Stap 2 Configureer de DirectAccess-VPN-Server

  • 08/07/2020
  • 5 minuten te lezen
    • J
    • e
    • j
    • n
    • m
    • +2

van Toepassing Op: Windows Server (Semi-Jaarlijkse Kanaal), Windows Server 2016

in Dit onderwerp wordt beschreven hoe u de client en de server-instellingen die vereist zijn voor een basic Remote Access-implementatie met behulp van het Inschakelen van DirectAccess-Wizard.

de volgende tabel geeft een overzicht van de stappen die u kunt uitvoeren met dit onderwerp.

taak beschrijving
configureer DirectAccess-clients Configureer de RAS – server met de beveiligingsgroepen die DirectAccess-clients bevatten.
Configureer de netwerktopologie instellingen voor RAS – server configureren.
Configureer de DNS-Achtervoegselzoeklijst Wijzig de Achtervoegselzoeklijst indien gewenst.
GPO configuratie Wijzig de GPO ‘ s indien gewenst.

de Wizard DirectAcces inschakelen starten

  1. klik In Serverbeheer op Hulpprogramma ‘ s en klik vervolgens op ras.De Wizard DirectAccess inschakelen wordt automatisch gestart, tenzij u hebt geselecteerd dit scherm niet meer weergeven.

  2. als de wizard niet automatisch wordt gestart, klikt u met de rechtermuisknop op het serverknooppunt in de structuur voor Routering en ras en klikt u vervolgens op DirectAccess inschakelen.

  3. Klik Op Volgende.

configureer DirectAccess-clients

als een clientcomputer DirectAccess wil gebruiken, moet deze tot de geselecteerde beveiligingsgroep behoren. Nadat DirectAccess is geconfigureerd, kunnen clientcomputers in de beveiligingsgroep het DirectAccess-Groepsbeleid ontvangen.

  1. klik op de pagina Groepen selecteren op Toevoegen.

  2. selecteer in het dialoogvenster groepen selecteren de beveiligingsgroepen die DirectAccess-clientcomputers bevatten.

  3. Schakel het selectievakje DirectAccess alleen voor mobiele computers inschakelen in om alleen mobiele computers toegang te geven tot het interne netwerk.

  4. Schakel het selectievakje forceer tunneling gebruiken in om al het clientverkeer (naar het interne netwerk en naar Internet) via de RAS-server te routeren.

  5. Klik Op Volgende.

Configureer de netwerktopologie

als u RAS wilt implementeren, moet u de RAS-server configureren met de juiste netwerkadapters, een openbare URL voor de RAS-server waarmee clientcomputers verbinding kunnen maken (de verbinding maken met het adres) en een IP-HTTPS-certificaat waarvan het onderwerp overeenkomt met het verbindingsadres.

  1. klik op de pagina netwerktopologie op de implementatietopologie die in uw organisatie zal worden gebruikt. Voer In Typ de openbare naam of het IPv4-adres dat door clients wordt gebruikt om verbinding te maken met de RAS-server de openbare naam voor de implementatie in (deze naam komt bijvoorbeeld overeen met de onderwerpnaam van het IP-HTTPS-certificaat, edge1.contoso.com), en klik vervolgens op Volgende.

Configureer de zoeklijst voor DNS-achtervoegsels

voor DNS-clients kunt u een zoeklijst voor DNS-achtervoegsels configureren waarmee de DNS-zoekmogelijkheden worden uitgebreid of herzien. Door extra achtervoegsels aan de lijst toe te voegen, kunt u zoeken naar Korte, niet-gekwalificeerde computernamen in meer dan één opgegeven DNS-domein. Als een DNS-query mislukt, kan de DNS-clientservice deze lijst gebruiken om andere achtervoegseluiteinden aan uw oorspronkelijke naam toe te voegen en DNS-query ‘ s te herhalen voor de DNS-server voor deze alternatieve FQDNs.

  1. Selecteer DirectAccess-Clients configureren met zoeklijst voor DNS-clientachtervoegsels om extra achtervoegsels op te geven voor zoekopdrachten naar clientnamen.

  2. typ een nieuwe achtervoegselnaam in Nieuw achtervoegsel en klik vervolgens op Toevoegen. Daarnaast kunt u de zoekvolgorde wijzigen en achtervoegsels uit domeinachtervoegsels verwijderen.

in een scharnierende naamruimtescenario (waarbij een of meer Domeincomputers een DNS-achtervoegsel hebben dat niet overeenkomt met het Active Directory-domein waartoe de computers behoren), moet u ervoor zorgen dat de zoeklijst zodanig is aangepast dat alle vereiste achtervoegsels zijn opgenomen. De wizard externe toegang configureert standaard de DNS-naam van Active Directory als het primaire DNS-achtervoegsel op de client. Admin moet ervoor zorgen dat hij voegt de DNS-achtervoegsel gebruikt door clients voor naamresolutie.

voor computers en servers wordt het volgende standaard DNS-zoekgedrag vooraf bepaald en gebruikt bij het invullen en oplossen van korte, niet-gekwalificeerde namen.Wanneer de achtervoegselzoeklijst leeg of niet gespecificeerd is, wordt het primaire DNS-achtervoegsel van de computer toegevoegd aan Korte, niet-gekwalificeerde namen en wordt een DNS-query gebruikt om de resulterende FQDN op te lossen.

als deze query mislukt, kan de computer aanvullende query ’s voor alternatieve FQDN’ s proberen door elk verbindingsspecifiek DNS-achtervoegsel toe te voegen dat is geconfigureerd voor netwerkverbindingen.Als er geen verbindingsspecifieke achtervoegsels zijn geconfigureerd of query ’s voor deze resulterende verbindingsspecifieke FQDN’ s mislukken, kan de client vervolgens beginnen met het opnieuw proberen van query ‘ s op basis van systematische reductie van het primaire achtervoegsel (ook bekend als deconcentratie).

bijvoorbeeld, als het primaire achtervoegsel “is example.microsoft.com,” het devolutieproces kan vragen Opnieuw proberen voor de Korte naam door te zoeken naar het in de “microsoft.com” en ” com ” domeinen.

wanneer de achtervoegselzoeklijst niet leeg is en ten minste één DNS-achtervoegsel is opgegeven, worden pogingen om korte DNS-namen te kwalificeren en op te lossen beperkt tot het zoeken naar alleen die FQDN ‘ s die mogelijk zijn gemaakt door de opgegeven achtervoegsellijst.

als query ’s voor alle FQDN’ s die zijn gevormd als gevolg van het toevoegen en uitproberen van elk achtervoegsel in de lijst niet worden opgelost, mislukt het query-proces, waardoor een “name not found” – resultaat wordt verkregen.

waarschuwing

als de domeinachtervoegsellijst wordt gebruikt, blijven clients aanvullende alternatieve query ‘ s verzenden op basis van verschillende DNS-domeinnamen wanneer een query niet wordt beantwoord of opgelost. Zodra een naam is opgelost met behulp van een vermelding in de achtervoegsellijst, worden ongebruikte lijstvermeldingen niet geprobeerd. Om deze reden is het het meest efficiënt om de lijst met de meest gebruikte domeinachtervoegsels eerst te bestellen.

zoekopdrachten met het achtervoegsel van domeinnamen worden alleen gebruikt wanneer een DNS-naamingang niet volledig is gekwalificeerd. Om een DNS-naam volledig te kwalificeren, een trailing periode (.) wordt ingevoerd aan het einde van de naam.

groepsbeleidsobjecten configureren

wanneer u RAS configureert, worden DirectAccess-instellingen verzameld in groepsbeleidsobjecten.

In instellingen voor groepsbeleidsobjecten worden de GPO-naam van de DirectAccess-server en de GPO-naam van de Client weergegeven. Daarnaast kunt u de instellingen voor GROEPSBELEIDSOBJECTSELECTIE wijzigen.

twee groepsbeleidsobjecten worden automatisch ingevuld met DirectAccess-instellingen en op deze manier verdeeld:

  1. DirectAccess client GPO. Dit groepsbeleidsobject bevat clientinstellingen, waaronder instellingen voor IPv6-overgangstechnologie, NRPT-items en Windows Firewall met geavanceerde Beveiligingsregels voor verbindingen. Het groepsbeleidsobject wordt toegepast op de beveiligingsgroepen die zijn opgegeven voor de clientcomputers.

  2. DirectAccess server GPO. Dit groepsbeleidsobject bevat de DirectAccess-configuratieinstellingen die worden toegepast op elke server die is geconfigureerd als RAS-server in uw implementatie. Het bevat ook Windows Firewall met geavanceerde Beveiligingsregels voor verbindingen.

samenvatting

zodra de configuratie voor externe toegang is voltooid, wordt de samenvatting weergegeven. U kunt de geconfigureerde instellingen wijzigen of op Voltooien klikken om de configuratie toe te passen.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.