Vaihe 2 Määritä DirectAccess-VPN-palvelin

  • 08/07/2020
  • 5 luettavat minuutit
    • J
    • e
    • j
    • n
    • m
    • +2

koskee: Windows Server (puolivuosittainen kanava), Windows Server 2016

tässä aihepiirissä kuvataan, miten määrittää asiakkaan ja palvelimen asetukset, joita tarvitaan etäkäytön perustamiseen ohjatun Enable DirectAccess-toiminnon avulla.

seuraavassa taulukossa on yhteenveto vaiheista, jotka voit suorittaa tämän aiheen avulla.

tehtävä kuvaus
Määritä DirectAccess-asiakkaat Määritä Etäkäyttöpalvelin Suojausryhmineen, jotka sisältävät DirectAccess-asiakkaat.
Aseta verkkotopologia Määritä Etäpalvelinasetukset.
Määritä DNS-loppuliitteen Hakuluettelo muokkaa loppuliitteen hakuluetteloa haluttaessa.
GPO-Asetukset muokkaa GPO-asetuksia haluttaessa.

ohjatun Enable DirectAcces-toiminnon käynnistäminen

  1. valitse Palvelinhallinnassa Työkalut ja valitse sitten etäkäyttö.Ohjattu Enable DirectAccess käynnistyy automaattisesti, ellet ole valinnut Älä näytä tätä näyttöä uudelleen.

  2. jos ohjattu toiminto ei käynnisty automaattisesti, napsauta hiiren kakkospainikkeella reititys-ja Etäkäyttöpuun palvelinsolmua ja valitse sitten Ota käyttöön DirectAccess.

  3. Valitse Seuraava.

Määritä DirectAccess-asiakasohjelmat

jotta asiakastietokone voi käyttää DirectAccess-ohjelmaa, sen on kuuluttava valittuun tietoturvaryhmään. Kun DirectAccess on määritetty, suojausryhmän asiakastietokoneet saavat DirectAccess-ryhmäkäytännön.

  1. valitse Valitse ryhmät-sivulta lisää.

  2. Valitse Valitse ryhmät-valintaikkunasta Suojausryhmät, jotka sisältävät DirectAccess-asiakastietokoneita.

  3. Valitse Enable DirectAccess for mobile computers only-valintaruutu, jos haluat sallia vain mobiilitietokoneiden pääsyn sisäiseen verkkoon.

  4. valitse Use force tunneling-valintaruutu, jos haluat ohjata kaiken asiakasliikenteen (sisäiseen verkkoon ja Internetiin) Etäkäyttöpalvelimen kautta.

  5. Valitse Seuraava.

Määritä verkkotopologia

etäkäytön käyttöönottamiseksi sinun on määritettävä Etäkäyttöpalvelin oikeilla verkkosovittimilla, etäkäyttöpalvelimen Julkinen URL, johon asiakastietokoneet voivat muodostaa yhteyden (connect to address), ja IP-HTTPS-varmenne, jonka aihe vastaa connect to address-toimintoa.

  1. valitse verkkotopologia-sivulta organisaatiossasi käytettävä käyttöönoton topologia. Kirjoita kirjoita Julkinen nimi tai IPv4-osoite, jota asiakkaat käyttävät muodostaessaan yhteyden Etäkäyttöpalvelimeen, anna käyttöönoton Julkinen nimi (tämä nimi vastaa esimerkiksi IP-HTTPS-varmenteen kohteen nimeä, edge1.contoso.com), ja valitse sitten Seuraava.

Määritä DNS-loppuliitteen Hakuluettelo

DNS-asiakkaille voit määrittää DNS-verkkotunnuksen loppuliitteen hakuluettelon, joka laajentaa tai uudistaa DNS – hakuominaisuuksia. Lisäämällä lisäliitteitä luetteloon voit etsiä lyhyitä, varauksettomia tietokoneiden nimiä useammalta kuin yhdeltä määritetyltä DNS-verkkotunnukselta. Sitten, jos DNS-kysely epäonnistuu, DNS-asiakaspalvelu voi käyttää tätä luetteloa liittää muiden nimi pääte alkuperäisen nimen ja toista DNS kyselyt DNS-palvelimelle näiden vaihtoehtoisten FQDNs.

  1. Valitse Configure DirectAccess Clients with DNS client suffix search list to specify additional suffixs for client name search.

  2. Kirjoita Uusi loppuliite uuteen loppuliitteeseen ja valitse sitten lisää. Lisäksi voit muuttaa hakujärjestystä ja poistaa liitteet verkkotunnuksen liitteistä käytettäväksi.

hajautetussa nimiavaruusskenaariossa (jossa yhdellä tai useammalla toimialuetietokoneella on DNS-pääte, joka ei vastaa Active Directory-toimialuetta, johon tietokoneet kuuluvat) sinun tulee varmistaa, että Hakulista on räätälöity sisältämään kaikki vaaditut loppuliitteet. Ohjattu etäkäyttö määrittää oletusarvoisesti Active Directory DNS-nimen asiakkaan ensisijaiseksi DNS-päätteeksi. Admin pitäisi varmistaa, että hän lisää DNS pääte käytetään asiakkaiden nimen resoluutio.

tietokoneilla ja palvelimilla seuraava DNS-hakukäyttäytymisen oletusarvo on ennalta määrätty ja sitä käytetään lyhyitä, varauksettomia nimiä täytettäessä ja ratkaistaessa.Kun loppuliite Hakulista on tyhjä tai määrittelemätön, tietokoneen ensisijainen DNS-pääte liitetään lyhyisiin varauksettomiin nimiin, ja tuloksena olevan FQDN: n ratkaisemiseen käytetään DNS-kyselyä.

jos tämä kysely epäonnistuu, tietokone voi kokeilla lisäkyselyjä vaihtoehtoisille FQDNs-ohjelmille liittämällä siihen minkä tahansa verkkoyhteyksille määritetyn yhteyskohtaisen DNS-päätteen.Jos yhteyskohtaisia loppuliitteitä ei ole määritetty tai näiden tuloksena olevien yhteyskohtaisten FQDNs-liitteiden kyselyt epäonnistuvat, asiakas voi alkaa yrittää kyselyjä, jotka perustuvat ensisijaisen loppuliitteen systemaattiseen vähentämiseen (tunnetaan myös nimellä devolution).

esimerkiksi, jos ensisijainen pääte on ”example.microsoft.com,” hajauttamisprosessi voi yrittää uudelleen kyselyt Lyhyt nimi etsimällä sitä ”microsoft.com” ja ” com ” – verkkotunnukset.

kun loppuliite hakuluettelo ei ole tyhjä ja sille on määritelty vähintään yksi DNS-pääte, lyhyiden DNS-nimien määrittely ja ratkaisuyritykset rajoittuvat vain niiden FQDNs-nimien hakemiseen, jotka määritetty loppuliiteluettelo mahdollistaa.

jos kaikkien luettelon loppuliitteiden liittämisen ja kokeilemisen tuloksena muodostettujen FQDN: ien kyselyjä ei ratkaista, kyselyprosessi epäonnistuu ja tuloksena on ”nimeä ei löydy”.

Varoitus

jos käytetään toimialueen pääteluetteloa, asiakkaat lähettävät edelleen muita vaihtoehtoisia kyselyitä, jotka perustuvat eri DNS-verkkotunnuksiin, kun kyselyyn ei vastata tai sitä ei ratkaista. Kun nimi on ratkaistu loppuliitteessä olevan merkinnän avulla, käyttämättömiä luettelomerkintöjä ei kokeilla. Tästä syystä on tehokkainta tilata ensin lista käytetyimmillä domain-liitteillä.

verkkotunnuksen päätehakuja käytetään vain silloin, kun DNS-nimitietoa ei ole täysin hyväksytty. DNS-nimen täyskelpoisuuden saavuttamiseksi peräjälkeen (.) merkitään nimen loppuun.

GPO-Asetukset

kun määrität etäkäytön, DirectAccess-asetukset kerätään Ryhmäkäytäntöobjekteihin (GPO).

GPO-asetuksissa on lueteltu DirectAccess-palvelimen GPO-nimi ja asiakkaan GPO-nimi. Lisäksi, voit muokata GPO valinta asetuksia.

kaksi GP: tä kansoitetaan automaattisesti DirectAccess-asetuksilla ja jaetaan näin:

  1. DirectAccess client GPO. Tämä ryhmäpoikkeusasetus sisältää asiakasasetukset, mukaan lukien IPv6-siirtymätekniikan asetukset, NRPT-merkinnät ja Windowsin palomuurin, jossa on kehittyneet Suojausyhteyden suojaussäännöt. Ryhmäpoikkeusta sovelletaan asiakastietokoneille määritettyihin suojausryhmiin.

  2. DirectAccess server GPO. Tämä ryhmäpoikkeusasetus sisältää DirectAccess-määritysasetukset, joita sovelletaan mihin tahansa etäkäyttöpalvelimeksi määritettyyn palvelimeen käyttöönoton yhteydessä. Se sisältää myös Windowsin palomuurin, jossa on kehittyneet Tietoturvayhteyden suojaussäännöt.

Yhteenveto

kun Etäkäyttömääritys on valmis, yhteenveto näytetään. Voit muuttaa määritettyjä asetuksia tai ottaa määrityksen käyttöön valitsemalla Finish.

Vastaa

Sähköpostiosoitettasi ei julkaista.