Udostępnij przez

Krok 1. Konfigurowanie podstawowej infrastruktury funkcji DirectAccess

W tym temacie opisano sposób konfigurowania infrastruktury wymaganej do podstawowego wdrożenia funkcji DirectAccess przy użyciu pojedynczego serwera funkcji DirectAccess w środowisku mieszanym IPv4 i IPv6. Przed rozpoczęciem kroków wdrażania upewnij się, że zostały wykonane kroki planowania opisane w temacie Planowanie podstawowego wdrożenia funkcji DirectAccess.

Task Description
Konfigurowanie ustawień sieciowych serwera Skonfiguruj ustawienia sieciowe na serwerze DirectAccess.
Konfigurowanie routingu w sieci firmowej Skonfiguruj routing w sieci firmowej, aby upewnić się, że ruch jest odpowiednio kierowany.
Konfigurowanie zapór W razie potrzeby skonfiguruj dodatkowe zapory.
Konfigurowanie serwera DNS Skonfiguruj ustawienia DNS dla serwera DirectAccess.
Konfigurowanie usługi Active Directory Przyłącz komputery klienckie i serwer funkcji DirectAccess do domeny usługi Active Directory.
Konfigurowanie obiektów zasad grupy Skonfiguruj GPO dla wdrożenia, jeśli jest to wymagane.
Konfigurowanie grup zabezpieczeń Skonfiguruj grupy zabezpieczeń, które będą zawierać komputery klienckie funkcji DirectAccess i wszystkie inne grupy zabezpieczeń wymagane we wdrożeniu.

Note

Ten temat zawiera przykładowe polecenia cmdlet programu Windows PowerShell, których można użyć do zautomatyzowania niektórych opisanych procedur. Aby uzyskać więcej informacji, zobacz Using Cmdlets (Używanie poleceń cmdlet).

Konfigurowanie ustawień sieciowych serwera

Następujące ustawienia interfejsu sieciowego są wymagane do wdrożenia pojedynczego serwera w środowisku z protokołami IPv4 i IPv6. Wszystkie adresy IP są konfigurowane przy użyciu Zmień ustawienia karty w Centrum sieci i udostępniania.

  • Topologia krawędzi

    • Jeden publiczny statyczny adres IPv4 lub IPv6 dostępny z Internetu.

      Note

      W przypadku teredo wymagane są dwa kolejne publiczne adresy IPv4. Jeśli nie używasz protokołu Teredo, możesz skonfigurować jeden publiczny statyczny adres IPv4.

    • Pojedynczy wewnętrzny statyczny adres IPv4 lub IPv6.

  • Za urządzeniem NAT (dwie karty sieciowe)

    • Pojedynczy statyczny adres IPv4 lub IPv6 z jedną siecią wewnętrzną.

    • Statyczny adres IPv4 lub IPv6 skierowany na pojedynczą sieć obwodową.

  • Za urządzeniem NAT (jedna karta sieciowa)

    • Pojedynczy statyczny adres IPv4 lub IPv6.

Note

Jeśli serwer DirectAccess ma dwie lub więcej kart sieciowych (jedna przypisana do profilu domeny, a druga do profilu publicznego/prywatnego), ale chcesz używać topologii z jednym interfejsem sieciowym, zalecenia są następujące:

  1. Upewnij się, że druga karta sieciowa i wszystkie dodatkowe karty sieciowe również są klasyfikowane w profilu domeny.

  2. Jeśli z jakiegokolwiek powodu nie można skonfigurować drugiej karty sieciowej dla profilu domeny, zasady IPsec funkcji DirectAccess muszą zostać ręcznie zastosowane do wszystkich profili przy użyciu następujących poleceń programu Windows PowerShell:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
Save-NetGPO -GPOSession $gposession

    Nazwy zasad IPsec są DirectAccess-DaServerToInfra i DirectAccess-DaServerToCorp.

Konfigurowanie routingu w sieci firmowej

Skonfiguruj routing w sieci firmowej w następujący sposób:

  • Po wdrożeniu natywnego protokołu IPv6 w organizacji dodaj trasę, aby routery w sieci wewnętrznej kierować ruch IPv6 z powrotem przez serwer dostępu zdalnego.

  • Ręcznie skonfiguruj trasy IPv4 i IPv6 organizacji na serwerach dostępu zdalnego. Dodaj opublikowaną trasę, aby cały ruch z prefiksem IPv6 (/48) organizacji był przekazywany do sieci wewnętrznej. Ponadto w przypadku ruchu IPv4 dodaj jawne trasy, aby ruch IPv4 był przekazywany do sieci wewnętrznej.

Konfigurowanie zapór

W przypadku korzystania z dodatkowych zapór sieciowych we wdrożeniu zastosuj następujące wyjątki zapory dla ruchu skierowanego do Internetu, dotyczącego dostępu zdalnego, gdy serwer dostępu zdalnego znajduje się w Internecie IPv4.

  • Ruch 6to4 -IP w protokole 41 przychodzący i wychodzący.

  • IP-HTTPS -Transmission port docelowy 443 protokołu TCP i port źródłowy TCP 443 wychodzący. Gdy serwer dostępu zdalnego ma jedną kartę sieciową, a serwer lokalizacji sieciowej znajduje się na serwerze dostępu zdalnego, wymagany jest również port TCP 62000.

    Note

    To wykluczenie musi być skonfigurowane na serwerze dostępu zdalnego. Wszystkie inne wykluczenia muszą być skonfigurowane na zaporze brzegowej.

Note

W przypadku ruchu Teredo i 6to4 należy zastosować te wyjątki dla obu publicznych adresów IPv4 skierowanych do Internetu na serwerze dostępu zdalnego. W przypadku IP-HTTPS wyjątki muszą być stosowane tylko dla adresu, do którego jest rozpoznawana nazwa zewnętrzna serwera.

W przypadku korzystania z dodatkowych zapór zastosuj następujące wyjątki zapory dostępne z Internetu dla ruchu dostępu zdalnego, gdy serwer dostępu zdalnego znajduje się w Internecie IPv6:

  • Protokół IP 50

  • Port UDP 500 docelowy dla ruchu przychodzącego i port UDP 500 źródłowy dla ruchu wychodzącego.

W przypadku korzystania z dodatkowych zapór zastosuj następujące wyjątki zapory sieci wewnętrznej dla ruchu dostępu zdalnego:

  • ISATAP -Protocol 41 przychodzący i wychodzący

  • TCP/UDP dla całego ruchu IPv4/IPv6

Konfigurowanie serwera DNS

Należy ręcznie skonfigurować wpis DNS dla witryny serwera lokalizacji sieciowej w sieci wewnętrznej we wdrożeniu.

Aby utworzyć serwer lokalizacji sieciowej i rekordy DNS dla sondy NCSI

  1. Na serwerze DNS sieci wewnętrznej uruchom polecenie dnsmgmt.msc , a następnie naciśnij ENTER.

  2. W okienku po lewej stronie konsoli Menedżera DNS rozwiń strefę wyszukiwania do przodu dla domeny. Kliknij prawym przyciskiem myszy domenę i kliknij pozycję Nowy host (A lub AAAA).

  3. W oknie dialogowym Nowy host w polu Nazwa (używa nazwy domeny nadrzędnej, jeśli jest pusta) wprowadź nazwę DNS witryny sieci Web serwera lokalizacji sieciowej (jest to nazwa, która jest używana przez klientów funkcji DirectAccess do łączenia się z serwerem lokalizacji sieciowej). W polu Adres IP wprowadź adres IPv4 serwera lokalizacji sieciowej, a następnie kliknij przycisk Dodaj hosta. W oknie dialogowym DNS kliknij przycisk OK.

  4. W oknie dialogowym Nowy host w polu Nazwa (używa nadrzędnej nazwy domeny, jeśli jest pusta) wprowadź nazwę DNS dla sondy sieci Web (nazwa domyślnej sondy sieci Web to directaccess-webprobehost). W polu Adres IP wprowadź adres IPv4 sondy internetowej, a następnie kliknij przycisk Dodaj hosta. Powtórz ten proces dla komponentu "directaccess-corpconnectivityhost" i wszystkich ręcznie utworzonych weryfikatorów łączności. W oknie dialogowym DNS kliknij przycisk OK.

  5. Kliknij Gotowe.

Polecenia równoważne programu Windows PowerShell programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Należy również skonfigurować wpisy DNS dla następujących elementów:

  • Klienci IP-HTTPS serwera -DirectAccess muszą mieć możliwość rozpoznawania nazwy DNS serwera dostępu zdalnego z Internetu.

  • Sprawdzanie odwołania listy CRL -DirectAccess używa sprawdzania odwołania certyfikatów dla połączenia IP-HTTPS między klientami funkcji DirectAccess i serwerem dostępu zdalnego, a także dla połączenia opartego na protokole HTTPS między klientem funkcji DirectAccess a serwerem lokalizacji sieciowej. W obu przypadkach klienci DirectAccess muszą mieć możliwość rozpoznania i dostępu do lokalizacji punktu dystrybucji CRL.

Konfigurowanie usługi Active Directory

Serwer dostępu zdalnego i wszystkie komputery klienckie funkcji DirectAccess muszą być przyłączone do domeny usługi Active Directory. Komputery klienckie funkcji DirectAccess muszą należeć do jednego z następujących typów domen:

  • Domeny należące do tego samego lasu co serwer dostępu zdalnego.

  • Domeny należące do lasów z dwukierunkowym zaufaniem z lasem serwera dostępu zdalnego.

  • Domeny, które mają dwukierunkową relację zaufania domeny z domeną serwera dostępu zdalnego.

Aby dołączyć serwer zdalnego dostępu do domeny

  1. W Menedżerze serwera kliknij pozycję Serwer lokalny. W okienku szczegółów kliknij link obok pozycji Nazwa komputera.

  2. W oknie dialogowym Właściwości systemu kliknij kartę Nazwa komputera . Na karcie Nazwa komputera kliknij przycisk Zmień.

  3. W polu Nazwa komputera wpisz nazwę komputera, jeśli zmieniasz również nazwę komputera podczas dołączania serwera do domeny. W obszarze Element członkowski kliknij pozycję Domena, a następnie wpisz nazwę domeny, do której chcesz dołączyć serwer; na przykład corp.contoso.com, a następnie kliknij przycisk OK.

  4. Po wyświetleniu monitu o podanie nazwy użytkownika i hasła wprowadź nazwę użytkownika i hasło użytkownika z uprawnieniami do dołączania komputerów do domeny, a następnie kliknij przycisk OK.

  5. Gdy zostanie wyświetlone okno dialogowe powitalne w domenie, kliknij przycisk OK.

  6. Po wyświetleniu monitu o ponowne uruchomienie komputera kliknij przycisk OK.

  7. W oknie dialogowym Właściwości systemu kliknij przycisk Zamknij.

  8. Po wyświetleniu monitu o ponowne uruchomienie komputera kliknij przycisk Uruchom ponownie teraz.

Aby dołączyć komputery klienckie do domeny

  1. Uruchom explorer.exe.

  2. Kliknij prawym przyciskiem myszy ikonę Komputer, a następnie kliknij polecenie Właściwości.

  3. Na stronie System kliknij pozycję Zaawansowane ustawienia systemowe.

  4. W oknie dialogowym Właściwości systemu na karcie Nazwa komputera kliknij przycisk Zmień.

  5. W polu Nazwa komputera wpisz nazwę komputera, jeśli zmieniasz również nazwę komputera podczas dołączania serwera do domeny. W obszarze Element członkowski kliknij pozycję Domena, a następnie wpisz nazwę domeny, do której chcesz dołączyć serwer; na przykład corp.contoso.com, a następnie kliknij przycisk OK.

  6. Po wyświetleniu monitu o podanie nazwy użytkownika i hasła wprowadź nazwę użytkownika i hasło użytkownika z uprawnieniami do dołączania komputerów do domeny, a następnie kliknij przycisk OK.

  7. Gdy zostanie wyświetlone okno dialogowe powitalne w domenie, kliknij przycisk OK.

  8. Po wyświetleniu monitu o ponowne uruchomienie komputera kliknij przycisk OK.

  9. W oknie dialogowym Właściwości systemu kliknij przycisk Zamknij. Po wyświetleniu monitu kliknij przycisk Uruchom ponownie teraz.

Polecenia równoważne programu Windows PowerShell programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

Pamiętaj, że po wprowadzeniu poniższego polecenia Add-Computer należy podać poświadczenia domeny.

Add-Computer -DomainName <domain_name>
Restart-Computer

Konfigurowanie obiektów zasad grupy

Aby wdrożyć dostęp zdalny, wymagane jest co najmniej dwa obiekty zasad grupy: jeden obiekt zasad grupy zawiera ustawienia serwera dostępu zdalnego i jeden zawiera ustawienia dla komputerów klienckich funkcji DirectAccess. Podczas konfigurowania dostępu zdalnego kreator automatycznie tworzy wymagany obiekt zasad grupy. Jeśli jednak organizacja wymusza konwencję nazewnictwa lub nie masz wymaganych uprawnień do tworzenia lub edytowania obiektów zasad grupy, należy je utworzyć przed skonfigurowaniem dostępu zdalnego.

Aby utworzyć obiekt zasad grupy, zobacz Tworzenie i edytowanie obiektu zasad grupy.

Important

Administrator może ręcznie połączyć obiekt zasad grupy funkcji DirectAccess z jednostką organizacyjną, wykonując następujące kroki:

  1. Przed skonfigurowaniem funkcji DirectAccess połącz utworzone obiekty zasad grupy z odpowiednimi jednostkami organizacyjnymi.
  2. Skonfiguruj funkcję DirectAccess, określając grupę zabezpieczeń dla komputerów klienckich.
  3. Administrator może lub nie ma uprawnień do łączenia obiektów zasad grupy z domeną. W obu przypadkach obiekty zasad grupy zostaną skonfigurowane automatycznie. Jeśli obiekty zasad grupy są już połączone z jednostki organizacyjnej, łącza nie zostaną usunięte. Obiekty zasad grupy nie będą również połączone z domeną. W przypadku obiektu zasad grupy serwera jednostka organizacyjna musi zawierać obiekt komputera serwera, w przeciwnym razie obiekt zasad grupy zostanie połączony z katalogem głównym domeny.
  4. Jeśli łączenie z jednostką organizacyjną nie zostało wykonane przed uruchomieniem kreatora funkcji DirectAccess, po zakończeniu konfiguracji administrator może połączyć obiekty zasad grupy funkcji DirectAccess z wymaganymi jednostkami organizacyjnymi. Link do domeny można usunąć. Kroki łączenia obiektu zasad grupy z jednostką organizacyjną można znaleźć tutaj

Note

Jeśli obiekt zasad grupy został utworzony ręcznie, jest możliwe podczas konfiguracji funkcji DirectAccess, że obiekt zasad grupy nie będzie dostępny. Obiekt zasad grupy mógł nie zostać zreplikowany do najbliższego kontrolera domeny na komputerze zarządzania. W takim przypadku administrator może poczekać na zakończenie replikacji lub wymusić replikację.

Warning

Używanie jakichkolwiek środków innych niż Kreator instalacji funkcji DirectAccess do konfigurowania funkcji DirectAccess, takich jak modyfikowanie obiektów zasad grupy funkcji DirectAccess bezpośrednio lub ręczne modyfikowanie domyślnych ustawień zasad na serwerze lub kliencie, nie jest obsługiwane.

Konfigurowanie grup zabezpieczeń

Ustawienia funkcji DirectAccess zawarte w obiektach zasad grupy komputera klienckiego są stosowane tylko do komputerów, które są członkami grup zabezpieczeń, które są określone podczas konfigurowania dostępu zdalnego.

Aby utworzyć grupę zabezpieczeń dla klientów DirectAccess

  1. Uruchom plik dsa.msc. W konsoli Użytkownicy i komputery usługi Active Directory w okienku po lewej stronie rozwiń domenę, która będzie zawierać grupę zabezpieczeń, kliknij prawym przyciskiem myszy pozycję Użytkownicy, wskaż polecenie Nowy, a następnie kliknij pozycję Grupa.

  2. W oknie dialogowym Nowy obiekt — grupa w obszarze Nazwa grupy wprowadź nazwę grupy zabezpieczeń.

  3. W obszarze Zakres grupy kliknij pozycję Globalny, w obszarze Typ grupy kliknij pozycję Zabezpieczenia, a następnie kliknij przycisk OK.

  4. Kliknij dwukrotnie grupę zabezpieczeń komputerów klienckich funkcji DirectAccess, a następnie w oknie dialogowym właściwości kliknij kartę Członkowie .

  5. Na karcie Członkowie kliknij przycisk Dodaj.

  6. W oknie dialogowym Wybieranie użytkowników, kontaktów, komputerów lub kont usług wybierz komputery klienckie, które chcesz włączyć dla funkcji DirectAccess, a następnie kliknij przycisk OK.

Polecenia równoważne programu Windows PowerShell programu Windows PowerShell

Następujące polecenie cmdlet lub polecenia cmdlet w programie Windows PowerShell wykonują tę samą funkcję co poprzednia procedura. Wprowadź każde polecenie typu cmdlet w jednym wierszu, nawet jeśli mogą się one wyświetlać w kilku liniach z powodu ograniczeń formatowania.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
  • Last updated on