Trin 2 Konfigurer DirectAccess-VPN-serveren

  • 08/07/2020
  • 5 minutter at læse
    • J
    • e
    • j
    • n
    • m
    • +2

gælder for: vinduer Server (halvårlig kanal), vinduer Server 2016

dette emne beskriver, hvordan du konfigurerer de klient-og serverindstillinger, der kræves til en grundlæggende implementering af fjernadgang ved hjælp af guiden aktiver DirectAccess.

følgende tabel giver en oversigt over de trin, du kan udføre ved hjælp af dette emne.

opgave beskrivelse
Konfigurer DirectAccess-klienter Konfigurer Fjernadgangsserveren med sikkerhedsgrupperne, der indeholder DirectAccess-klienter.
Konfigurer netværkstopologien Konfigurer indstillinger for Fjernadgangsserver.
Konfigurer DNS-Suffikssøgningslisten Rediger Suffikssøgningslisten, hvis det ønskes.
GPO-konfiguration Rediger GPO ‘ erne, hvis det ønskes.

Sådan starter du guiden aktiver DirectAcces

  1. klik på Værktøjer i Server Manager, og klik derefter på fjernadgang.Guiden aktiver DirectAccess starter automatisk, medmindre du har valgt Vis ikke denne skærm igen.

  2. hvis guiden ikke starter automatisk, skal du højreklikke på servernoden i træet Routing og Remote Access og derefter klikke på Aktiver DirectAccess.

  3. Klik På Næste.

Konfigurer DirectAccess-klienter

for at en klientcomputer kan klargøres til at bruge DirectAccess, skal den tilhøre den valgte sikkerhedsgruppe. Når DirectAccess er konfigureret, klargøres klientcomputere i sikkerhedsgruppen til at modtage DirectAccess-gruppepolitikken.

  1. klik på Tilføj på siden Vælg grupper.

  2. i dialogboksen Vælg grupper skal du vælge de sikkerhedsgrupper, der indeholder DirectAccess-klientcomputere.

  3. Marker afkrydsningsfeltet Aktiver kun DirectAccess til mobile computere for kun at tillade mobile computere at få adgang til det interne netværk.

  4. Marker afkrydsningsfeltet Brug krafttunneling for at dirigere al klienttrafik (til det interne netværk og til internettet) gennem Fjernadgangsserveren.

  5. Klik På Næste.

Konfigurer netværkstopologien

for at implementere fjernadgang skal du konfigurere Fjernadgangsserveren med de korrekte netværkskort, en offentlig URL til den Fjernadgangsserver, som klientcomputere kan oprette forbindelse til (connect to-adressen), og et IP-HTTPS-certifikat, hvis emne matcher connect to-adressen.

  1. klik på den installationstopologi, der skal bruges i organisationen, på siden netværkstopologi. I Skriv det offentlige navn eller IPv4-adresse, der bruges af klienter til at oprette forbindelse til Fjernadgangsserveren, indtast det offentlige navn for implementeringen (dette navn matcher emnenavnet på IP-HTTPS-certifikatet, for eksempel, edge1.contoso.com), og klik derefter på Næste.

Konfigurer DNS-Suffikssøgningslisten

for DNS-klienter kan du konfigurere en DNS-domænesuffikssøgningsliste, der udvider eller reviderer deres DNS-søgefunktioner. Ved at tilføje yderligere suffikser til listen kan du søge efter korte, ukvalificerede computernavne i mere end et specificeret DNS-domæne. Hvis en DNS-forespørgsel derefter mislykkes, kan DNS-klienttjenesten bruge denne liste til at tilføje andre endelser af navnesuffiks til dit oprindelige navn og gentage DNS-forespørgsler til DNS-serveren for disse alternative Fkdn ‘ er.

  1. Vælg Konfigurer DirectAccess-klienter med DNS-klientsuffikssøgningsliste for at angive yderligere suffikser til klientnavnesøgninger.

  2. Skriv et nyt suffiksnavn i nyt suffiks, og klik derefter på Tilføj. Derudover kan du ændre søgeordren og fjerne suffikser fra Domænesuffikser, der skal bruges.

i et uensartet navnerum (hvor en eller flere domænecomputere har et DNS-suffiks, der ikke svarer til det Active Directory-domæne, som computerne tilhører), skal du sikre dig, at søgelisten er tilpasset til at omfatte alle de krævede suffikser. Guiden fjernadgang konfigurerer som standard Active Directory DNS-navnet som det primære DNS-suffiks på klienten. Admin skal sikre, at han tilføjer DNS-suffikset, der bruges af klienter til navneopløsning.

for computere og servere er følgende standard DNS-søgeadfærd forudbestemt og brugt, når du udfylder og løser korte, ukvalificerede navne.Når listen over suffikssøgninger er tom eller Uspecificeret, tilføjes computerens primære DNS-suffiks til korte ukvalificerede navne, og en DNS-forespørgsel bruges til at løse det resulterende FKDN.

hvis denne forespørgsel mislykkes, kan computeren prøve yderligere forespørgsler for alternative Fkdn ‘ er ved at tilføje et forbindelsesspecifikt DNS-suffiks, der er konfigureret til netværksforbindelser.Hvis der ikke er konfigureret forbindelsesspecifikke suffikser, eller forespørgsler til disse resulterende forbindelsesspecifikke Fkdn ‘ er mislykkes, kan klienten derefter begynde at prøve igen forespørgsler baseret på systematisk reduktion af det primære suffiks (også kendt som decentralisering).

for eksempel, hvis det primære suffiks er “example.microsoft.com,” decentraliseringsprocessen kan prøve igen forespørgsler til det korte navn ved at søge efter det i “microsoft.com” og ” Com ” domæner.

når suffikssøgningslisten ikke er tom og har mindst et DNS-suffiks angivet, er forsøg på at kvalificere og løse korte DNS-navne begrænset til kun at søge efter de Fkdn ‘ er, der er muliggjort af den angivne suffiksliste.

hvis forespørgsler for alle Fkdn ‘ er, der er dannet som et resultat af at tilføje og prøve hvert suffiks på listen, ikke løses, mislykkes forespørgselsprocessen og producerer et “navn ikke fundet” – resultat.

advarsel

hvis domænesuffikslisten bruges, fortsætter klienter med at sende yderligere alternative forespørgsler baseret på forskellige DNS-domænenavne, når en forespørgsel ikke besvares eller løses. Når et navn er løst ved hjælp af en post i suffikslisten, forsøges ikke ubrugte listeposter. Af denne grund er det mest effektivt at bestille listen med de mest anvendte domænesuffikser først.

søgninger efter Domænenavnsuffiks bruges kun, når en DNS-navnepost ikke er fuldt kvalificeret. For fuldt ud at kvalificere et DNS-navn, en efterfølgende periode (.) indtastes i slutningen af navnet.

GPO-konfiguration

når du konfigurerer fjernadgang, indsamles DirectAccess-indstillinger i gruppepolitiske objekter (GPO).

i GPO-Indstillinger vises DirectAccess server GPO-navnet og Client GPO-navnet. Derudover kan du ændre indstillingerne for GPO-valg.

to Gpo ‘ er udfyldes automatisk med DirectAccess-indstillinger og distribueres på denne måde:

  1. DirectAccess klient GPO. Denne GPO indeholder klientindstillinger, herunder indstillinger for IPv6-overgangsteknologi, nrpt-poster og vinduer med avancerede sikkerhedsforbindelsessikkerhedsregler. GPO anvendes på de sikkerhedsgrupper, der er angivet for klientcomputere.

  2. DirectAccess server GPO. Denne GPO indeholder de DirectAccess-konfigurationsindstillinger, der anvendes på enhver server, der er konfigureret som en Fjernadgangsserver i din installation. Den indeholder også vinduer Brandvæg med avancerede sikkerhedsregler tilslutning sikkerhed.

oversigt

når konfigurationen af fjernadgang er fuldført, vises oversigten. Du kan ændre de konfigurerede indstillinger eller klikke på Udfør for at anvende konfigurationen.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.