本主题介绍了如何在混合的 IPv4 和 IPv6 环境中配置基本 DirectAccess 部署所需的基础结构,该部署使用单台 DirectAccess 服务器。 在开始部署步骤之前,请确保已完成规划基本 DirectAccess 部署中所述的规划步骤。
| Task | Description |
|---|---|
| 配置服务器网络设置 | 配置 DirectAccess 服务器上的服务器网络设置。 |
| 配置企业网络中的路由 | 配置企业网络中的路由以确保正确地路由通信。 |
| 配置防火墙 | 根据需要配置其他防火墙。 |
| 配置 DNS 服务器 | 为 DirectAccess 服务器配置 DNS 设置。 |
| 配置 Active Directory | 将客户端计算机和 DirectAccess 服务器加入到 Active Directory 域。 |
| 配置 GPO | 如果必要,为部署配置 GPO。 |
| 配置安全组 | 配置将包含 DirectAccess 客户端计算机的安全组,以及部署中所需的任何其他安全组。 |
Note
此主题将介绍一些 Windows PowerShell cmdlet 示例,你可以使用它们来自动执行所述的一些步骤。 有关详细信息,请参阅 使用 cmdlet。
配置服务器网络设置
在使用 IPv4 和 IPv6 的环境中部署单一服务器需要下面的网络接口设置。 可使用“Windows 网络和共享中心”中的“更改适配器设置”配置所有 IP 地址。
边缘拓扑
一个面向 Internet 的公用静态 IPv4 或 IPv6 地址。
Note
Teredo 需要两个连续的公用 IPv4 地址。 如果你不使用 Teredo,则可以配置单个公用静态 IPv4 地址。
单个内部静态 IPv4 或 IPv6 地址。
在 NAT 设备后面(两个网络适配器)
单个面向内部网络的静态 IPv4 或 IPv6 地址。
单个面向外围网络的静态 IPv4 或 IPv6 地址。
在 NAT 设备后面(一个网络适配器)
- 单个静态 IPv4 或 IPv6 地址。
Note
如果 DirectAccess 服务器具有两个或更多网络适配器(一个归类于域配置文件,另一个归类于公用/专用配置文件),但要使用单个 NIC 拓扑,则建议是:
确保第二个 NIC 和任何其他 NIC 也归类于域配置文件。
如果出于任何原因,不能为域配置文件配置第二个 NIC,则必须使用以下 Windows PowerShell 命令手动将 DirectAccess IPsec 策略的作用域覆盖到所有配置文件:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionIPsec 策略的名称是 DirectAccess-DaServerToInfra 和 DirectAccess-DaServerToCorp。
配置企业网络中的路由
在企业网络中配置路由,如下所示:
在组织中部署本机 IPv6 时,添加一个路由,以便内部网络上的路由器通过远程访问服务器将 IPv6 通信路由回来。
在远程访问服务器上手动配置组织 IPv4 和 IPv6 路由。 添加已发布的路由,以便将所有具有组织 (/48) IPv6 前缀的通信都转发到内部网络。 此外,对于 IPv4 通信,请添加显式路由,以便将 IPv4 通信转发到内部网络。
配置防火墙
在部署中使用其他防火墙的情况下,当远程访问服务器位于 IPv4 Internet 上时,应用远程访问通信的以下面向 Internet 的防火墙例外情况:
6to4 通信 - IP 协议 41 入站和出站。
IP-HTTPS - 传输控制协议 (TCP) 目标端口 443,以及 TCP 源端口 443 出站。 当远程访问服务器配有单一网络适配器,且网络位置服务器位于远程访问服务器上时,还需要 TCP 端口 62000。
Note
必须在远程访问服务器上配置免除。 必须在边缘防火墙上配置所有其他免除。
Note
对于 Teredo 和 6to4 通信,这些例外应适用于远程访问服务器上两个面向 Internet 的连续公用 IPv4 地址。 对于 IP-HTTPS,仅需将例外情况应用于外部服务器名称解析为的地址。
在使用其他防火墙的情况下,当远程访问服务器位于 IPv6 Internet 上时,应用远程访问通信的以下面向 Internet 的防火墙例外:
IP 协议 50
UDP 目标端口 500 入站,以及 UDP 源端口 500 出站。
当使用其它防火墙时,应用远程访问通信的以下内部网络防火墙例外情况:
ISATAP - 协议 41 入站和出站
所有 IPv4/IPv6 通信的 TCP/UDP
配置 DNS 服务器
你必须为部署中的内部网络手动配置用于网络位置服务器网站的 DNS 条目。
创建网络位置服务器和 NCSI 探测 DNS 记录
在内部网络 DNS 服务器上,运行 dnsmgmt.msc ,然后按 Enter。
在 DNS 管理器 控制台的左窗格中,展开域的向前查找区域。 右键单击该域,然后单击“新建主机(A 或 AAAA)”。
在 “新建主机 ”对话框中的“ 名称”(如果为空 )框中,输入网络位置服务器网站的 DNS 名称(这是 DirectAccess 客户端用于连接到网络位置服务器的名称)。 在 IP 地址 框中,输入网络位置服务器的 IPv4 地址,然后单击“ 添加主机”。 在 “DNS ”对话框中,单击“ 确定”。
在 “新建主机 ”对话框中的“ 名称(如果为空) ”框中,输入 Web 探测的 DNS 名称(默认 Web 探测的名称为 directaccess-webprobehost)。 在 IP 地址 框中,输入 Web 探测的 IPv4 地址,然后单击“ 添加主机”。 为 directaccess corpconnectivityhost 和任何手动创建的连接性验证程序重复此过程。 在 “DNS ”对话框中,单击“ 确定”。
单击“完成”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
还必须为以下内容配置 DNS 条目:
IP-HTTPS 服务器 - DirectAccess 客户端必须能够解析 Internet 上的远程访问服务器的 DNS 名称。
CRL 吊销检查 - DirectAccess 将对 DirectAccess 客户端和远程访问服务器之间的 IP-HTTPS 连接,以及 DirectAccess 客户端和网络位置服务器之间基于 HTTPS 的连接使用证书吊销检查。 在这两种情况下,DirectAccess 客户端都必须能够解析和访问 CRL 分发点位置。
配置 Active Directory
必须将远程访问服务器和所有 DirectAccess 客户端计算机都加入 Active Directory 域。 DirectAccess 客户端计算机必须是以下域类型之一的成员:
与远程访问服务器属于同一林的域。
属于与远程访问服务器林具有双向信任关系的林的域。
与远程访问服务器域具有双向域信任的域。
将远程访问服务器加入域
在服务器管理器中,单击 “本地服务器”。 在详细信息窗格中,单击 “计算机名称”旁边的链接。
在“ 系统属性 ”对话框中,单击“ 计算机名称 ”选项卡。在“ 计算机名称 ”选项卡上,单击“ 更改”。
在 “计算机名称”中,如果在将服务器加入域时也更改计算机名称,请键入计算机的名称。 在 “成员”下,单击“ 域”,然后键入要加入服务器的域的名称;例如,corp.contoso.com,然后单击“ 确定”。
当系统提示输入用户名和密码时,输入有权将计算机加入域的用户的用户名和密码,然后单击“ 确定”。
看到欢迎你访问域的对话框时,请单击“ 确定”。
出现提示时,必须重新启动计算机,请单击“ 确定”。
在“ 系统属性 ”对话框中,单击“ 关闭”。
当系统提示重启计算机时,请单击“ 立即重启”。
将客户端计算机加入域
运行 explorer.exe。
右键单击“计算机”图标,然后单击“ 属性”。
在 “系统 ”页上,单击“ 高级系统设置”。
在“ 系统属性 ”对话框中的“ 计算机名称 ”选项卡上,单击“ 更改”。
在 “计算机名称”中,如果同时在将服务器加入域时更改计算机名称,请键入计算机的名称。 在 “成员”下,单击“ 域”,然后键入要加入服务器的域的名称;例如,corp.contoso.com,然后单击“ 确定”。
当系统提示输入用户名和密码时,输入有权将计算机加入域的用户的用户名和密码,然后单击“ 确定”。
看到欢迎你访问域的对话框时,请单击“ 确定”。
出现提示时,必须重新启动计算机,请单击“ 确定”。
在“ 系统属性 ”对话框中,单击“关闭”。 出现提示时,单击“ 立即重启 ”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
请注意,输入下面的 Add-Computer 命令后,必须提供域凭据。
Add-Computer -DomainName <domain_name>
Restart-Computer
配置 GPO
为了部署远程访问,你至少需要两个组策略对象:一个组策略对象包含用于远程访问服务器的设置,另一个包含用于 DirectAccess 客户端计算机的设置。 配置远程访问时,向导将自动创建所需的组策略对象。 但是,如果你的组织强制使用命名约定,或者你没有创建或编辑组策略对象所需的权限,则必须在配置远程访问之前创建它们。
要创建组策略对象,请参阅创建和编辑组策略对象。
Important
管理员可执行以下步骤,将 DirectAccess 组策略对象手动链接到组织单位:
- 在配置 DirectAccess 之前,请将已创建的 GPO 链接到各自的组织单位。
- 要配置 DirectAccess,请为客户端计算机指定安全组。
- 管理员不一定具有将组策略对象链接到域的权限。 在任一情况下,都将自动配置组策略对象。 如果已将 GPO 链接到 OU,则将不会删除这些链接。 也不会将 GPO 链接到域。 对于服务器 GPO,OU 必须包含该服务器计算机对象,否则该 GPO 将链接到域的根。
- 如果在运行 DirectAccess 向导之前尚未链接到 OU,则配置完成后,管理员可以将 DirectAccess 组策略对象链接到所需的组织单位。 可以删除指向域的链接。 可在此处找到将组策略对象链接到组织单位的步骤
Note
如果手动创建了组策略对象,则在 DirectAccess 配置期间,组策略对象可能不可用。 组策略对象可能尚未复制到离管理计算机最近的域控制器。 在这种情况下,管理员可以等待复制完成,或者强制进行复制。
Warning
不支持使用 DirectAccess 安装向导以外的任何方式配置 DirectAccess,例如直接修改 DirectAccess 组策略对象或手动修改服务器或客户端上的默认策略设置。
配置安全组
将包含在客户端计算机组策略对象中的 DirectAccess 设置仅应用于你在配置远程访问时指定的安全组中的计算机。
为 DirectAccess 客户端创建安全组
运行 dsa.msc。 在“Active Directory 用户和计算机”控制台的左窗格中,展开将包含安全组的域,右键单击“用户”,指向“新建”,然后单击“组”。
在“新建对象 – 组”对话框中的“组名”下,输入该安全组的名称。
在 “组范围”下,单击“ 全局”,在 “组类型”下单击“ 安全性”,然后单击“ 确定”。
双击 DirectAccess 客户端计算机安全组,然后在“属性”对话框中单击“ 成员 ”选项卡。
在“ 成员 ”选项卡上,单击“ 添加”。
在“选择用户、联系人、计算机或服务帐户”对话框中,选择你希望为 DirectAccess 启用的客户端计算机,然后单击“确定”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>