規劃 DirectAccess 基礎結構之後,使用基本設定以在單一伺服器上部署 DirectAccess 的下一個步驟,就是規劃 [使用者入門精靈] 的設定。
| Task | Description |
|---|---|
| 規劃用戶端部署 | 預設情況下,入門精靈會在用戶端設定 GPO 上套用 WMI 篩選,從而將 DirectAccess 部署到網域中的所有筆記型和手提電腦。 |
| DirectAccess 伺服器部署的規劃 | 規劃如何部署 DirectAccess 伺服器。 |
規劃用戶端部署
規劃用戶端部署時要進行兩個決策:
DirectAccess 將僅供攜帶型電腦使用,或是可供任何電腦使用?
當您在 [使用者入門精靈] 中設定 DirectAccess 用戶端時,可以選擇只允許所指定安全性群組中的攜帶型電腦使用 DirectAccess 進行連線。 如果您限制只有攜帶型電腦才能存取,則 DirectAccess 會自動設定 WMI 篩選,以確定 DirectAccess 用戶端 GPO 只會套用至所指定安全性群組中的攜帶型電腦。 DirectAccess 系統管理員需要可建立或修改群組原則 WMI 篩選的權限,才能啟用此設定。
哪些安全性群組將包含 DirectAccess 用戶端電腦?
DirectAccess 設定包含在 DirectAccess 用戶端 GPO 中。 GPO 會套用至您在 [使用者入門精靈] 中所指定安全性群組中的電腦。 您可以指定在任何支援的網域中所包含的安全性群組。 在您設定 DirectAccess 之前,應該先建立安全性群組。 您可以在完成 DirectAccess 部署之後,將電腦新增至安全性群組,但請注意,如果您將位於不同網域中的用戶端電腦新增至安全性群組,則用戶端 GPO 將不會套用至這些用戶端。 例如,如果您在網域 A 中建立 SG1 做為 DirectAccess 用戶端,之後新增網域 B 的用戶端到此群組,用戶端 GPO 將不會套用到網域 B 中的用戶端。若要避免這個問題,請為每個包含用戶端電腦的網域建立新的用戶端安全性群組。 或者,如果您不想要建立新的安全性群組,請執行 Add-DAClient Cmdlet,加上新網域的新 GPO 名稱。
DirectAccess 伺服器部署的規劃
規劃部署 DirectAccess 伺服器時要進行許多決策:
網路拓撲 -There 是部署 DirectAccess 伺服器時可用的兩個拓撲:
兩個介面卡 -With 兩個網路介面卡,DirectAccess 可以設定一個網路介面卡直接連接到網際網路,另一個網路介面卡連接到內部網路。 或者,伺服器安裝在邊緣裝置 (例如防火牆或路由器) 後面。 在此設定中,一張網路介面卡連線到周邊網路,另一張連線到內部網路。
單一網路適配器 -In DirectAccess 伺服器會安裝在邊緣裝置後方,例如防火牆或路由器。 網路介面卡會連線到內部網路。
DirectAccess 精靈 -The 網路介面卡會自動偵測 DirectAccess 伺服器上設定的網路介面卡。 您可以確定已從 「檢閱 」頁面選取正確的配接卡。
IP-HTTPS 憑證 -Since 此部署中不需要 PKI,精靈會自動為 IP-HTTPS 和網路位置伺服器佈建自我簽署憑證 (如果沒有憑證),並自動啟用 Kerberos Proxy。 精靈也會啟用 NAT64 和 DNS64,以轉換僅限 IPv4 環境中的通訊協定。 精靈成功完成套用組態之後,按一下 [關閉]。
Windows 7 用戶端 -You 無法從用戶入門精靈啟用對 Windows 7 用戶端的支援。 您可以從 [進階設定精靈] 啟用此功能。 如需詳細資訊,請參閱 使用進階設定部署單一 DirectAccess 伺服器。
VPN 設定 -Before 您設定 DirectAccess 時,請決定是否要為遠端用戶端提供 VPN 存取。 如果您的組織中有不支援 DirectAccess 連線的用戶端電腦 (因為它們未受管理,或是執行不支援 DirectAccess 的作業系統),則您應該提供 VPN 存取。 [使用者入門精靈] 會使用 DHCP 來設定 VPN IP 位址指派,並使用 Active Directory 來設定 VPN 用戶端進行驗證。
強制通道 -If 您打算使用強制通道,或將來可能會新增它,您應該使用 具有進階設定的部署單一 DirectAccess 伺服器來 部署兩個通道組態。 出於安全考量,不支援在單一隧道設定中強制隧道。