2. lépés a DirectAccess-VPN-kiszolgáló konfigurálása

  • 08/07/2020
  • 5 perc olvasni
    • J
    • e
    • j
    • n
    • m
    • +2

a következőkre vonatkozik: Windows Server (féléves csatorna), Windows Server 2016

ez a témakör a DirectAccess engedélyezése varázsló használatával ismerteti az alapvető távoli eléréshez szükséges ügyfél-és kiszolgálóbeállítások konfigurálását.

az alábbi táblázat áttekintést nyújt a témakör használatával végrehajtható lépésekről.

feladat leírás
a DirectAccess kliensek konfigurálása a távoli hozzáférési kiszolgáló konfigurálása a DirectAccess klienseket tartalmazó biztonsági csoportokkal.
konfigurálja a hálózati topológiát konfigurálja a távelérési kiszolgáló beállításait.
állítsa be a DNS-utótag Keresési listát módosítsa az utótag Keresési listát, ha szükséges.
GPO konfiguráció módosítsa a GPO-kat, ha szükséges.

a DirectAcces engedélyezése varázsló elindítása

  1. a Kiszolgálókezelőben kattintson az Eszközök, majd a távoli hozzáférés elemre.A DirectAccess engedélyezése varázsló automatikusan elindul, hacsak nem választotta ki ne jelenjen meg újra ez a képernyő.

  2. ha a varázsló nem indul el automatikusan, kattintson a jobb gombbal a kiszolgálócsomópontra az útválasztási és távoli hozzáférési fán, majd kattintson a DirectAccess engedélyezése parancsra.

  3. Kattintson A Tovább Gombra.

a DirectAccess ügyfelek konfigurálása

ahhoz, hogy egy ügyfélszámítógép rendelkezzen a DirectAccess használatához, a kijelölt biztonsági csoporthoz kell tartoznia. A DirectAccess konfigurálása után a biztonsági csoport ügyfélszámítógépei rendelkeznek a DirectAccess csoportházirend fogadására.

  1. a csoportok kiválasztása lapon kattintson a Hozzáadás gombra.

  2. a csoportok kiválasztása párbeszédpanelen jelölje ki a DirectAccess ügyfélszámítógépeket tartalmazó biztonsági csoportokat.

  3. jelölje be a DirectAccess engedélyezése csak mobil számítógépekhez jelölőnégyzetet, hogy csak mobil számítógépek férhessenek hozzá a belső hálózathoz.

  4. jelölje be a force tunneling jelölőnégyzetet, ha az összes ügyfélforgalmat (a belső hálózatra és az internetre) a távoli hozzáférési kiszolgálón keresztül kívánja irányítani.

  5. Kattintson A Tovább Gombra.

a hálózati topológia konfigurálása

a távoli hozzáférés telepítéséhez be kell állítania a távoli hozzáférési kiszolgálót a megfelelő hálózati adapterekkel, a távoli hozzáférési kiszolgáló nyilvános URL-címével, amelyhez az ügyfélszámítógépek csatlakozhatnak (a kapcsolódási cím), valamint egy IP-HTTPS tanúsítvánnyal, amelynek tárgya megegyezik a kapcsolódási címmel.

  1. a hálózati topológia lapon kattintson a szervezetben használni kívánt telepítési topológiára. Írja be az ügyfelek által a távoli hozzáférési kiszolgálóhoz való csatlakozáshoz használt nyilvános nevet vagy IPv4-címet, írja be a telepítés nyilvános nevét (ez a név megegyezik például az IP-HTTPS tanúsítvány tárgynevével, edge1.contoso.com), majd kattintson a Tovább gombra.

a DNS-utótag keresési lista konfigurálása

a DNS-ügyfelek számára konfigurálhat egy DNS-tartomány utótag Keresési listát, amely kiterjeszti vagy felülvizsgálja a DNS-keresési képességeiket. További utótagok hozzáadásával a listához rövid, nem minősített számítógépneveket kereshet egynél több megadott DNS-tartományban. Ezután, ha egy DNS-lekérdezés sikertelen, a DNS-ügyfélszolgáltatás ezt a listát használhatja más név utótag végződések hozzáfűz az eredeti nevéhez, és ismételje meg a DNS-lekérdezéseket a DNS-kiszolgálónak ezekhez az alternatív FQDNs-ekhez.

  1. válassza a DirectAccess-ügyfelek konfigurálása DNS-ügyfél utótag Keresési listával lehetőséget, hogy további utótagokat adjon meg az ügyfélnév-keresésekhez.

  2. írjon be egy új utótagot az új Utótagba, majd kattintson a Hozzáadás gombra. Ezenkívül módosíthatja a keresési sorrendet, és eltávolíthatja az utótagokat a használni kívánt tartományi Utótagokból.

egy szétválasztott névtér-forgatókönyv esetén (ahol egy vagy több tartományszámítógép DNS-utótagja nem egyezik meg azzal az Active Directory-domainnel, amelyhez a számítógépek tartoznak) győződjön meg arról, hogy a keresési lista testreszabva tartalmazza az összes szükséges utótagot. A távoli hozzáférés varázsló alapértelmezés szerint az Active Directory DNS-nevét állítja be Elsődleges DNS-utótagként az ügyfélen. Az adminisztrátornak biztosítania kell, hogy hozzáadja az ügyfelek által a névfeloldáshoz használt DNS-utótagot.

számítógépek és szerverek esetében a következő alapértelmezett DNS-keresési viselkedés előre meghatározott, és a rövid, nem minősített nevek kitöltésekor és feloldásakor használatos.Ha az utótagkeresési lista üres vagy nincs megadva, a számítógép elsődleges DNS-utótagja rövid, nem minősített nevekhez van csatolva, és a rendszer DNS-lekérdezést használ az eredményül kapott FQDN feloldásához.

ha ez a lekérdezés sikertelen, a számítógép megpróbálhat további lekérdezéseket alternatív FQDNs-ekhez a hálózati kapcsolatokhoz konfigurált bármely kapcsolatspecifikus DNS-utótag hozzáfűzésével.Ha nincs konfigurálva kapcsolat – specifikus utótag, vagy ezeknek a kapott kapcsolat-specifikus FQDN-eknek a lekérdezése sikertelen, akkor az ügyfél megkezdheti a lekérdezések újrapróbálását az elsődleges utótag szisztematikus csökkentése alapján (más néven csonkolás).

például, ha az elsődleges utótag “example.microsoft.com,” a csonkolási folyamat újrapróbálhatja a rövid név lekérdezéseit a “microsoft.com” és ” com ” domainek.

ha az utótag keresési lista nem üres, és legalább egy DNS-utótag van megadva, a rövid DNS-nevek minősítésére és feloldására tett kísérletek csak a megadott utótaglista által lehetővé tett FQDNs-ek keresésére korlátozódnak.

ha a lista minden egyes utótagjának hozzáfűzése és kipróbálása eredményeként létrehozott összes FQDN-re vonatkozó lekérdezés nem oldódik meg, a lekérdezési folyamat sikertelen, így a “név nem található” eredmény keletkezik.

figyelmeztetés

ha a tartomány utótaglistáját használják, az ügyfelek továbbra is további alternatív lekérdezéseket küldenek különböző DNS-tartománynevek alapján, ha a lekérdezés nem válaszol vagy nem oldódik meg. Ha egy név feloldása az utótaglista egyik bejegyzésével történik, a rendszer nem próbálja ki a fel nem használt listabejegyzéseket. Ezért a leghatékonyabb először a leggyakrabban használt domain utótagokkal megrendelni a listát.

a tartománynév-utótag-keresések csak akkor használhatók, ha a DNS-névbejegyzés nem teljesen minősített. A DNS-név teljes minősítéséhez egy záró időszak (.) a név végén kerül beírásra.

csoportházirend-konfiguráció

a távoli hozzáférés konfigurálásakor a DirectAccess beállításai Csoportházirend-objektumokba (csoportházirend-objektumokba) kerülnek összegyűjtésre.

a csoportházirend-objektum beállításai között a DirectAccess kiszolgáló csoportházirend-objektumának neve és az ügyfél csoportházirend-objektumának neve szerepel. Ezenkívül módosíthatja a csoportházirend-objektum kiválasztási beállításait.

két csoportházirend-objektum automatikusan feltöltődik a DirectAccess beállításokkal, és így terjeszthető:

  1. DirectAccess kliens GPO. Ez a csoportházirend-objektum tartalmazza az ügyfélbeállításokat, beleértve az IPv6 átmeneti technológia beállításait, az NRPT bejegyzéseket és a Windows tűzfalat speciális biztonsági kapcsolatbiztonsági szabályokkal. A csoportházirend-objektum az ügyfélszámítógépekhez megadott biztonsági csoportokra kerül alkalmazásra.

  2. DirectAccess szerver GPO. Ez a csoportházirend-objektum tartalmazza a DirectAccess konfigurációs beállításait, amelyek a telepítésben távoli hozzáférési kiszolgálóként konfigurált kiszolgálókra vonatkoznak. Ezenkívül Windows tűzfalat is tartalmaz, amely fejlett biztonsági kapcsolatbiztonsági szabályokkal rendelkezik.

Összegzés

a távoli hozzáférés konfigurációjának befejezése után megjelenik az Összegzés. Módosíthatja a konfigurált beállításokat, vagy kattintson a Befejezés gombra a konfiguráció alkalmazásához.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.