Krok 2 Konfigurace DirectAccess-VPN Server

  • 08/07/2020
  • 5 minut číst
    • J
    • e
    • j
    • n
    • m
    • +2

Platí Pro: Windows Serveru (Semi-Roční Kanál), Windows Server 2016

Toto téma popisuje, jak nakonfigurovat klienta a nastavení serveru potřebné pro základní nasazení Vzdáleného Přístupu pomocí Umožňují technologie DirectAccess Průvodce.

následující tabulka poskytuje přehled kroků, které můžete dokončit pomocí tohoto tématu.

Úkol Popis
Konfigurovat klienty DirectAccess Konfigurace serveru pro Vzdálený Přístup s skupiny zabezpečení obsahující klienty DirectAccess.
konfigurace topologie sítě Konfigurace Nastavení serveru vzdáleného přístupu.
nakonfigurujte seznam Vyhledávání přípon DNS v případě potřeby upravte seznam Vyhledávání přípon.
konfigurace GPO v případě potřeby upravte GPO.

spuštění Průvodce povolením DirectAcces

  1. ve Správci serverů klikněte na Nástroje a poté na vzdálený přístup.Průvodce povolením DirectAccess se spustí automaticky, pokud jste nezvolili Nezobrazovat tuto obrazovku znovu.

  2. pokud se průvodce nespustí automaticky, klepněte pravým tlačítkem myši na uzel serveru ve stromu směrování a vzdálený přístup a poté klikněte na Povolit DirectAccess.

  3. Klikněte Na Další.

konfigurace klientů DirectAccess

aby klientský počítač mohl používat DirectAccess, musí patřit do vybrané skupiny zabezpečení. Po konfiguraci DirectAccess jsou klientské počítače ve skupině zabezpečení zřízeny tak, aby přijímaly Zásady skupiny DirectAccess.

  1. na stránce vybrat skupiny klikněte na Přidat.

  2. V dialogovém okně Vybrat skupiny vyberte skupiny zabezpečení obsahující klientské počítače DirectAccess.

  3. zaškrtnutím políčka Povolit DirectAccess pouze pro mobilní počítače povolíte přístup k interní síti pouze mobilním počítačům.

  4. zaškrtněte políčko Použít vynutit tunelování pro směrování veškerého klientského provozu (do interní sítě a na Internet) přes server vzdáleného přístupu.

  5. Klikněte Na Další.

Konfigurace Topologie Sítě

K nasazení Vzdáleného Přístupu, je třeba nakonfigurovat server pro Vzdálený Přístup s správné síťové adaptéry, veřejnou adresu URL pro server pro Vzdálený Přístup, na které klientské počítače mohou připojit (connect adresa) a IP-HTTPS certifikát, jehož předmět odpovídá připojit na adresu.

  1. na stránce topologie sítě klikněte na topologii nasazení, která bude použita ve vaší organizaci. V Zadejte veřejný název nebo IPv4 adresu, které používají klienti připojit k serveru Vzdáleného Přístupu zadejte veřejný název pro nasazení (tento název odpovídá názvu subjektu z IP-HTTPS certifikát, například, edge1.contoso.com), a potom klepněte na tlačítko Další.

konfigurace seznamu vyhledávání přípon DNS

pro klienty DNS můžete nakonfigurovat seznam vyhledávání přípon domény DNS, který rozšiřuje nebo reviduje jejich možnosti vyhledávání DNS. Přidáním dalších přípon do seznamu můžete vyhledávat krátké, nekvalifikované názvy počítačů ve více než jedné zadané doméně DNS. Poté, pokud dotaz DNS selže, může klientská služba DNS použít tento seznam k připojení dalších koncovek přípon jména k původnímu jménu a opakování dotazů DNS na server DNS pro tyto alternativní FQDN.

  1. Chcete-li zadat další přípony pro vyhledávání jmen klientů, vyberte možnost konfigurovat klienty DirectAccess pomocí seznamu vyhledávání s příponou klienta DNS.

  2. zadejte nový název přípony do nové přípony a klepněte na tlačítko Přidat. Navíc můžete změnit pořadí Vyhledávání a odstranit přípony z přípon domény, které chcete použít.

V disjunktní název místa scénář (kde jeden nebo více domény počítačů má příponu DNS, která neodpovídá domény služby Active Directory, ke které počítače patří), ty by měly zajistit, že vyhledávání na seznamu je přizpůsobit, aby zahrnoval všechny potřebné přípony. Průvodce vzdáleným přístupem ve výchozím nastavení nakonfiguruje název DNS služby Active Directory jako primární příponu DNS na klientovi. Správce by měl zajistit, aby přidal příponu DNS používanou klienty pro rozlišení názvu.

pro počítače a servery je následující výchozí chování vyhledávání DNS předurčeno a použito při vyplňování a řešení krátkých nekvalifikovaných jmen.Pokud seznam hledání přípon prázdný nebo nespecifikované, primární přípony DNS počítače je přidán do krátkých neúplných názvů a DNS dotaz slouží k řešení výsledné FQDN.

pokud tento dotaz selže, může počítač vyzkoušet další dotazy pro alternativní FQDN připojením jakékoli přípony DNS specifické pro připojení nakonfigurované pro síťová připojení.Pokud žádné spojení konkrétních přípon jsou nakonfigurovány nebo se dotazy na tyto výsledné specifické pro připojení Fqdn nepodaří, pak klient pak může začít opakovat dotazy na základě systematické redukce primární přípony (také známý jako decentralizace).

například pokud je primární přípona „example.microsoft.com,“ proces převodu může opakovat dotazy na krátký název vyhledáním v „microsoft.com“ a “ com “ domény.

seznam hledání přípon není prázdné a má alespoň jednu příponu DNS uvedeno, pokusí kvalifikovat a vyřešit krátké DNS jména je omezena na vyhledávání pouze těch Fqdn možné pomocí zadané přípony seznam.

Pokud dotazy pro všechny Fqdn vytvořena jako výsledek připojením a snaží jednotlivé přípony v seznamu nejsou vyřešeny, dotaz se nezdaří proces, produkovat „název nebyl nalezen“ výsledek.

varování

pokud je použit seznam přípon domény, klienti pokračují v odesílání dalších alternativních dotazů na základě různých názvů domén DNS, pokud dotaz není zodpovězen nebo vyřešen. Jakmile je název vyřešen pomocí položky v seznamu přípon, nepoužívané položky seznamu se nezkoušejí. Z tohoto důvodu je nejúčinnější nejprve objednat seznam s nejpoužívanějšími příponami domény.

vyhledávání přípon doménového jména se používá pouze v případě, že položka názvu DNS není plně kvalifikovaná. Chcete-li plně kvalifikovat název DNS, koncové období (.) se zadává na konci názvu.

konfigurace GPO

při konfiguraci vzdáleného přístupu se nastavení DirectAccess shromažďují do objektů zásad skupiny (GPO).

V nastavení GPO je uveden název GPO serveru DirectAccess a název GPO klienta. Navíc můžete upravit nastavení výběru GPO.

dvě GPO jsou automaticky naplněny nastavením DirectAccess a distribuovány tímto způsobem:

  1. DirectAccess klient GPO. Tento GPO obsahuje nastavení klienta, včetně nastavení technologie přechodu IPv6, položek NRPT a brány Firewall systému Windows s pokročilými pravidly zabezpečení připojení. GPO se aplikuje na skupiny zabezpečení určené pro klientské počítače.

  2. DirectAccess server GPO. Tento GPO obsahuje konfigurační nastavení DirectAccess, která se použijí na jakýkoli server nakonfigurovaný jako server vzdáleného přístupu ve vašem nasazení. Obsahuje také bránu Firewall systému Windows s pokročilými pravidly zabezpečení připojení.

souhrn

po dokončení konfigurace vzdáleného přístupu se zobrazí souhrn. Nakonfigurovaná nastavení můžete změnit nebo klepnutím na tlačítko Dokončit použít konfiguraci.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.