phuong Nam

 

Dong Phuong Nam

 

Dong Phuong Nam

 

Dong Phuong Nam

 

Dong Phuong Nam

Dong Phuong Nam

- Kiểm tra máy CLIENT1 đã có Certificate

Dong Phuong Nam

- Kiểm tra thông tin Certificate

Dong Phuong Nam

Dong Phuong Nam

9/ Cấu hình Direct Access Server

- Trên máy ROUTER, bật Windows Firewall nếu đang tắt

picture000

- Kiểm tra IP card Internal (đây là Card mạng kết nối với mạng nội bộ)

Dong Phuong Nam

 

Dong Phuong Nam

 

Dong Phuong Nam

- Đặt IP Card External (đây là Card mạng kết nối Internet).

Dong Phuong Nam

Dong Phuong Nam

- Ở đây tôi đặt một IP Public tùy ý để giả lập mội trường Internet (ví dụ 123.1.1.1)

Dong Phuong Nam

Restart máy ROUTER để bảo đảm cập nhật Policy.

Dong Phuong Nam

- Dùng MMC tạo Console kiểm tra Certificate như các bước trước đó. Bạn quan sát máy này đã có một Certificate       do đã cấu hình tự động xin Certificate ở bước 8. Bây giờ bạn cần xin một Certificate mới để đảm nhận vài trò Direct Access Server.

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Chọn Certificate Templates do CA Server đã phát hành ở bước 6, chọn More information… để thêm thông tin cho Certificate

Dong Phuong Nam

- Trong khung Type, chọn Common Name.

Dong Phuong Nam

- Trong khung Value nhập IP Public của Direct Access Server là 123.1.1.1 - Nhấn Add

Dong Phuong Nam

- Nhấn OK để xác nhận thông tin Certificate

Dong Phuong Nam

- Nhấn nút Enroll

Dong Phuong Nam

- Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.

Dong Phuong Nam

- Đặt Friendly Name cho Certificate mới là IP-HTTPS Certificate.

Dong Phuong Nam

Dong Phuong Nam

- Kiểm tra thông tin Certificate

Dong Phuong Nam

Dong Phuong Nam

- Tiếp theo bạn cần cài đặt Role Remote Access đm" src="http://mcthub.com/images/ContentLab/DirectAccess_files/image164.jpg" style="margin:0px;padding:0px;border:0px solid currentcolor;" />

Dong Phuong Nam

Direct Access Server. Mở Server Manager tiến hành cài đặt.

Dong Phuong Nam

- Chọn server cần cài đặt là ROUTER.mcthub.local.

Dong Phuong Nam

- Chọn role Remote Access.

Dong Phuong Nam

- Xác nhận cài các feature cần thiết.

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Chọn Direct Access and VPN (RAS)

Dong Phuong Nam

- Nhấn nút Install để tiến hành cài đặt

Dong Phuong Nam

- Nhấn Close khi quá trình cài đặt hoàn tất.

Dong Phuong Nam

- Cấu hình Direct Access: Mở Remote Access Management console.

Dong Phuong Nam

- Chạy giao diện cấu hình nhanh: Chọn Run the Getting Started Wizard.

Dong Phuong Nam

- Chọn Deploy DirectAccess Only.

Dong Phuong Nam

- Chờ đợi quá trình cấu hình. Lưu ý nếu bước này bị báo lỗi thì bạn disable card External, sau đó Enable lại và chạy lại Getting Started Wizards.

Dong Phuong Nam

- Dịch vụ Direct Access hỗ trợ mô hình Direct Access Server nằm phía sau một NAT Server (Direct Access Sever có thể có 2 Card mạng hoặc 1 Card mạng). Trong mô hình này Direct Access Server không nằm sau một NAT Server nào nên bạn chọn mô hình Edge, kiểm tra IP Public ở khung dưới

Dong Phuong Nam

- Nhấn nút Finish để hoàn tất cấu hình mô hình Direct Access.

Dong Phuong Nam

- Giao diện cấu hình này sẽ tạo 2 GPO và chỉnh các Policy cần thiết là Direct Access Server Settings và Direct Access Client Settings và link 2 GPO này vào domain. Bạn chờ đợi quá trình cấu hình

Dong Phuong Nam

- Kiểm tra quá trình thành công và nhấn nút Close.

Dong Phuong Nam

- Tiếp theo, bạn cần cấu hình Direct Access theo 4 bước bao gồm: Cấu hình Client, cấu hình Remote Access Server, cấu hình Infrastructure Server và cấu hình Application Server. Bạn bắt đầu cấu hình Client bằng cách nhấn nút Edit trong khung Step 1.

Dong Phuong Nam

- Chọn Deploy full Direct Access for client access and remote management.

Dong Phuong Nam

- Chỉ định các Client được phép kết nối Direct Access là các Client thuộc group Deploy full Direct Access for client access and remote management.

Dong Phuong Nam

- Chỉ định các Client được phép kết nối Direct Access là các Client thuộc group Gr-DA-Clients đã tạo ở bước 1. Bạn xóa group Domain Computer khỏi danh sách được phép kết nối

Dong Phuong Nam

- Sau đó thêm group Gr-DA-Clients vào danh sách được phép kết nối

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

- Chấp nhận các giá trị mặc định và nhấn nút Finish

Dong Phuong Nam

- Cấu hình Remote Access Server: Nhấn nút Edit trong khung Step 2

Dong Phuong Nam

- Kiểm tra IP Public của Direct Access Server - nhấn Next

Dong Phuong Nam

- Chọn card mạng kết nối vói bên ngoài là External, card mạng kết nối với mạng nội bộ là Internal.

Dong Phuong Nam

- Chọn Use computer certificates, nhấn Browse để chọn CA Server

Dong Phuong Nam

- Chọn CA Server mcthub-CA

Dong Phuong Nam

- Nhấn nút Finish để hoàn tất.

Dong Phuong Nam

- Cấu hình Infrastructure Server bằng cách nhấn nút Edit trong khung Step 3.

Dong Phuong Nam

- Nhập URL httpS://NLS.mcthub.local. Nhấn n Step 3.

Dong Phuong Nam

- Nhập URL httpS://NLS.mcthub.localValidate để kiểm tra URL.

Dong Phuong Nam

- Kiểm tra trạng thái thành công và nhấn Next

Dong Phuong Nam

- Chấp nhận tên và Ipv6 của DNS Server - Nhấn Next

Dong Phuong Nam

Dong Phuong Nam

- Nhấn nút Finish để hoàn tất

Dong Phuong Nam

- Cấu hình Application Server bằng cách nhấn nút Edit trong khung Step 4.

Dong Phuong Nam

- Chấp nhận các giá trị mặc định và nhấn Finish.

Dong Phuong Nam

- Sau khi hoàn tất 4 bước cấu hình, bạn cần lưu lại cấu hình bằng cách nhấn nút Finish ở khung bên dưới.

Finish.

Dong Phuong Nam

- Sau khi hoàn tất 4 bước cấu hình, bạn cần lưu lại cấu hình bằng cách nhấn nút Finish ở khung bên dướiorder:0px currentcolor;color:#666666;line-height:24px;font-family:tahoma;"> Dong Phuong Nam

- Nhấn nút Apply để xác nhận áp dụng cấu hình.

Dong Phuong Nam

 

Dong Phuong Nam

- Kiểm tra kết quả cấu hình thành công và nhấn Close.

Dong Phuong Nam

- Chọn OPERATION STATUS để kiểm tra trạng thái hoạt động của Server. Nhấn Refresh.

Dong Phuong Nam

- Kiểm tra tất cả các dịch vụ phải có biểu tượng màu xanh lá cây và status là Working.

Dong Phuong Nam

- Cập nhật Policy.

Dong Phuong Nam

- Dùng lệnh IPCONFIG /ALL và khảo các các Adapter Ipv6 là  ISATAP6to4 và Teredo.

Dong Phuong Nam

 10/  Cấu hình GPO hỗ trợ tất cả các loại Client (thay vì chỉ hỗ trợ Laptop)

Mặc định, Direct Access chỉ hỗ trợ các Laptop Client do nhu cầu di chuyển của Laptop. Tuy nhiên trong mô hình này CLIENT1 không phải là Laptop nên bạn cần cấu hình WMI Filter của GPO để áp dụng cho tất cả các loại Client.

- Sang máy DC2012. Mở Group Policy Management. Refresh màn hình

Dong Phuong Nam

- Chọn GPO DirectAccess Client Settings. Trong khung WMI Filtering: chọn <none>

Dong Phuong Nam

- Nhấn nút Yes để xác nhận gỡ bỏ <none>

Dong Phuong Nam

- Nhấn nút Yes để xác nhận gỡ bỏ WMI Filtering

Dong Phuong Nam

Dong Phuong Nam

- Cập nhật Policy

Dong Phuong Nam

- Restart dịch vụ Active Directory Certificate Service.

Dong Phuong Nam

Dong Phuong Nam

Dong Phuong Nam

11/ Client cập nhật và kiểm tra Policy

- Trên máy CLIENT1, cập nhật policy bằng lệnh GPUPDATE/FORCE

Dong Phuong Nam

- Kiểm tra kết quả cập nhật bằng lệnh GPRESULT /R. Bạn quan sát phần COMPUTER SETTINGS, bảo đảm client này phải được áp dụng GPO DirectAccess Client Settings.

Dong Phuong Nam

- Kiểm tra truy cập vào Website của Network Location Server bằng HTTPS.

Dong Phuong Nam

 

12/ Kiểm tra kết nối bằng Direct Access

Để giả lập Client đang ở ngoài Internet, bạn rút dây cáp mạng của Client và cắm vào Swicth nối với Card External của Direct Access Server hoặc cắm trực tiếp vào Card mạng External của Direct Access Server bằng cáp chéo. Nếu bạn dùng máy ảo, bạn có thể cấu hình lại Virtual Swicth (đối với Hyper-V 2012) hay Virtual Network (đối với VMWare và Hyper 2008)

- Đặt IP cho máy Client là IP Public để giả lập Client đang ở môi trường Internet

Dong Phuong Nam

 

Dong Phuong Nam

 

Dong Phuong Nam

Đặt IP cùng lớp mạng với card External của Direct Access Server. Ví dụ tôi đặt là 123.1.1.100

Dong Phuong Nam

 

Dong Phuong Nam

- Restart máy CLIENT1

 - Kiểm tra bằng cách ping vào một máy trong mạng nội bô (ví dụ PING DC2012) bạn sẽ thấy kết quả reply bằng Ipv6.

Dong Phuong Nam

- Truy cập dịch vụ File trên SERVER1.

Dong Phuong Nam

- Kiểm tra kết quả truy cập thành công.

Dong Phuong Nam

- Dùng lệnh IPCONFIG /ALL để khảo sát các Adapter Ipv6 là Teredo, 6to4, ISATAP và IP-HTTPS.

Dong Phuong Nam

- Dùng lệnh IPCONFIG /ALL để khảo sát các Adapter Ipv6 là Teredo, 6to4, ISATAP và  Dong Phuong Nam

- Sang máy ROUTER, kiểm tra trạng thái kết kết của Client.

Dong Phuong Nam

 

Cám ơn bạn đã xem bài viết!

By Đồng Phương Nam