Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Przed rozpoczęciem wdrażania zapoznaj się z poniższą listą nieobsługiwanych konfiguracji funkcji DirectAccess, aby uniknąć konieczności ponownego uruchamiania wdrożenia.
Dystrybucja usługi replikacji plików (FRS) dla obiektów zasad grupy (replikacje SYSVOL)
Nie należy wdrażać funkcji DirectAccess w środowiskach, w których kontrolery domeny korzystają z usługi replikacji plików (FRS) do dystrybucji obiektów zasad grupy (replikacje SYSVOL). Wdrażanie funkcji DirectAccess nie jest obsługiwane podczas korzystania z usługi FRS.
Używasz usługi FRS, jeśli masz kontrolery domeny z systemem Windows Server 2003 lub Windows Server 2003 R2. Ponadto, możliwe, że używasz FRS, jeśli wcześniej korzystałeś z kontrolerów domeny Windows 2000 Server lub Windows Server 2003 i nigdy nie przeprowadziłeś migracji replikacji SYSVOL z FRS do Rozproszonej replikacji systemu plików (DFS-R).
Istnieje ryzyko przypadkowego usunięcia obiektów zasad grupy DirectAccess, które zawierają informacje o konfiguracji serwera i klienta, podczas wdrażania DirectAccess z replikacją FRS SYSVOL. Jeśli te obiekty zostaną usunięte, wdrożenie funkcji DirectAccess spowoduje awarię, a komputery klienckie korzystające z funkcji DirectAccess nie będą mogły nawiązać połączenia z siecią.
Jeśli planujesz wdrożyć funkcję DirectAccess, musisz użyć kontrolerów domeny z systemami operacyjnymi nowszymi niż Windows Server 2003 R2 i należy użyć systemu plików DFS-R.
Aby uzyskać informacje na temat migracji z FRS do DFS-R, zobacz przewodnik migracji replikacji SYSVOL : FRS to DFS Replication.
Ochrona dostępu do sieci dla klientów DirectAccess
Ochrona dostępu do sieci (NAP) służy do określania, czy komputery klienckie zdalne spełniają zasady IT przed udzieleniem im dostępu do sieci firmowej. Ochrona dostępu do sieci (NAP) została uznana za przestarzałą w systemie Windows Server 2012 R2 i nie jest uwzględniona w systemie Windows Server 2016. Z tego powodu nie zaleca się rozpoczynania nowego wdrożenia DirectAccess z NAP. Zaleca się użycie innej metody kontroli punktu końcowego dla zapewnienia bezpieczeństwa klientów DirectAccess.
Obsługa wielu lokacji dla klientów z systemem Windows 7
Po skonfigurowaniu funkcji DirectAccess we wdrożeniu w wielu lokacjach klienci systemu Windows 10®, Windows® 8.1 i Windows® 8 mają możliwość łączenia się z najbliższą lokacją. Komputery klienckie z systemem Windows 7® nie mają tej samej możliwości. Wybór lokacji dla klientów systemu Windows 7 jest ustawiony na określoną lokację w momencie konfiguracji zasad, a ci klienci zawsze będą łączyć się z daną wyznaczoną lokacją, niezależnie od ich lokalizacji.
Kontrola dostępu oparta na użytkowniku
Zasady funkcji DirectAccess odnoszą się do komputerów, a nie do użytkowników. Określenie zasad użytkowników DirectAccess do kontrolowania dostępu do sieci firmowej nie jest obsługiwane.
Dostosowywanie zasad funkcji DirectAccess
Funkcję DirectAccess można skonfigurować za pomocą Kreatora konfiguracji DirectAccess, konsoli zarządzania dostępem zdalnym lub poleceń cmdlet Windows PowerShell do zarządzania dostępem zdalnym. Używanie jakichkolwiek środków innych niż Kreator instalacji funkcji DirectAccess do konfigurowania funkcji DirectAccess, takich jak modyfikowanie obiektów zasad grupy funkcji DirectAccess bezpośrednio lub ręczne modyfikowanie domyślnych ustawień zasad na serwerze lub kliencie, nie jest obsługiwane. Te modyfikacje mogą spowodować niezdatną do użycia konfigurację.
Uwierzytelnianie KerbProxy
Podczas konfigurowania serwera DirectAccess za pomocą Kreatora pierwszych kroków, serwer jest automatycznie skonfigurowany do korzystania z uwierzytelniania KerbProxy na potrzeby uwierzytelniania komputera oraz użytkownika. W związku z tym należy używać Kreatora konfiguracji tylko w przypadku wdrożeń z jedną lokacją, w których są wdrażane tylko klienci z systemem Windows 10®, Windows 8.1 lub Windows 8.
Ponadto następujące funkcje nie powinny być używane z uwierzytelnianiem KerbProxy:
Równoważenie obciążenia przy użyciu zewnętrznego modułu równoważenia obciążenia lub modułu równoważenia obciążenia systemu Windows
Uwierzytelnianie dwuskładnikowe, w którym wymagane są karty inteligentne lub hasło jednorazowe (OTP)
Następujące plany wdrażania nie są obsługiwane w przypadku włączenia uwierzytelniania KerbProxy:
Multisite.
Obsługa funkcji DirectAccess dla klientów z systemem Windows 7.
Wymuszanie tunelowania. Aby zapewnić, że uwierzytelnianie KerbProxy nie jest włączone przy użyciu tunelowania wymuszonego, skonfiguruj następujące elementy podczas uruchamiania kreatora:
Włącz wymuszone tunelowanie
Włączanie funkcji DirectAccess dla klientów z systemem Windows 7
Note
Dla wcześniejszych wdrożeń należy użyć Kreatora konfiguracji zaawansowanej, który wykorzystuje konfigurację z dwoma tunelami oraz uwierzytelnianiem komputerów i użytkowników opartym na certyfikatach. Aby uzyskać więcej informacji, zobacz Deploy a Single DirectAccess Server with Advanced Settings (Wdrażanie pojedynczego serwera funkcji DirectAccess przy użyciu ustawień zaawansowanych).
Korzystanie z protokołu ISATAP
ISATAP to technologia przejścia, która zapewnia łączność IPv6 w sieciach firmowych korzystających wyłącznie z IPv4. Jest ona ograniczona do małych i średnich organizacji z pojedynczym wdrożeniem serwera funkcji DirectAccess i umożliwia zdalne zarządzanie klientami funkcji DirectAccess. Jeśli protokół ISATAP jest wdrażany w wielu lokacjach, równoważeniu obciążenia lub środowisku wielodomenowym, należy go usunąć lub przenieść do natywnego wdrożenia protokołu IPv6 przed skonfigurowaniem funkcji DirectAccess.
Konfiguracja punktu końcowego IPHTTPS i hasła jednorazowego (OTP)
W przypadku korzystania z protokołu IPHTTPS połączenie IPHTTPS musi zakończyć się na serwerze funkcji DirectAccess, a nie na żadnym innym urządzeniu, takim jak moduł równoważenia obciążenia. Podobnie, połączenie Secure Sockets Layer (SSL) poza standardowym kanałem, które jest tworzone podczas uwierzytelniania jednorazowego hasła (OTP), musi zakończyć się na serwerze DirectAccess. Wszystkie urządzenia między punktami końcowymi tych połączeń muszą być skonfigurowane w trybie przekazywania.
Wymuszony tunel z uwierzytelnianiem typu OTP
Nie należy wdrażać serwera DirectAccess z uwierzytelnianiem dwuskładnikowym przy użyciu protokołu OTP i Wymuszonego tunelowania, w przeciwnym razie uwierzytelnianie OTP zakończy się niepowodzeniem. Połączenie ssl (Secure Sockets Layer) poza pasmem jest wymagane między serwerem funkcji DirectAccess i klientem funkcji DirectAccess. To połączenie wymaga zwolnienia w celu wysłania ruchu poza tunelem DirectAccess. W konfiguracji tunelu wymuszonego, cały ruch musi przepływać przez tunel DirectAccess i po ustanowieniu tunelu nie są dozwolone żadne wykluczenia. Z tego powodu uwierzytelnianie za pomocą OTP nie jest wspierane w konfiguracji wymuszonego tunelu.
Wdrażanie funkcji DirectAccess przy użyciu kontrolera domeny Read-Only
Serwery funkcji DirectAccess muszą mieć dostęp do kontrolera domeny odczytu i zapisu i nie działają poprawnie za pomocą kontrolera domeny Read-Only (RODC).
Kontroler domeny odczytu i zapisu jest wymagany z wielu powodów, w tym z następujących powodów:
Na serwerze DirectAccess wymagany jest kontroler domeny z dostępem do odczytu i zapisu, aby otworzyć Konsolę Zarządzania Microsoft (MMC) do dostępu zdalnego.
Serwer DirectAccess musi zarówno odczytywać, jak i zapisywać obiekty zasad grupy klienta DirectAccess oraz serwera DirectAccess (GPO).
Serwer DirectAccess odczytuje i zapisuje obiekt zasad grupy klienta, korzystając w szczególności z emulatora podstawowego kontrolera domeny (PDCe).
Ze względu na te wymagania nie należy wdrażać funkcji DirectAccess przy użyciu kontrolera RODC.