Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Po zaplanowaniu infrastruktury DirectAccess, następnym krokiem we wdrażaniu DirectAccess na pojedynczym serwerze z podstawowymi ustawieniami jest zaplanowanie ustawień Kreatora Pierwszych Kroków.
| Task | Description |
|---|---|
| Planowanie wdrożenia oprogramowania klienta | Domyślnie Kreator wstępnej konfiguracji wdraża funkcję DirectAccess na wszystkich komputerach przenośnych w domenie, stosując filtr WMI do obiektu zasad grupy (GPO) ustawień klienta. |
| Planowanie wdrożenia serwera DirectAccess | Zaplanuj wdrażanie serwera DirectAccess. |
Planowanie wdrożenia oprogramowania klienta
Podczas planowania wdrożenia klienta należy podjąć dwie decyzje:
Czy funkcja DirectAccess będzie dostępna tylko dla komputerów przenośnych, czy na dowolnym komputerze?
Podczas konfigurowania klientów funkcji DirectAccess w Kreatorze szybkiego startu można zezwolić wyłącznie komputerom przenośnym w określonych grupach zabezpieczeń na łączenie się przy użyciu funkcji DirectAccess. Jeśli ograniczysz dostęp do komputerów przenośnych, funkcja DirectAccess automatycznie konfiguruje filtr WMI, aby upewnić się, że zasada GPO klienta DirectAccess jest stosowana tylko do komputerów przenośnych w określonych grupach zabezpieczeń. Administrator funkcji DirectAccess musi mieć uprawnienia do tworzenia lub modyfikowania filtrów WMI dla zasad grupowych, aby umożliwić włączenie tego ustawienia.
Jakie grupy zabezpieczeń będą zawierać komputery klienckie funkcji DirectAccess?
Ustawienia funkcji DirectAccess są zawarte w obiekcie zasad grupy klienta funkcji DirectAccess. Obiekt zasad grupowych jest stosowany do komputerów, które są częścią grup zabezpieczeń, określonych w kreatorze Pierwsze kroki. Możesz określić grupy zabezpieczeń zawarte w dowolnej obsługiwanej domenie. Przed skonfigurowaniem funkcji DirectAccess należy utworzyć grupy zabezpieczeń. Komputery można dodać do grupy zabezpieczeń po zakończeniu wdrażania DirectAccess, ale należy pamiętać, że jeśli do grupy zabezpieczeń dodawane są komputery klienckie z innej domeny, zasady grupy klienckiej nie zostaną do nich zastosowane. Jeśli na przykład utworzono sg1 w domenie A dla klientów funkcji DirectAccess, a później dodaj klientów z domeny B do tej grupy, obiekt zasad grupy klienta nie zostanie zastosowany do klientów w domenie B. Aby uniknąć tego problemu, utwórz nową grupę zabezpieczeń klienta dla każdej domeny zawierającej komputery klienckie. Alternatywnie, jeśli nie chcesz utworzyć nowej grupy zabezpieczeń, uruchom cmdlet Add-DAClient z nazwą nowego GPO dla nowej domeny.
Planowanie wdrożenia serwera DirectAccess
Podczas planowania wdrożenia serwera funkcji DirectAccess należy podjąć szereg decyzji:
Topologia sieci - Istnieją dwie topologie dostępne podczas wdrażania serwera DirectAccess:
Dwa adaptery - Przy użyciu dwóch adapterów sieciowych funkcję DirectAccess można skonfigurować z jednym adapterem sieciowym podłączonym bezpośrednio do Internetu i drugim połączonym z siecią wewnętrzną. Alternatywnie serwer jest instalowany za urządzeniem brzegowym, takim jak zapora lub router. W tej konfiguracji jedna karta sieciowa jest połączona z siecią obwodową, druga jest połączona z siecią wewnętrzną.
Pojedyncza karta sieciowa -In tej konfiguracji serwer funkcji DirectAccess jest instalowany za urządzeniem brzegowym, takim jak zapora lub router. Karta sieciowa jest podłączona do sieci wewnętrznej.
Karty sieciowe - Kreator DirectAccess automatycznie wykrywa karty sieciowe skonfigurowane na serwerze DirectAccess. Upewnij się, że na stronie Przegląd wybrano odpowiednie adaptery.
Certyfikat IP-HTTPS - Ponieważ w tym wdrożeniu nie jest wymagana infrastruktura kluczy publicznych, kreator automatycznie zapewnia certyfikaty podpisane własnoręcznie dla IP-HTTPS i serwera lokalizacji sieciowej (jeśli nie ma żadnych certyfikatów) oraz automatycznie włącza proxy Kerberos. Kreator umożliwia również funkcje NAT64 i DNS64 na potrzeby translacji protokołu w środowisku wyłącznie IPv4. Po pomyślnym zastosowaniu konfiguracji przez kreatora kliknij Zamknij.
Klienci systemu Windows 7 -You nie mogą włączyć obsługi klientów systemu Windows 7 z poziomu kreatora Wprowadzenie. Można to włączyć w Kreatorze Zaawansowanej Konfiguracji. Aby uzyskać więcej informacji, zobacz Wdrażanie pojedynczego serwera funkcji DirectAccess przy użyciu ustawień zaawansowanych.
Konfiguracja sieci VPN - Zanim skonfigurujesz funkcję DirectAccess, zdecyduj, czy chcesz zapewnić dostęp sieci VPN klientom zdalnym. Należy zapewnić dostęp do sieci VPN, jeśli masz komputery klienckie w organizacji, które nie obsługują łączności funkcji DirectAccess (ponieważ są niezarządzane lub uruchamiają system operacyjny, dla którego funkcja DirectAccess nie jest obsługiwana). Kreator uruchomienia konfiguruje przypisanie adresu IP VPN przy użyciu protokołu DHCP i konfiguruje klientów VPN do uwierzytelniania przy użyciu usługi Active Directory.
Wymuszone tunelowanie - Jeśli planujesz korzystać z wymuszonego tunelowania lub rozważasz jego dodanie w przyszłości, powinieneś użyć opcji Wdrażanie pojedynczego serwera DirectAccess z ustawieniami zaawansowanymi, aby wdrożyć konfigurację dwóch tuneli. Ze względu na względy bezpieczeństwa wymuszone tunelowanie w konfiguracji pojedynczego tunelu nie jest obsługiwane.