Udostępnij przez

Krok 1 Planowanie podstawowej infrastruktury DirectAccess

Pierwszym krokiem podstawowego wdrożenia funkcji DirectAccess na jednym serwerze jest zaplanowanie infrastruktury wymaganej do wdrożenia. W tym temacie opisano kroki planowania infrastruktury:

Task Description
Planowanie topologii sieci i ustawień Zdecyduj, gdzie umieścić serwer funkcji DirectAccess (na granicy lub za urządzeniem translatora adresów sieciowych NAT albo za zaporą) oraz zaplanuj adresowanie IP i routing.
Planowanie wymagań dotyczących zapory Plan zezwalania na DirectAccess przez zapory brzegowe.
Planowanie wymagań dotyczących certyfikatów Funkcja DirectAccess może używać protokołu Kerberos lub certyfikatów do uwierzytelniania klienta. W tym podstawowym wdrożeniu funkcji DirectAccess serwer proxy protokołu Kerberos jest automatycznie konfigurowany, a uwierzytelnianie odbywa się przy użyciu poświadczeń usługi Active Directory.
Planowanie wymagań dotyczących systemu DNS Zaplanuj ustawienia DNS dla serwera DirectAccess, serwerów infrastruktury i łączności klienta.
Planowanie usługi Active Directory Planowanie kontrolerów domeny i wymagań usługi Active Directory.
Zaplanuj obiekty zasad grupowych Zdecyduj, jakie obiekty zasad grupy są wymagane w organizacji i jak utworzyć lub edytować obiekty zasad grupy.

Zadania planowania nie muszą być wykonywane w określonej kolejności.

Planowanie topologii sieci i ustawień

Planowanie kart sieciowych i adresowania IP

  1. Zidentyfikuj topologię karty sieciowej, której chcesz użyć. Funkcję DirectAccess można skonfigurować przy użyciu jednej z następujących funkcji:

    • Dwie karty sieciowe — na brzegu z jedną kartą sieciową połączoną z Internetem, a drugą z siecią wewnętrzną, albo za translatorem adresów sieciowych, zaporą lub urządzeniem routera, z jedną kartą sieciową połączoną z siecią obwodową, a drugą z siecią wewnętrzną.

    • Za urządzeniem NAT z jedną kartą sieciową — serwer DirectAccess jest instalowany za urządzeniem NAT, a jedyna karta sieciowa jest podłączona do sieci wewnętrznej.

  2. Ustal swoje wymagania dotyczące adresowania IP:

    Funkcja DirectAccess używa protokołu IPv6 z protokołem IPsec, aby utworzyć bezpieczne połączenie między komputerami klienckimi funkcji DirectAccess i wewnętrzną siecią firmową. Jednak funkcja DirectAccess nie musi wymagać łączności z Internetem IPv6 lub natywną obsługą protokołu IPv6 w sieciach wewnętrznych. Zamiast tego automatycznie konfiguruje i używa technologii przejścia IPv6 do tunelowania ruchu IPv6 w sieci Internet IPv4 (6to4, Teredo, IP-HTTPS) i w intranecie opartym na IPv4 (NAT64 lub ISATAP). Aby zapoznać się z omówieniem tych technologii przejściowych, zobacz następujące zasoby:

  3. Skonfiguruj wymagane adaptery i adresowanie zgodnie z poniższą tabelą. Podczas wdrażania za pomocą urządzenia NAT przy użyciu jednej karty sieciowej, skonfiguruj adresy IP używając tylko kolumny Wewnętrzna karta sieciowa.

    Description Zewnętrzna karta sieciowa Wewnętrzna karta sieciowa1 Wymagania dotyczące routingu
    Intranet IPv4 i Internet IPv4 Skonfiguruj następujące elementy:

    — jeden statyczny publiczny adres IPv4 z odpowiednią maską podsieci.
    - Domyślny adres IPv4 bramy zapory internetowej lub lokalnego routera usługodawcy internetowego.

    		 Skonfiguruj następujące elementy:

    — adres intranetowy IPv4 z odpowiednią maską podsieci.
    - Sufiks DNS specyficzny dla połączenia Twojej przestrzeni nazw w intranecie. Serwer DNS musi być również skonfigurowany w interfejsie wewnętrznym.
    — Nie należy konfigurować bramy domyślnej w żadnych interfejsach intranetowych.

    		 Aby skonfigurować serwer funkcji DirectAccess, aby uzyskać dostęp do wszystkich podsieci w wewnętrznej sieci IPv4, wykonaj następujące czynności:

    1. Wyświetl listę przestrzeni adresowych IPv4 dla wszystkich lokalizacji w intranecie.
    2. Użyj polecenia route add -p lub netsh interface ipv4 add route, aby dodać przestrzenie adresowe IPv4 jako trasy statyczne w tabeli routingu IPv4 serwera DirectAccess.
    Internet IPv6 i intranet IPv6 Skonfiguruj następujące elementy:

    — Użyj konfiguracji adresu automatycznie skonfigurowanego dostarczonego przez usługodawcę internetowego.
    — Użyj polecenia route print , aby upewnić się, że domyślna trasa IPv6 wskazująca router isP istnieje w tabeli routingu IPv6.
    - Określ, czy usługodawca internetowy i routery intranetowe korzystają z domyślnych preferencji routera opisanych w specyfikacji RFC 4191, i czy posiadają wyższą domyślną preferencję niż lokalne routery intranetowe. Jeśli obie te wartości są prawdziwe, nie jest wymagana żadna inna konfiguracja trasy domyślnej. Wyższa preferencja routera usługodawcy internetowego gwarantuje, że aktywna domyślna trasa IPv6 serwera DirectAccess wskazuje na sieć IPv6 Internet.

    Ponieważ serwer DirectAccess jest routerem IPv6, jeśli masz natywną infrastrukturę IPv6, interfejs internetowy może także łączyć się z kontrolerami domeny w intranecie. W takim przypadku dodaj filtry pakietów do kontrolera domeny w sieci obwodowej, które uniemożliwiają łączność z adresem IPv6 interfejsu skierowanego na Internet serwera DirectAccess.

    		 Skonfiguruj następujące elementy:

    — Jeśli nie używasz domyślnych poziomów preferencji, skonfiguruj interfejsy intranetowe przy użyciu interfejsu netsh ipv6 set InterfaceIndex ignoredefaultroutes=enabled polecenia. To polecenie gwarantuje, że dodatkowe trasy domyślne wskazujące routery intranetowe nie zostaną dodane do tabeli routingu IPv6. Indeks interfejsów intranetowych można uzyskać z wyświetlenia wyniku polecenia netsh interface show interface.

    		 Jeśli masz intranet IPv6, skonfiguruj serwer DirectAccess, aby uzyskać dostęp do wszystkich lokalizacji IPv6, wykonaj następujące czynności:

    1. Wyświetl listę przestrzeni adresowych IPv6 dla wszystkich lokalizacji w intranecie.
    2. Użyj polecenia netsh interface ipv6 add route, aby dodać przestrzenie adresowe IPv6 jako trasy statyczne w tabeli routingu IPv6 serwera DirectAccess.
    Internet IPv4 i intranet IPv6 Serwer DirectAccess przekazuje domyślny ruch IPv6 przy użyciu interfejsu adaptera Microsoft 6to4 do przekaźnika 6to4 w Internecie IPv4. Serwer funkcji DirectAccess można skonfigurować dla adresu IPv4 przekaźnika microsoft 6to4 w Internecie IPv4 (używany, gdy natywny protokół IPv6 nie jest wdrożony w sieci firmowej) za pomocą następującego polecenia: netsh interface ipv6 6to4 set relay name=192.88.99.1 state=enabled polecenia.

    Note

    Należy zwrócić uwagę na następujące kwestie:

    1. Jeśli klient funkcji DirectAccess ma przypisany publiczny adres IPv4, użyje technologii przejścia 6to4 w celu nawiązania połączenia z intranetem. Jeśli klient DirectAccess nie może nawiązać połączenia z serwerem DirectAccess z protokołem 6to4, użyje protokołu IP-HTTPS.
    2. Komputery klienckie z natywnym IPv6 mogą łączyć się z serwerem DirectAccess za pośrednictwem natywnego protokołu IPv6 i nie jest wymagana technologia przejściowa.

Planowanie wymagań dotyczących zapory

Jeśli serwer DirectAccess znajduje się za firewallem brzegowym, następujące wyjątki będą wymagane dla ruchu DirectAccess, gdy serwer DirectAccess znajduje się w Internecie IPv4.

  • Ruch 6to4 — Protokół IP 41 przychodzący i wychodzący.

  • IP-HTTPS-Transmission protokół kontrolny (TCP) z docelowym portem 443 i wychodzącym portem źródłowym TCP 443.

  • W przypadku wdrażania funkcji DirectAccess z jedną kartą sieciową i instalowania serwera lokalizacji sieciowej na serwerze funkcji DirectAccess należy również wykluczyć port TCP 62000.

    Note

    To wyjątek znajduje się na serwerze DirectAccess. Wszystkie pozostałe wyjątki znajdują się w zaporze brzegowej.

Następujące wyjątki będą wymagane w przypadku ruchu funkcji DirectAccess, gdy serwer funkcji DirectAccess znajduje się w Internecie IPv6:

  • Protokół IP 50

  • Port docelowy UDP 500 przychodzący i źródłowy port UDP 500 wychodzący.

W przypadku korzystania z dodatkowych zapór zastosuj następujące wyjątki zapory sieci wewnętrznej dla ruchu DirectAccess:

  • ISATAP — protokół 41 przychodzący i wychodzący

  • TCP/UDP dla całego ruchu IPv4/IPv6

Planowanie wymagań dotyczących certyfikatów

Wymagania dotyczące certyfikatów protokołu IPsec obejmują certyfikat komputera używany przez komputery klienckie funkcji DirectAccess podczas ustanawiania połączenia IPsec między klientem a serwerem funkcji DirectAccess oraz certyfikat komputera używany przez serwery funkcji DirectAccess do ustanawiania połączeń IPsec z klientami funkcji DirectAccess. W przypadku funkcji DirectAccess w systemach Windows Server 2012 R2 i Windows Server 2012 korzystanie z tych certyfikatów protokołu IPsec nie jest obowiązkowe. Kreator Pierwszych Kroków konfiguruje serwer DirectAccess do działania jako proxy Kerberos do uwierzytelniania IPsec bez konieczności używania certyfikatów.

  1. serwerIP-HTTPS. Podczas konfigurowania DirectAccess serwer DirectAccess jest automatycznie skonfigurowany do działania jako nasłuchiwacz IP-HTTPS sieci Web. Witryna IP-HTTPS wymaga certyfikatu strony internetowej, a komputery klienckie muszą potrafić połączyć się z witryną listy unieważnienia certyfikatów (CRL) dla certyfikatu. Kreator włączania DirectAccess próbuje użyć certyfikatu VPN SSTP. Jeśli protokół SSTP nie jest skonfigurowany, sprawdza, czy certyfikat dla IP-HTTPS znajduje się w osobistym magazynie certyfikatów komputera. Jeśli żadna z nich nie jest dostępna, automatycznie tworzy certyfikat z podpisem własnym.

  2. Serwer lokalizacji sieciowej. Serwer lokalizacji sieciowej to witryna internetowa służąca do wykrywania, czy komputery klienckie znajdują się w sieci firmowej. Serwer lokalizacji sieciowej wymaga certyfikatu witryny sieci Web. Klienci funkcji DirectAccess muszą mieć możliwość skontaktowania się z lokacją listy CRL dla certyfikatu. Kreator Włączania dostępu zdalnego sprawdza, czy certyfikat serwera lokalizacji sieciowej znajduje się w osobistym magazynie certyfikatów na komputerze. Jeśli nie istnieje, automatycznie tworzy certyfikat z podpisem własnym.

Wymagania dotyczące certyfikacji dla każdego z tych elementów zostały podsumowane w poniższej tabeli:

Uwierzytelnianie IPsec serwer IP-HTTPS Serwer lokalizacji sieciowej
Wewnętrzny urząd certyfikacji jest wymagany do wystawiania certyfikatów komputerowych dla serwera DirectAccess i klientów do uwierzytelniania w protokole IPsec, gdy nie używasz serwera proxy Kerberos do uwierzytelniania. Publiczny urząd certyfikacji — zaleca się użycie publicznego urzędu certyfikacji do wystawiania certyfikatu IP-HTTPS, co gwarantuje, że punkt dystrybucji listy CRL jest dostępny zewnętrznie. Wewnętrzny urząd certyfikacji — do wystawiania certyfikatu witryny sieci web serwera lokalizacji sieciowej można użyć wewnętrznego urzędu certyfikacji. Upewnij się, że punkt dystrybucji CRL jest wysoce dostępny z sieci wewnętrznej.
Wewnętrzny urząd certyfikacji — do wystawiania certyfikatu IP-HTTPS można użyć wewnętrznego urzędu certyfikacji; należy jednak upewnić się, że punkt dystrybucji listy CRL jest dostępny zewnętrznie. Certyfikat z podpisem własnym — możesz użyć certyfikatu z podpisem własnym dla witryny sieci Web serwera lokalizacji sieciowej; nie można jednak używać certyfikatu z podpisem własnym we wdrożeniach obejmujących wiele lokacji.
Certyfikat z podpisem własnym — możesz użyć certyfikatu z podpisem własnym dla serwera IP-HTTPS; należy jednak upewnić się, że punkt dystrybucji listy CRL jest dostępny zewnętrznie. Certyfikat z podpisem własnym nie może być używany we wdrożeniu w wielu lokacjach.

Plan certyfikatów dla serwera IP-HTTPS i serwera lokalizacji sieciowej

Jeśli chcesz aprowizować certyfikat do tych celów, zobacz Wdrażanie pojedynczego serwera funkcji DirectAccess przy użyciu ustawień zaawansowanych. Jeśli nie są dostępne żadne certyfikaty, kreator pierwszych kroków automatycznie tworzy samopodpisane certyfikaty dla tych celów.

Note

Jeśli aprowizujesz certyfikaty dla IP-HTTPS i serwera lokalizacji sieciowej ręcznie, upewnij się, że certyfikaty mają nazwę podmiotu. Jeśli certyfikat nie ma nazwy podmiotu, ale ma alternatywną nazwę, nie zostanie zaakceptowany przez kreatora DirectAccess.

Planowanie wymagań dotyczących systemu DNS

W przypadku wdrożenia funkcji DirectAccess usługa DNS jest wymagana dla następujących elementów:

  • Żądania klientów DirectAccess. System DNS służy do rozpoznawania żądań z komputerów klienckich funkcji DirectAccess, które nie znajdują się w sieci wewnętrznej. Klienci DirectAccess próbują nawiązać połączenie z serwerem lokalizacji sieciowej DirectAccess, aby określić, czy znajdują się w Internecie, czy w sieci firmowej. Jeśli połączenie powiedzie się, uznaje się, że klienci znajdują się w sieci wewnętrznej i funkcja DirectAccess nie jest używana. Wówczas żądania klientów są rozwiązywane przy użyciu serwera DNS skonfigurowanego na karcie sieciowej ich komputerów. Jeśli połączenie nie powiedzie się, zakłada się, że klienci znajdują się w Internecie. Klienci funkcji DirectAccess będą używać tabeli zasad rozpoznawania nazw (NRPT) do określenia, który serwer DNS ma być używany podczas rozpoznawania żądań nazw. Można określić, że klienci powinni używać funkcji DirectAccess DNS64 do rozpoznawania nazw lub alternatywnego wewnętrznego serwera DNS. Podczas rozpoznawania nazw, NRPT jest używana przez klientów funkcji DirectAccess do identyfikowania sposobu obsługi żądania. Klienci żądają nazwy FQDN lub nazwy pojedynczej etykiety, takiej jak http://internal. Jeśli nazwa z jedną etykietą jest żądana, sufiks DNS jest dołączany w celu utworzenia nazwy FQDN. Jeśli zapytanie DNS pasuje do wpisu w tabeli NRPT, a serwer DNS4 lub intranetowy serwer DNS jest określony dla wpisu, zapytanie jest wysyłane do rozpoznawania nazw przy użyciu określonego serwera. Jeśli istnieje dopasowanie, ale nie określono serwera DNS, oznacza to, że stosowana jest reguła zwolnienia i zastosowane jest normalne rozpoznawanie nazw.

    Po dodaniu nowego sufiksu do tabeli NRPT w konsoli zarządzania funkcji DirectAccess można automatycznie odnaleźć domyślne serwery DNS dla sufiksu, klikając przycisk Wykryj . Automatyczne wykrywanie działa w następujący sposób:

    1. Jeśli sieć firmowa jest oparta na protokole IPv4 lub IPv4 i IPv6, domyślnym adresem jest adres DNS64 karty wewnętrznej na serwerze funkcji DirectAccess.

    2. Jeśli sieć firmowa jest oparta na protokole IPv6, domyślnym adresem jest adres IPv6 serwerów DNS w sieci firmowej.

Note

Począwszy od aktualizacji systemu Windows 10 maja 2020 r., klient nie rejestruje już swoich adresów IP na serwerach DNS skonfigurowanych w tabeli zasad rozpoznawania nazw (NRPT). Jeśli wymagana jest rejestracja DNS, na przykład Zarządzaj out, można ją jawnie włączyć za pomocą tego klucza rejestru na kliencie:

Ścieżka: HKLM\System\CurrentControlSet\Services\Dnscache\Parameters
Typ: DWORD
Nazwa wartości: DisableNRPTForAdapterRegistration
Values:
1 — rejestracja DNS jest wyłączona (domyślnie od czasu aktualizacji systemu Windows 10 maja 2020 r.)
0 — włączono rejestrację DNS

  • Serwery infrastruktury

    1. Serwer lokalizacji sieciowej. Klienci funkcji DirectAccess próbują uzyskać dostęp do serwera lokalizacji sieciowej, aby ustalić, czy znajdują się w sieci wewnętrznej. Klienci w sieci wewnętrznej muszą mieć możliwość rozpoznawania nazwy serwera lokalizacji sieciowej, ale należy uniemożliwić rozpoznawanie nazwy, gdy znajdują się w Internecie. Aby zapewnić, że to nastąpi, w domyśle jako reguła wykluczania do tabeli NRPT dodawana jest nazwa FQDN serwera lokalizacji sieciowej. Ponadto podczas konfigurowania funkcji DirectAccess są tworzone automatycznie następujące reguły:

      1. Reguła sufiksu DNS dla domeny głównej lub nazwy domeny serwera funkcji DirectAccess oraz adresy IPv6 odpowiadające intranetowym serwerom DNS skonfigurowanym na serwerze funkcji DirectAccess. Jeśli na przykład serwer DirectAccess jest członkiem domeny corp.contoso.com, zostanie utworzona reguła dla sufiksu DNS corp.contoso.com.

      2. Reguła zwolnienia dotycząca FQDN serwera lokalizacji sieciowej. Jeśli na przykład adres URL serwera lokalizacji sieciowej jest https://nls.corp.contoso.com, zostanie utworzona reguła wykluczania dla nazwy FQDN nls.corp.contoso.com.

      serwerIP-HTTPS. Serwer DirectAccess działa jako odbiornik IP-HTTPS i używa certyfikatu serwera do uwierzytelniania się u klientów IP-HTTPS. Nazwa IP-HTTPS musi być możliwa do rozpoznania przez klientów funkcji DirectAccess przy użyciu publicznych serwerów DNS.

      Weryfikatory łączności. Funkcja DirectAccess tworzy domyślną sondę sieci Web, którą komputery klienckie DirectAccess wykorzystują do weryfikacji łączności z siecią wewnętrzną. Aby upewnić się, że sonda działa zgodnie z oczekiwaniami, należy ręcznie zarejestrować następujące nazwy w systemie DNS:

      1. directaccess-webprobehost — powinien rozpoznawać wewnętrzny adres IPv4 serwera funkcji DirectAccess lub adres IPv6 w środowisku tylko do protokołu IPv6.

      2. directaccess-corpconnectivityhost — powinien rozpoznać adres localhost (sprzężenie zwrotne). Należy utworzyć rekord A i rekord AAAA, rekord A z wartością 127.0.0.1 i rekord AAAA z wartością utworzoną z prefiksu NAT64 z ostatnich 32 bitów jako 127.0.0.1. Prefiks NAT64 można pobrać, uruchamiając polecenie cmdlet get-netnattransitionconfiguration.

      Dodatkowe weryfikatory łączności można utworzyć przy użyciu innych adresów internetowych za pośrednictwem protokołu HTTP lub PING. Dla każdego weryfikatora łączności musi istnieć wpis DNS.

Wymagania dotyczące serwera DNS

  • W przypadku klientów funkcji DirectAccess należy użyć serwera DNS z systemem Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 lub dowolnego serwera DNS obsługującego protokół IPv6.

Note

Nie zaleca się używania serwerów DNS z systemem Windows Server 2003 podczas wdrażania funkcji DirectAccess. Mimo że serwery DNS systemu Windows Server 2003 obsługują rekordy IPv6, system Windows Server 2003 nie jest już obsługiwany przez firmę Microsoft. Ponadto nie należy wdrażać funkcji DirectAccess, jeśli kontrolery domeny korzystają z systemu Windows Server 2003 z powodu problemu z usługą replikacji plików. Aby uzyskać więcej informacji, zobacz Nieobsługiwane konfiguracje funkcji DirectAccess.

Planowanie serwera lokalizacji sieciowej

Serwer lokalizacji sieciowej to witryna internetowa służąca do wykrywania, czy klienci funkcji DirectAccess znajdują się w sieci firmowej. Klienci w sieci firmowej nie używają funkcji DirectAccess do uzyskania dostępu do zasobów wewnętrznych, ale zamiast tego łączą się bezpośrednio.

Kreator startowy automatycznie konfiguruje serwer lokalizacji sieciowej na serwerze DirectAccess, a witryna internetowa jest tworzona automatycznie podczas wdrażania DirectAccess. Umożliwia to prostą instalację bez korzystania z infrastruktury certyfikatów.

Jeśli chcesz wdrożyć serwer lokalizacji sieciowej i nie używać certyfikatów z podpisem własnym, zobacz Wdrażanie pojedynczego serwera funkcji DirectAccess z ustawieniami zaawansowanymi.

Planowanie usługi Active Directory

Funkcja DirectAccess używa usługi Active Directory i obiektów zasad grupy Active Directory w następujący sposób:

  • Authentication. Usługa Active Directory jest używana do uwierzytelniania. Tunel DirectAccess używa uwierzytelniania Kerberos, aby umożliwić użytkownikowi dostęp do zasobów wewnętrznych.

  • Obiekty zasad grupy. DirectAccess zbiera ustawienia konfiguracji do obiektów zasad grupowych, które są stosowane do serwerów DirectAccess i klientów.

  • Grupy zabezpieczeń. Funkcja DirectAccess używa grup zabezpieczeń do zbierania i identyfikowania komputerów klienckich DirectAccess oraz serwerów DirectAccess. Zasady grupy są stosowane dla wymaganej grupy zabezpieczeń.

Wymagania dotyczące usługi Active Directory

Podczas planowania usługi Active Directory dla wdrożenia funkcji DirectAccess wymagane są następujące elementy:

  • Co najmniej jeden kontroler domeny zainstalowany w systemie Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 lub Windows Server 2008.

    Jeśli kontroler domeny znajduje się w sieci obwodowej (i w związku z tym jest osiągalny przez kartę sieciową serwera DirectAccess wystawioną do internetu), uniemożliw serwerowi DirectAccess dotarcie do niego, dodając filtry pakietów na kontrolerze domeny, aby uniemożliwić łączność z adresem IP karty sieciowej skierowanej na internet.

  • Serwer funkcji DirectAccess musi być członkiem domeny.

  • Klienci funkcji DirectAccess muszą być członkami domeny. Klienci mogą należeć do:

    • Dowolna domena w tym samym lesie co serwer funkcji DirectAccess.

    • Każda domena, która ma zaufanie dwukierunkowe z domeną serwera DirectAccess.

    • Każda domena w lesie domen, która ma dwukierunkową relację zaufania z lasem domen, do którego należy domena DirectAccess.

Note

  • Serwer funkcji DirectAccess nie może być kontrolerem domeny.
  • Kontroler domeny usługi Active Directory używany dla DirectAccess nie może być osiągalny z zewnętrznego adaptera sieciowego serwera DirectAccess (adapter nie może znajdować się w profilu domeny Zapory systemu Windows).

Zaplanuj obiekty zasad grupowych

Ustawienia funkcji DirectAccess skonfigurowane podczas konfigurowania funkcji DirectAccess są zbierane do obiektów zasad grupy (GPO). Dwa różne obiekty zasad grupy są konfigurowane ustawieniami DirectAccess i rozprowadzane w następujący sposób:

  • GPO klienta DirectAccess. Ten GPO zawiera ustawienia klienta, w tym ustawienia technologii przejściowej IPv6, wpisy NRPT i zaporę systemu Windows z zaawansowanymi zabezpieczeniami oraz reguły zabezpieczeń połączeń. GPO jest stosowany do grup zabezpieczeń określonych dla komputerów klienckich.

  • GPO serwera DirectAccess. Ten GPO zawiera ustawienia konfiguracji DirectAccess, które są stosowane do dowolnego serwera skonfigurowanego jako serwer DirectAccess w twoim wdrożeniu. Zawiera również zaporę systemu Windows z regułami zabezpieczeń połączeń zaawansowanych.

Obiekty zasad grupy można skonfigurować na dwa sposoby:

  1. Automatically. Można określić, że są one tworzone automatycznie. Dla każdego obiektu zasad grupy jest określona nazwa domyślna. Obiekty zasad grupy są tworzone automatycznie przez Kreatora Pierwszych Kroków.

  2. Manually. Można użyć obiektów zasad grupy, które zostały wstępnie zdefiniowane przez administratora Active Directory.

Należy pamiętać, że po skonfigurowaniu funkcji DirectAccess do używania określonych obiektów zasad grupy nie można skonfigurować do używania różnych obiektów zasad grupy.

Important

Niezależnie od tego, czy używasz automatycznie, czy ręcznie skonfigurowanych obiektów zasad grupy, musisz dodać zasady do wykrywania powolnego łącza, jeśli klienci będą używać sieci 3G. Ścieżka zasad grupy dla Zasady: Konfigurowanie wykrywania powolnego łącza zasad grupy to: Konfiguracja komputera / Zasady / Szablony administracyjne / System / Zasady grupy.

Caution

Aby wykonać kopię zapasową wszystkich obiektów zasad grupy DirectAccess przed uruchomieniem poleceń cmdlet DirectAccess, użyj procedury Jak wykonać kopię zapasową i przywrócić konfigurację DirectAccess

Automatycznie utworzone obiekty zasad grupy

Używając automatycznie tworzonych GPO, pamiętaj o następujących kwestiach:

Automatycznie utworzone repozytoria zasad grupy są stosowane zgodnie z lokalizacją i parametrem docelowym łącza w następujący sposób:

  • W przypadku obiektu zasad grupy dla serwera DirectAccess parametry lokalizacji i łącza wskazują domenę zawierającą serwer DirectAccess.

  • Po utworzeniu obiektów zasad grupy klienta lokalizacja jest ustawiona na jedną domenę, w której zostanie utworzony obiekt zasad grupy. Nazwa obiektu zasad grupy jest sprawdzana w każdej domenie i uzupełniana ustawieniami DirectAccess, jeśli taka istnieje. Element docelowy łącza jest ustawiony na katalog główny domeny, w której utworzono obiekt zasad grupy. Obiekt zasad grupy jest tworzony dla każdej domeny zawierającej komputery klienckie, a obiekt zasad grupy jest połączony z katalogiem głównym odpowiedniej domeny.

W przypadku korzystania z automatycznie utworzonych obiektów zasad grupy, aby zastosować ustawienia funkcji DirectAccess, administrator serwera funkcji DirectAccess wymaga następujących uprawnień:

  • Tworzenie uprawnień obiektu zasad grupy dla każdej domeny.

  • Połącz uprawnienia dla wszystkich wybranych katalogów głównych domeny klienta.

  • Uprawnienia łączy dla korzeni domen obiektów zasad grupy serwera.

  • Uprawnienia do tworzenia, edytowania, usuwania i modyfikowania zabezpieczeń są wymagane dla obiektów zasad grupy.

  • Zaleca się, aby administrator funkcji DirectAccess miał uprawnienia do odczytu GPO dla każdej wymaganej domeny. Dzięki temu funkcja DirectAccess może sprawdzić, czy obiekty zasad grupy o zduplikowanych nazwach nie istnieją podczas tworzenia obiektów zasad grupy.

Należy pamiętać, że jeśli nie istnieją poprawne uprawnienia do łączenia obiektów zasad grupy, zostanie wyświetlone ostrzeżenie. Operacja funkcji DirectAccess będzie kontynuowana, ale łączenie nie zostanie wykonane. Jeśli to ostrzeżenie zostanie wyświetlone, linki nie zostaną utworzone automatycznie, nawet po dodaniu uprawnień później. Zamiast tego administrator będzie musiał ręcznie utworzyć linki.

Ręcznie utworzone obiekty zasad grupy

Podczas korzystania z ręcznie utworzonych obiektów zasad grupy należy uwzględnić następujące punkty:

  • Obiekty zasad grupy powinny istnieć przed uruchomieniem kreatora konfiguracji dostępu zdalnego.

  • W przypadku używania ręcznie utworzonych obiektów zasad grupy w celu zastosowania ustawień funkcji DirectAccess administrator funkcji DirectAccess wymaga pełnych uprawnień obiektu zasad grupy (Edycja, Usuwanie, Modyfikowanie zabezpieczeń) w obiektach zasad grupy utworzonych ręcznie.

  • W przypadku korzystania z ręcznie utworzonych obiektów zasad grupy przeprowadzane jest wyszukiwanie odniesienia do obiektu zasad grupy w całej domenie. Jeśli obiekt zasad grupy (GPO) nie jest połączony w domenie, link automatycznie zostanie utworzony w jej katalogu głównym. Jeśli wymagane uprawnienia do utworzenia linku nie są dostępne, zostanie wyświetlone ostrzeżenie.

Należy pamiętać, że jeśli nie istnieją poprawne uprawnienia do łączenia obiektów zasad grupy, zostanie wyświetlone ostrzeżenie. Operacja funkcji DirectAccess będzie kontynuowana, ale łączenie nie zostanie wykonane. Jeśli to ostrzeżenie zostanie wydane, linki nie zostaną utworzone automatycznie, nawet jeśli uprawnienia zostaną dodane później. Zamiast tego administrator będzie musiał ręcznie utworzyć linki.

Odzyskiwanie po usuniętym obiekcie zasad grupy

Jeśli przypadkowo usunięto obiekt zasad grupy DirectAccess serwera, klienta lub serwera aplikacyjnego, a kopia zapasowa nie jest dostępna, musisz usunąć ustawienia konfiguracji i skonfigurować je ponownie. Jeśli kopia zapasowa jest dostępna, możesz przywrócić obiekt zasad grupy z kopii zapasowej.

Funkcja DirectAccess Management wyświetli następujący komunikat o błędzie: Nie można odnaleźć nazwy> obiektu zasad grupy<. Aby usunąć ustawienia konfiguracji, wykonaj następujące czynności:

  1. Uruchom polecenie cmdlet programu PowerShell Uninstall-remoteaccess.

  2. Otwórz ponownie zarządzanie funkcją DirectAccess.

  3. Zostanie wyświetlony komunikat o błędzie informujący, że obiekt zasad grupy nie został znaleziony. Kliknij pozycję Usuń ustawienia konfiguracji. Po zakończeniu serwer zostanie przywrócony do stanu nieskonfigurowanego.

  • Last updated on