Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po zaplanowaniu infrastruktury funkcji DirectAccess następnym krokiem wdrażania zaawansowanej funkcji DirectAccess na jednym serwerze z protokołem IPv4 i IPv6 jest zaplanowanie ustawień Kreatora instalacji dostępu zdalnego.
| Task | Description |
|---|---|
| 2.1 Planowanie wdrożenia klienta | Planowanie sposobu zezwalania komputerom klienckim na łączenie przy użyciu funkcji DirectAccess. Zdecyduj, które zarządzane komputery zostaną skonfigurowane jako klienci funkcji DirectAccess, i zaplanuj wdrożenie Asystenta łączności sieciowej lub Asystenta łączności funkcji DirectAccess na komputerach klienckich. |
| 2.2 Plan wdrożenia serwera DirectAccess | Zaplanuj wdrażanie serwera DirectAccess. |
| 2.3 Planowanie serwerów infrastruktury | Zaplanuj serwery infrastruktury dla wdrożenia funkcji DirectAccess, w tym serwer lokalizacji sieciowej funkcji DirectAccess, serwery systemu nazw domen (DNS) i serwery zarządzania funkcji DirectAccess. |
| 2.4 Planowanie serwerów aplikacji | Planując serwery aplikacji IPv4 i IPv6, można także zastanowić się, czy wymagane jest uwierzytelnianie typu end-to-end między komputerami klienckimi DirectAccess a wewnętrznymi serwerami aplikacji. |
| 2.5 Plan dotyczący DirectAccess i klientów VPN innych firm | Podczas wdrażania funkcji DirectAccess z klientami sieci VPN innych firm może być konieczne ustawienie wartości rejestru w celu umożliwienia bezproblemowego współistnienia dwóch rozwiązań dostępu zdalnego. |
2.1 Planowanie wdrożenia klienta
Planując wdrożenie klienta, należy podjąć trzy decyzje:
Czy funkcja DirectAccess będzie dostępna tylko dla komputerów przenośnych, czy na dowolnym komputerze?
Podczas konfigurowania klientów funkcji DirectAccess w Kreatorze instalacji klienta funkcji DirectAccess można zezwolić na łączenie tylko komputerów przenośnych w określonych grupach zabezpieczeń za pomocą funkcji DirectAccess. Jeśli ograniczysz dostęp do komputerów przenośnych, dostęp zdalny automatycznie konfiguruje filtr WMI, aby upewnić się, że zasady grupy dla klienta DirectAccess są stosowane tylko do komputerów przenośnych w określonych grupach zabezpieczeń. Administrator dostępu zdalnego wymaga uprawnień do tworzenia lub modyfikowania zabezpieczeń w celu utworzenia lub zmodyfikowania filtrów WMI obiektów zasad grupy (GPO) do aktywacji tego ustawienia.
Jakie grupy zabezpieczeń będą zawierać komputery klienckie funkcji DirectAccess?
Ustawienia klienta DirectAccess są zawarte w obiekcie zasad grupowych klienta DirectAccess. Zasady GPO są stosowane do komputerów będących częścią grup zabezpieczeń określonych przez Ciebie w Kreatorze instalacji klienta DirectAccess. Można określić, że grupy zabezpieczeń będą zawarte w dowolnej obsługiwanej domenie. Aby uzyskać więcej informacji, zobacz sekcję 1.7 Planowanie usług Active Directory Domain Services.
Przed skonfigurowaniem funkcji DirectAccess należy utworzyć grupy zabezpieczeń. Komputery można dodać do grupy zabezpieczeń po zakończeniu wdrażania funkcji DirectAccess, ale jeśli dodasz komputery klienckie, które znajdują się w innej domenie niż grupa zabezpieczeń, zasady grupowe klienta nie zostaną zastosowane do tych klientów. Jeśli na przykład utworzono SG1 w domenie A dla klientów funkcji DirectAccess, a później dodano klientów z domeny B do tej grupy, obiekt zasad grupy (GPO) klienta nie zostanie zastosowany do klientów z domeny B. Aby uniknąć tego problemu, utwórz nową grupę zabezpieczeń klienta dla każdej domeny, która zawiera komputery klienckie funkcji DirectAccess. Alternatywnie, jeśli nie chcesz utworzyć nowej grupy zabezpieczeń, uruchom polecenie cmdlet programu Windows PowerShell Add-DAClient z nazwą nowego obiektu zasad grupy dla nowej domeny.
Jakie ustawienia skonfigurujesz dla asystenta łączności sieciowej?
Asystent łączności sieciowej działa na komputerach klienckich i udostępnia dodatkowe informacje o połączeniu funkcji DirectAccess z użytkownikami końcowymi. W Kreatorze instalacji klienta funkcji DirectAccess można skonfigurować następujące elementy:
Weryfikatory łączności
Tworzona jest domyślna sonda sieci Web używana przez klientów do weryfikowania łączności z siecią wewnętrzną. Nazwa domyślna to:
https://directaccess-WebProbeHost.<domain_name>
Nazwa powinna być zarejestrowana ręcznie w systemie DNS. Inne weryfikatory łączności można utworzyć przy użyciu innych adresów internetowych za pośrednictwem protokołu HTTP lub ping. Dla każdego weryfikatora łączności musi istnieć wpis DNS.
Adres e-mail pomocy technicznej
Jeśli użytkownicy końcowi napotykają problemy z łącznością funkcji DirectAccess, mogą wysłać wiadomość e-mail zawierającą informacje diagnostyczne do administratora funkcji DirectAccess, aby rozwiązać ten problem.
Nazwa połączenia DirectAccess
Określ nazwę połączenia funkcji DirectAccess, aby ułatwić użytkownikom końcowym identyfikację połączenia funkcji DirectAccess na komputerze.
Zezwalaj klientom DirectAccess na używanie lokalnego rozpoznawania nazw
Klienci wymagają sposobu rozpoznawania nazw lokalnie. Jeśli zezwolisz klientom funkcji DirectAccess na używanie lokalnego rozpoznawania nazw, użytkownicy końcowi mogą używać lokalnych serwerów DNS do rozpoznawania nazw. Gdy użytkownicy końcowi będą używać lokalnych serwerów DNS do rozpoznawania nazw, funkcja DirectAccess nie wysyła żądań rozpoznawania nazw pojedynczych etykiet do wewnętrznego firmowego serwera DNS. Używa ona zamiast tego lokalnego rozpoznawania nazw, korzystając z protokołów wieloadresowania lokalnego rozpoznawania nazw (LLMNR) i NetBIOS przez TCP/IP.
2.2 Plan wdrożenia serwera DirectAccess
Podczas planowania wdrożenia serwera funkcji DirectAccess należy wziąć pod uwagę następujące decyzje:
Topologia sieci
Istnieje kilka topologii dostępnych podczas wdrażania serwera funkcji DirectAccess:
Dwa adaptery sieciowe. Za pomocą dwóch kart sieciowych można skonfigurować funkcję DirectAccess z jedną kartą sieciową podłączoną bezpośrednio do Internetu, a drugą połączoną z siecią wewnętrzną. Alternatywnie serwer jest instalowany za urządzeniem brzegowym, takim jak zapora lub router. W tej konfiguracji jedna karta sieciowa jest połączona z siecią obwodową, a druga jest połączona z siecią wewnętrzną.
Jedna karta sieciowa. W tej konfiguracji serwer DirectAccess jest instalowany za urządzeniem brzegowym, takim jak zapora sieciowa lub router. Karta sieciowa jest podłączona do sieci wewnętrznej.
Aby uzyskać więcej informacji na temat wybierania topologii wdrożenia, zobacz 1.1 Planowanie topologii sieci i ustawień.
Adres ConnectTo
Komputery klienckie używają adresu ConnectTo, aby nawiązać połączenie z serwerem funkcji DirectAccess. Wybrany adres musi być zgodny z nazwą podmiotu certyfikatu IP-HTTPS wdrażanego dla połączenia IP-HTTPS i musi być dostępny w publicznym systemie DNS.
Karty sieciowe
Kreator instalacji serwera dostępu zdalnego automatycznie wykrywa karty sieciowe skonfigurowane na serwerze DirectAccess. Upewnij się, że wybrano odpowiednie adaptery.
certyfikatIP-HTTPS
Kreator instalacji serwera dostępu zdalnego automatycznie wykrywa certyfikat odpowiedni dla połączenia IP-HTTPS. Nazar podmiotu wybranego certyfikatu musi być zgodna z adresem ConnectTo. Jeśli używasz certyfikatów z podpisem własnym, możesz wybrać opcję użycia certyfikatu utworzonego automatycznie przez serwer dostępu zdalnego.
Prefiksy IPv6
Jeśli Kreator konfiguracji serwera dostępu zdalnego wykryje, że protokół IPv6 został wdrożony na kartach sieciowych, automatycznie ustawia prefiksy IPv6 dla sieci wewnętrznej, prefiks IPv6 do przypisania komputerom klienckim DirectAccess oraz prefiks IPv6 do przypisania komputerom klienckim VPN. Jeśli automatycznie wygenerowane prefiksy nie są poprawne dla natywnej infrastruktury IPv6, należy je ręcznie zmienić. Aby uzyskać więcej informacji, zobacz 1.1 Planowanie topologii sieci i ustawień.
Authentication
Zdecyduj, w jaki sposób klienci funkcji DirectAccess będą uwierzytelniać się na serwerze funkcji DirectAccess:
Uwierzytelnianie użytkownika. Możesz zezwolić użytkownikom na uwierzytelnianie przy użyciu poświadczeń usługi Active Directory lub uwierzytelniania dwuskładnikowego. Aby uzyskać więcej informacji na temat uwierzytelniania dwuskładnikowego, zobacz Wdrażanie dostępu zdalnego przy użyciu uwierzytelniania OTP.
Uwierzytelnianie komputera. Uwierzytelnianie komputera można skonfigurować do używania certyfikatów lub użyć serwera DirectAccess jako proxy Kerberos w imieniu klienta. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące certyfikatów planu 1.3.
Klienci systemu Windows 7. Domyślnie komputery klienckie z systemem Windows 7 nie mogą łączyć się z wdrożeniem funkcji DirectAccess systemu Windows Server 2012 R2 lub Windows Server 2012. Jeśli masz klientów w organizacji z systemem Windows 7 i wymagają dostępu zdalnego do zasobów wewnętrznych, możesz zezwolić im na nawiązywanie połączenia. Wszystkie komputery klienckie, które chcesz dopuścić do dostępu do zasobów wewnętrznych, muszą należeć do grupy zabezpieczeń określonej w Kreatorze instalacji klienta funkcji DirectAccess.
Note
Zezwalanie klientom z systemem Windows 7 na nawiązywanie połączenia przy użyciu funkcji DirectAccess wymaga użycia uwierzytelniania certyfikatu komputera.
Konfiguracja sieci VPN
Przed skonfigurowaniem funkcji DirectAccess zdecyduj, czy chcesz zapewnić dostęp sieci VPN do klientów zdalnych, którzy nie obsługują funkcji DirectAccess. Należy zapewnić dostęp do sieci VPN, jeśli masz komputery klienckie w organizacji, które nie obsługują łączności funkcji DirectAccess (ponieważ są niezarządzane lub uruchamiają system operacyjny, dla którego funkcja DirectAccess nie jest obsługiwana). Kreator instalacji serwera dostępu zdalnego umożliwia skonfigurowanie sposobu przypisywanego adresów IP (przy użyciu protokołu DHCP lub z puli adresów statycznych) oraz sposobu uwierzytelniania klientów sieci VPN — przy użyciu usługi Active Directory lub serwera usługi dial-up uwierzytelniania zdalnego (RADIUS).
2.3 Planowanie serwerów infrastruktury
Funkcja DirectAccess wymaga trzech typów serwerów infrastruktury:
Serwery DNS. Aby uzyskać więcej informacji, zobacz 1.4 Planowanie wymagań DNS
Serwer lokalizacji sieciowej. Aby uzyskać więcej informacji, zobacz 1.5 Planowanie serwera lokalizacji sieciowej
Serwery zarządzania. Aby uzyskać więcej informacji, zobacz 1.6 Planowanie serwerów zarządzania
2.4 Planowanie serwerów aplikacji
Serwery aplikacji to serwery w sieci firmowej, które są dostępne przez komputery klienckie za pośrednictwem połączenia funkcji DirectAccess. Serwery aplikacji są identyfikowane przez dodanie ich do grupy zabezpieczeń. Obiekt zasad grupy (GPO) serwera aplikacji jest następnie stosowany do serwerów w tej grupie.
Note
Dodanie serwerów aplikacji do grupy zabezpieczeń jest wymagane tylko wtedy, gdy wymagane jest kompleksowe uwierzytelnianie i szyfrowanie.
Opcjonalnie możesz wymagać kompleksowego uwierzytelniania i szyfrowania między klientem funkcji DirectAccess a wybranymi wewnętrznymi serwerami aplikacji. W przypadku skonfigurowania kompleksowego uwierzytelniania klienci funkcji DirectAccess używają zasad transportu IPsec. Te zasady wymagają zakończenia uwierzytelniania i ochrony ruchu sesji protokołu IPsec na określonych serwerach aplikacji. W takim przypadku serwer dostępu zdalnego przekazuje uwierzytelnione i chronione sesje protokołu IPsec do serwerów aplikacji.
Domyślnie podczas rozszerzania uwierzytelniania na serwery aplikacji ładunek danych jest szyfrowany między klientem funkcji DirectAccess a serwerem aplikacji. Możesz nie szyfrować ruchu i używać tylko uwierzytelniania. Jest to jednak mniej bezpieczne niż użycie uwierzytelniania i szyfrowania i jest obsługiwane tylko w przypadku serwerów aplikacji z systemem Windows Server 2008 R2 lub Windows Server 2012.
2.5 Planowanie funkcji DirectAccess i klientów sieci VPN innych firm
Niektórzy klienci sieci VPN innych firm nie tworzą połączeń w folderze Połączenia sieciowe. Może to spowodować, że DirectAccess błędnie stwierdzi brak łączności z intranetem, gdy zostanie nawiązane połączenie sieci VPN i łączność z intranetem faktycznie istnieje. Dzieje się tak, gdy klienci sieci VPN innych firm rejestrują swoje interfejsy, definiując je jako typy punktów końcowych specyfikacji interfejsu sieciowego (NDIS). Współistnienie z tymi typami klientów sieci VPN można włączyć, ustawiając następującą wartość rejestru na 1 na klientach funkcji DirectAccess:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\ShowDomainEndpointInterfaces (REG_DWORD)
Niektórzy klienci sieci VPN innych firm używają konfiguracji tunelowania podzielonego, która umożliwia komputerowi klienckim sieci VPN bezpośredni dostęp do Internetu bez konieczności wysyłania ruchu przez połączenie sieci VPN do intranetu.
Konfiguracje tunelu podzielonego zwykle pozostawiają ustawienie bramy domyślnej na kliencie sieci VPN jako nieskonfigurowane lub jako wszystkie zera (0.0.0.0). Można to potwierdzić, ustanawiając pomyślne połączenie sieci VPN z intranetem i używając narzędzia wiersza polecenia Ipconfig.exe w celu wyświetlenia wynikowej konfiguracji.
Jeśli połączenie sieci VPN wyświetla domyślną bramę jako pustą lub wszystkie zera (0.0.0.0), klient sieci VPN jest skonfigurowany w ten sposób. Domyślnie klient funkcji DirectAccess nie identyfikuje konfiguracji split-tunnelf. Aby skonfigurować klientów funkcji DirectAccess w celu wykrywania tych typów konfiguracji klienta sieci VPN i współistnienia z nimi, ustaw następującą wartość rejestru na 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ Włącz wykrywanie lokalizacji bez bramy (REG_DWORD)