TechNet Wiki v2

ng:0px;border:0px currentcolor;">I- GIỚI THIỆU:

Direct Access là chức năng được Microsoft giới thiệu từ Windows Server 2008 R2 hỗ trợ các máy tính Client chạy Windows 7 kết nối vào hệ thống mạng nôi bộ mà không cần thiết lập kết nối VPN. Direct Access giúp người dùng có thể kết nối vào mạng nội bộ từ Internet mà không cần thực hiện bất cứ thao tác cấu hình nào và giúp người quản trị có thể quản lý các máy tính Client khi các máy tính này ở ngoài Internet.

Direct Access Client sử dụng Ipv6 để kết nối đến Direct Access Server phục vụ cho việc truy cập mạng nội bộ, tuy nhiên nếu hệ thống mạng nội bộ đang sử dụng Ipv4, Direct Access sẽ dùng các phương pháp để chuyển đổi Ipv6, giúp các gói tin Ipv6 có thể truyền trong hệ thống mạng nội bộ sử dụng Ipv4 sau đây:

- ISATAP: Được sử dụng trong mạng nội bộ để các máy tính liên lạc với nhau bằng Ipv6. Protocol này sẽ tạo một adapter ISATAP tunnel có địa chỉ IPv6, đóng gói dữ liệu trong IPv4 header và truyền trong mạng nội bộ. Khi đến đích sẽ giải mã gói tin và sử dụng Ipv6.

- 6to4 Protocol: Hỗ trợ các máy Direct Access Client sử dụng địa chỉ IP Public. Protocol này cũng sử dụng 1 adapter 6to4 tunnel để đưa gói tin Ipv6 vào bên trong gói tin Ipv4 cho phép truyền gói tin trong mạng nội bộ sử dụng Ipv4.

- Teredo Protocol: Teredo đóng gói các gói tin IPv6 theo dạng gói tin IPv4 để chuyển tiếp qua các NAT Server chạy IPv4 và mạng nội bộ IPv4. Các gói tin IPv6 này sẽ được gửi bằng giao thức UDP (User Datagram Protocol) port 3544. Windows Vista, Windows 7 và Windoww 8 mặc định đã được hỗ trợ sử dụng Teredo

- IP-HTTPS Protocol: Đây là protocol do Microsoft phát triển cho phép các Direct Access Client kết nối với Direct Access Server bằng port 443 (nếu port này được mở trên Server)

Để triển khai dịch vụ Direct Access có 2 cách:

a. Simplified Direct Access: Theo cách này Direct Access Server và Network Location Server sẽ tích hợp chung trên 1 Server và sử dụng Certificate tự phát sinh (Self-Signed Certificate), do đó bạn không cần triển khai dịch vụ Active Directory Certificate Service (ADCS) trong hệ thống. Tuy nhiên cách triển khai này chỉ không hỗ trợ dịch vụ NAP và các phương pháp chứng thực two-factor như smartcard…

b. Full PKI Direct Access: Theo cách này thì việc cấu hình sẽ phức tạp hơn, bạn cần triển khai cơ sở hạ tầng PKI trong hệ thống bằng cách cài đặt và cấu hình dịch vụ Active Directory Certificate Service (ADCS) để cấp các Certificate cần thiết cho các Server và Client.

Trong bài viết này tôi sẽ trình bày thao tác cấu hình Direct Access theo cách Full PKI Deployment trên Windows Server 2012 hỗ trợ các máy Client chạy Windows 8 kết nối vào mạng nội bộ từ bên ngoài Internet.

II- CÁC BƯỚC TRIỂN KHAI:

Trong bài viết này tôi sẽ trình bày thao tác cấu hình Direct Access theo cách Full PKI D00;">

Mô hình bài lab bao gồm 4 máy

+ DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local)

+ SERVER1: Domain Member đảm nhận vài trò Network Location Server (NLS) chạy Windows Server 2012. Đây là Server giúp các Direct Access Client xác định vị trí của nó. Nếu Direct Access Client liên lạc được với Network Location Server thì Direct Access Client xác định nó đang ở trong mạng nội bộ và sử dụng DNS của hệ thống để phân giải.

+ ROUTER: Domain Member đảm nhận vai trò Direct Access Server chạy Windows Server 2012

+ CLIENT1: Domain Member chạy Windows 8.

Đặt thông số TCP/IP card Internal cho các máy tính theo bảng sau đây

ROUTER

DC2012

SERVER1

CLIENT1

IP Address:172.16.0.1

Subnet Mask:

255.255.0.0

Default Gateway

(trống)

DNS:

172.16.0.10

IP Address:172.16.0.10

Subnet Mask:

255.255.0.0

Default Gateway

172.16.0.1

DNS:

127.0.0.1

IP Address:172.16.0.21

Subnet Mask:

255.255.0.0

Default Gateway

172.16.0.1

DNS:

172.16.0.10

IP Address: 172.16.0.10

172.16.0.50

Subnet Mask:

255.255.0.0

Default Gateway

172.16.0.1

DNS:

172.16.0.10

* Quy trình thực hiện:

1/ Các bước chuẩn bị

2/ Cài đặt và cấu hình CA Server

3/ Cài đặt Web Server (IIS) và chuẩn bị CRL Distribution Point trên Direct Access Server

4/ Publish CRL

5/ Cài đặt Web Server IIS trên Network Location Server

6/ CA Server - Tạo và phát hành Certificate Template cho Network Location Server & Direct Access Server

7/ Network Location Server chuẩn bị tài nguyên nội bộ, xin Certificate và gán vào Default Web Site

8/ Chỉnh GPO để tự động cấp Certificate Computer cho tất cả các Client trong domain

9/ Cấu hình Direct Access Server

10/ Cấu hình GPO hỗ trợ tất cả các loại Client (thay vì chỉ hỗ trợ Laptop)

11/ Client cập nhật và kiểm tra Policy

12/ Kiểm tra kết nối bằng Direct Access

III- TRIỂN KHAI CHI TIẾT:

1/ Các bước chuẩn bị

- Trên máy DC2012, đặt IP như sau:

- Mở Active Directory Users and Computers, tạo OU DA-Clients, move máy CLIENT1 vào OU này. Tạo một Group tên là Gr-DA-Clients.

- Mở Active Directory Users and Computers, tạo OU DA-Clients, move máy CLIENT1 vào OU này. Tạo một Group tên là Gr-DA-Clients.

- Thêm máy CLIENT1 vào danh sách thành viên group Gr-DA-Clients.

- Do Direct Access sử dụng nền tảng Ipv6, bạn cần tạo 2 rule (In và Out) cho phép chấp nhận các gói tin ICMPv6. Tôi sẽ chỉnh Default Domain Policy để tạo 2 Rule này và áp dụng trên tất cả các máy tính trong domain: Mở Group Policy Management, điều chỉnh GPO Default Domain Policy:

- Tạo Inbound Rule

- Chọn protocol ICMPv6

- Chọn Allow the connection để chấp nhận các gói tin ICMPv6 đi vào

- Đặt tên tùy ý cho Rule

- Đặt tên tùy ý cho Rule

- Kiểm tra Inbound Rule đã được tạo.

- Tiếp theo bạn tạo một Outbound Rule tương tự như các bước trên như sau:

- Cập nhật Policy

- Mở DNS Console tạo 2 Host (A) như sau:

          + CRL có IP là 172.16.0.1 (đây là tên của máy sẽ chứa Revocation List là máy Direct Access Server)

          + NLS có IP là 172.16.0.21 (đây là tên của Network Location Server)

- Mặc định DNS chặn các yêu cầu phân giải ISATAP và WPAD, bạn dùng lệnh như hình dưới để kiểm tra cấu hình này.

- Do Direct Access cần sử dụng I:0px;padding:0px;border:0px currentcolor;">WPAD, bạn dùng lệnh như hình dưới để kiểm tra cấu hình này.

ISATAP khỏi danh sách chặn của DNS bằng lệnh bên dưới.

- Kiểm tra lại bằng lệnh dưới, bạn sẽ thấy DNS chỉ còn chặn WPAD, không chăn ISATAP.

2/ Cài đặt và cấu hình CA Server

- Trên máy DC2012, mở Server Manager và cài đặt dịch vụ Active Directory Certificate Service.

- Chọn Server cần cài đặt là DC2012.mcthub.local.

- Chọn dịch vụ Active Directory Certificate Service.

- Xác nhận cài thêm các Feature cần thiết.

- Nhấn nút Install để tiến hành cài đặt.

- Khi quá trình cài đặt hoàn tất, nhấn chọn Configure Active Directory Certificate Service on the desstination server để thực hiện thao tác cấu hình cho dịch vụ.

- Chấp nhận User Account dùng để cấu hình là MCTHUB\Administrator.

- Cấu hình dịch vụ Certification Authority (CA).

- Chọn loại CA là Enterprise CA

- Do đây là CA Server đầu tiên và duy nhất trong hệ thống nên tôi chọn Root CA.

- Chấp nhận thuật toán mã hóa mặc định là RSA

- Đặt tên cho CA Server là mcthub-CA

- Chập nhận thời gian hoạt động của CA Server là 5 năm

- Chấp nhận nơi lưu trữ dữ liệu mặc định cho CA Server.

- Nhấn nút Configure để tiến hành cấu hình.

- Nhấn nút - Nhấn nút Configure để tiến hành cấu hình.

Close khi hoàn tất.

- Sau khi cấu hình CA Server, bạn restart các máy ROUTER, SERVER1 và CLIENT1 để các máy này tự động trust CA Server trên máy DC2012

3/ Cài đặt Web Server (IIS) và chuẩn bị CRL Distribution Point trên Direct Access Server

- Do các Direct Access Client cần truy cập vào Certificate Revocation List (CRL) để kiểm tra tính xác thực của Certificate, nên bạn cần Publish CRL sang Direct Access Server.

- Trên máy ROUTER, tạo sẵn 1 thư mục tên tùy ý (ví dụ C:\CRLD), thư mục này sẽ chứa Certificate Revocation List (CRL) được publish từ CA Server.

- Mở Server Manager và cài đặt Web Server (IIS)

- Chọn Server cần cài đặt là ROUTER.mcthub.local

- Chọn Web Server (IIS)

- Xác nhận cài thêm các Feature cần thiết

- Chọn

- Nhấn nút Install để tiến hành cài đặt

- Nhấn Close khi hoàn tất.

- Mở IIS Console cấu hình nơi chứa CRL (CRLs Distribution Point).

- Bạn tạo một Virtual Directory bên dưới trang Web mặc định (Default Web Site)

- Đặt tên là CRLD và chi định đường dẫn là thư mục C:\CRLD đã tạo trước đó

- Sau đó bạn cần share thư mục C:\CRLD để CA Server có thể Publish CRLs vào thư mục này

- Lưu ý share dưới dạng ẩn (gõ thêm dấu $ đằng sau Share Name). Nhấn nút Permission để phân quyền.

- Đưa máy DC2012 vào danh sách phân quyền (Access Control List) và phân quyền Full Control cho Everyone và DC2012.

- Đưa máy DC2012 vào danh sách phân quyền (Access Control List) và phân quyền Full Control cho

- Nhấn OK để xác nhận Share Permission.

- Sang Tab Security, tiếp tục phân quyền NTFS bằng cách nhấn nút Edit.

- Nhấn nút Add để phân quyền

- Chọn máy DC2012 (CA Server) và phân quyền Full Control.

- Nhấn nút OK để xác nhận.

- Nhấn nút Close để đóng hộp thoại.

4/ Publish CRL- Nhấn nút Close để đóng >

- Trên máy DC2021 (CA Server). Mở Certification Authority.

- Bạn cần Publish CRL và Delta CRL sang Direct Access Server (ROUTER)

- Sang Tab Extensions, nhấn nút Add đê thêm CRL Distribution Point (CDP).

- Trong khung Location, nhập http://CRL.mcthub.local/CRLD/, sau đó trong khung Variable chọn <CAName> và nhấn Insert.

- Trong khung Variable chọn <CRLNameSuffix> và nhấn Insert.

- Trong khung Variable chọn <DeltaCRLAllowed> và nhấn Insert.

- Trong khung Location, đưa con trỏ ra cuối dòng và gõ thêm .CRL

Bạn kiểm tra lại trong khung Location phải là:

http://CRL.mcthub.com/CRLD/<CAName><CRLNameSuffix><DeltaCRLAllowed>.CRL

Sau đó nhấn OK để xác nhận.

- Đánh 2 dấu check Include in CRLs. Client use this to find Delta CRL locations và Include in the CDP extension of issued certificates. Nhấn nút Apply.

- Đánh 2 dấu check Include in CRLs. Client use this to find Delta CRL locations

- Hệ thống yêu cầu restart dịch vụ, chọn No để tiếp tục thêm CDP.

- Nhấn nút Add

- Trong khung Location, nhập \\ROUTER\CRLD$\, sau đó trong khung Variable chọn <CAName> và nhấn Insert.

- Trong khung Variable chọn <CRLNameSuffix> và nhấn Insert.

- Trong khung Variable chọn <DeltaCRLAllowed> và nhấn Insert.

- Trong khung Location, đưa con trỏ ra cuối dòng và gõ thêm .CRL

Bạn kiểm tra lại trong khung Location phải là:

\\ROUTER\trỏ ra cuối dòng và gõ thêm .CRL

Sau đó nhấn OK để xác nhận.

- Đánh 2 dấu check Publish CRLs to this location và Publish Delta CRLs to this location. Nhấn OK.

- Nhấn Yes để restart dịch vụ.

- Publish CRL.

- Kiểm tra kết quả Publish CRT bằng cách truy cập sang thư mục CRLD$ trên máy ROUTER

- Bãn sẽ thấy 2 File như hình dưới, đó chính là CRLs và Delta CRLs.

- Sang máy ROUTER kiểm tra nội dung thư mục C:\CRLD.

5/ Cài đặt Web Server IIS trên Network Location Server

- Sang máy SERVER1. Bạn thực hiện cài đặt Role Web Server (IIS) tương tự như bước 3

6/ CA Server - Tạo và phát hành Certificate Template cho Network Location Server & Direct Access Server

- Sang máy DC2012, mở Certification Authority. Mở console quản lý Certificate Templates

- Chọn Certificate Template Web Server và sao chép Certificate Template này thành một Certificate Template mới

- Chọn Certificate Template

- Đặt tên tùy ý cho Certificate Tempalte mới (ví dụ tôi đặt là Network Location Server Certificate)

- Sang tab Request Handling đánh dấu check Allow private key to be exported để có thể Export Certificate đề phòng trường hợp bị mất Certificate

- Sang Tab Security, phân quyền Enroll cho group Authenticated Users. Nhấn nút OK để xác nhận tạo Certificate Templates mới.

- Kiểm tra Certificate Templates mới đã được tạo.

- Phát hành Certificate Templates vừa tạo

- Chọn Certificate Templates Network Location Server Certificate đã tạo trước đó - OK

- Kiểm tra Certificate Templates mới đã được phát hành

7/ Network Location Server chuẩn bị tài ntcolor;color:#666666;line-height:24px;font-family:tahoma;"> - Kiểm tra Certificate Templates mới đã được phát hành

- Sang máy SERVER1. Tạo một thư mục tùy ý để kiểm tra sau đó share thư mục này cho Everyone quyền Read/Write.

- Sử dụng MMC tạo một Console để quản lý Certificate cho Local Computer

- Xin Certificate để thực hiện chức năng Network Location Server.

- Chọn Certificate Templates đã phát hành, chọn More information … để thêm thông tin cho Certificate.

- Trong khung Type, chọn Common Name.

- Trong khung Value nhập tên nội bộ của Network Location Server là NLS.mcthub.local và nhấn nút Add.

- Nhấn OK để xác nhận thông tin Certificatall;font-family:verdana,geneva;color:#000000;">- Trong khung Value nhập tên nội bộ của Network Location Server là NLS.mcthub.local và nhấn nút Add.

- Nhấn nút Enroll.

- Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.

- Kiểm tra Certificate đã xin được và thông tin của Certificate

- Lưu Console này lên Desktop để sử dụng cho các bước sau.

- Mở Web Server (IIS) console cấu hình Certificate cho Default Website.

- Gán Certificate cho Defeva;color:#000000;">
HTTPS.

- Bạn quan sát Website chỉ có thể chạy bằng HTTP, nhấn nút Add

- Chọn https

- Trong khung SSL Certificate chọn Certificate đã xin là NLS.mcthub.local - Nhấn OK

- Nhấn Close để đóng hộp thoại

8/ Chỉnh GPO để tự động cấp Certificate Computer cho tất cả các Client trong domain

Do các Direct Access Client cần có một Certificate Computer. Thay vì để các máy Client tự xin Certificate, bạn có thể dùng GPO để cho phép các Client tự động xin Certificate này.

- Trên máy DC2012. Mở Group Policy Management điều chỉnh GPO Default Domain Policy

- Tìm Policy theo hình dưới, chọn New - Automatic Certificate Request

- Chọn Certificate Templates Computer

- Kiểm tra Policy

- Sang máy CLIENT1, Restart để áp dụng Policy, sau đó dùng MMC tạo một Console để kiểm tra Certificate

- Kiểm tra máy CLIENT1 đã có Certificate

- Kiểm tra thông tin Certificate

9/ Cấu hình Direct Access Server

- Trên máy ROUTER, bật Windows Firewall nếu đang tắt

- Kiểm tra IP card Internal (đây là Card mạng kết nối với mạng nội bộ)

- Đặt IP Card External (đây là Card mạng kết nối Internet).

- Ở đây tôi đặt một IP Public tùy ý để giả lập mội trường Internet (ví dụ 123.1.1.1)

- Restart máy ROUTER để bảo đảm cập nhật Policy.

- Dùng MMC tạo Console kiểm tra Certificate như các bước trước đó. Bạn quan sát máy này đã có một Certificate       do đã cấu hình tự động xin Certificate ở bước 8. Bây giờ bạn cần xin một Certificate mới để đảm nhận vài trò Direct Access Server.

- Chọn Certificate Templates do CA Server đã phát hành ở bước 6, chọn More information… để thêm thông tin cho Certificate

- Trong khung Type, chọn Common Name.

- Trong khung Value nhập IP Public của Direct Access Server là 123.1.1.1 - Nhấn Add

- Nhấn OK để xác nhận thông tin Certificate

- Nhấn nút Enroll

- Kiểm tra kết quả xin Certificate thành công và nhấn nút Finish.

- Đặt Friendly Name cho Certificate mới là IP-HTTPS Certificate.

- Kiểm tra thông tin Certificate

- Tiếp theo bạn cần cài đặt Role Remote Access đm" src="http://mcthub.com/images/ContentLab/DirectAccess_files/image164.jpg" style="margin:0px;padding:0px;border:0px solid currentcolor;" />

Direct Access Server. Mở Server Manager tiến hành cài đặt.

- Chọn server cần cài đặt là ROUTER.mcthub.local.

- Chọn role Remote Access.

- Xác nhận cài các feature cần thiết.

- Chọn Direct Access and VPN (RAS)

- Nhấn nút Install để tiến hành cài đặt

- Nhấn Close khi quá trình cài đặt hoàn tất.

- Cấu hình Direct Access: Mở Remote Access Management console.

- Chạy giao diện cấu hình nhanh: Chọn Run the Getting Started Wizard.

- Chọn Deploy DirectAccess Only.

- Chờ đợi quá trình cấu hình. Lưu ý nếu bước này bị báo lỗi thì bạn disable card External, sau đó Enable lại và chạy lại Getting Started Wizards.

- Dịch vụ Direct Access hỗ trợ mô hình Direct Access Server nằm phía sau một NAT Server (Direct Access Sever có thể có 2 Card mạng hoặc 1 Card mạng). Trong mô hình này Direct Access Server không nằm sau một NAT Server nào nên bạn chọn mô hình Edge, kiểm tra IP Public ở khung dưới

- Nhấn nút Finish để hoàn tất cấu hình mô hình Direct Access.

- Giao diện cấu hình này sẽ tạo 2 GPO và chỉnh các Policy cần thiết là Direct Access Server Settings và Direct Access Client Settings và link 2 GPO này vào domain. Bạn chờ đợi quá trình cấu hình

- Kiểm tra quá trình thành công và nhấn nút Close.

- Tiếp theo, bạn cần cấu hình Direct Access theo 4 bước bao gồm: Cấu hình Client, cấu hình Remote Access Server, cấu hình Infrastructure Server và cấu hình Application Server. Bạn bắt đầu cấu hình Client bằng cách nhấn nút Edit trong khung Step 1.

- Chọn Deploy full Direct Access for client access and remote management.

- Chỉ định các Client được phép kết nối Direct Access là các Client thuộc group Deploy full Direct Access for client access and remote management.

- Chỉ định các Client được phép kết nối Direct Access là các Client thuộc group Gr-DA-Clients đã tạo ở bước 1. Bạn xóa group Domain Computer khỏi danh sách được phép kết nối

- Sau đó thêm group Gr-DA-Clients vào danh sách được phép kết nối

- Chấp nhận các giá trị mặc định và nhấn nút Finish

- Cấu hình Remote Access Server: Nhấn nút Edit trong khung Step 2

- Kiểm tra IP Public của Direct Access Server - nhấn Next

- Chọn card mạng kết nối vói bên ngoài là External, card mạng kết nối với mạng nội bộ là Internal.

- Chọn Use computer certificates, nhấn Browse để chọn CA Server

- Chọn CA Server mcthub-CA

- Nhấn nút Finish để hoàn tất.

- Cấu hình Infrastructure Server bằng cách nhấn nút Edit trong khung Step 3.

- Nhập URL httpS://NLS.mcthub.local. Nhấn n Step 3.

- Nhập URL httpS://NLS.mcthub.localValidate để kiểm tra URL.

- Kiểm tra trạng thái thành công và nhấn Next

- Chấp nhận tên và Ipv6 của DNS Server - Nhấn Next

- Nhấn nút Finish để hoàn tất

- Cấu hình Application Server bằng cách nhấn nút Edit trong khung Step 4.

- Chấp nhận các giá trị mặc định và nhấn Finish.

- Sau khi hoàn tất 4 bước cấu hình, bạn cần lưu lại cấu hình bằng cách nhấn nút Finish ở khung bên dưới.

Finish.

- Sau khi hoàn tất 4 bước cấu hình, bạn cần lưu lại cấu hình bằng cách nhấn nút Finish ở khung bên dướiorder:0px currentcolor;color:#666666;line-height:24px;font-family:tahoma;">

- Nhấn nút Apply để xác nhận áp dụng cấu hình.

- Kiểm tra kết quả cấu hình thành công và nhấn Close.

- Chọn OPERATION STATUS để kiểm tra trạng thái hoạt động của Server. Nhấn Refresh.

- Kiểm tra tất cả các dịch vụ phải có biểu tượng màu xanh lá cây và status là Working.

- Cập nhật Policy.

- Dùng lệnh IPCONFIG /ALL và khảo các các Adapter Ipv6 là ISATAP, 6to4 và Teredo.

10/ Cấu hình GPO hỗ trợ tất cả các loại Client (thay vì chỉ hỗ trợ Laptop)

Mặc định, Direct Access chỉ hỗ trợ các Laptop Client do nhu cầu di chuyển của Laptop. Tuy nhiên trong mô hình này CLIENT1 không phải là Laptop nên bạn cần cấu hình WMI Filter của GPO để áp dụng cho tất cả các loại Client.

- Sang máy DC2012. Mở Group Policy Management. Refresh màn hình

- Chọn GPO DirectAccess Client Settings. Trong khung WMI Filtering: chọn <none>

- Nhấn nút Yes để xác nhận gỡ bỏ <none>

- Nhấn nút Yes để xác nhận gỡ bỏ WMI Filtering

- Cập nhật Policy

- Restart dịch vụ Active Directory Certificate Service.

11/ Client cập nhật và kiểm tra Policy

- Trên máy CLIENT1, cập nhật policy bằng lệnh GPUPDATE/FORCE

- Kiểm tra kết quả cập nhật bằng lệnh GPRESULT /R. Bạn quan sát phần COMPUTER SETTINGS, bảo đảm client này phải được áp dụng GPO DirectAccess Client Settings.

- Kiểm tra truy cập vào Website của Network Location Server bằng HTTPS.

12/ Kiểm tra kết nối bằng Direct Access

Để giả lập Client đang ở ngoài Internet, bạn rút dây cáp mạng của Client và cắm vào Swicth nối với Card External của Direct Access Server hoặc cắm trực tiếp vào Card mạng External của Direct Access Server bằng cáp chéo. Nếu bạn dùng máy ảo, bạn có thể cấu hình lại Virtual Swicth (đối với Hyper-V 2012) hay Virtual Network (đối với VMWare và Hyper 2008)

- Đặt IP cho máy Client là IP Public để giả lập Client đang ở môi trường Internet

Đặt IP cùng lớp mạng với card External của Direct Access Server. Ví dụ tôi đặt là 123.1.1.100

- Restart máy CLIENT1

- Kiểm tra bằng cách ping vào một máy trong mạng nội bô (ví dụ PING DC2012) bạn sẽ thấy kết quả reply bằng Ipv6.

- Truy cập dịch vụ File trên SERVER1.

- Kiểm tra kết quả truy cập thành công.

- Dùng lệnh IPCONFIG /ALL để khảo sát các Adapter Ipv6 là Teredo, 6to4, ISATAP và IP-HTTPS.

- Dùng lệnh IPCONFIG /ALL để khảo sát các Adapter Ipv6 là Teredo, 6to4, ISATAP và

- Sang máy ROUTER, kiểm tra trạng thái kết kết của Client.

Cám ơn bạn đã xem bài viết!

mcthub.com

By Đồng Phương Nam

Cấu hình Direct Access trên Windows Server 2012 (vi-VN) - TechNet Articles - United States (English) - TechNet Wiki