Krok 2 Skonfiguruj serwer DirectAccess-VPN

  • 08/07/2020
  • 5 protokół do czytania
    • J
    • e
    • j
    • n
    • m
    • +2

dotyczy: Windows Server (kanał półroczny), Windows Server 2016

w tym temacie opisano, jak skonfigurować ustawienia klienta i serwera wymagane do podstawowego wdrożenia dostępu zdalnego za pomocą Kreatora Włącz DirectAccess.

poniższa tabela zawiera przegląd kroków, które można wykonać za pomocą tego tematu.

zadanie opis
Konfiguracja klientów DirectAccess Konfigurowanie serwera dostępu zdalnego z grupami zabezpieczeń zawierającymi klientów DirectAccess.
Konfiguracja topologii sieci Konfigurowanie ustawień serwera dostępu zdalnego.
Konfiguracja listy wyszukiwania przyrostków DNS w razie potrzeby zmodyfikuj listę wyszukiwania przyrostków.
Konfiguracja GPO w razie potrzeby zmodyfikuj GPO.

aby uruchomić Kreator Włącz DirectAcces

  1. w Menedżerze serwera kliknij Narzędzia, a następnie kliknij Dostęp Zdalny.Kreator Włącz DirectAccess uruchamia się automatycznie, chyba że wybrano opcję Nie pokazuj ponownie tego ekranu.

  2. Jeśli kreator nie uruchamia się automatycznie, kliknij prawym przyciskiem myszy węzeł serwera w drzewie Routing i dostęp zdalny, a następnie kliknij Włącz DirectAccess.

  3. Kliknij Dalej.

Konfigurowanie klientów DirectAccess

aby komputer kliencki mógł korzystać z DirectAccess, musi należeć do wybranej grupy zabezpieczeń. Po skonfigurowaniu DirectAccess komputery klienckie z grupy zabezpieczeń są zaopatrywane w zasady grupy DirectAccess.

  1. na stronie wybierz Grupy kliknij Dodaj.

  2. w oknie dialogowym wybierz Grupy wybierz grupy zabezpieczeń zawierające komputery klienckie DirectAccess.

  3. zaznacz pole wyboru Włącz DirectAccess tylko dla komputerów mobilnych, aby zezwolić tylko komputerom mobilnym na dostęp do sieci wewnętrznej.

  4. zaznacz pole wyboru Użyj siły tunelowania, aby przekierować cały ruch klienta (do sieci wewnętrznej i do Internetu) za pośrednictwem serwera dostępu zdalnego.

  5. Kliknij Dalej.

Konfiguracja topologii sieci

aby wdrożyć Dostęp Zdalny, należy skonfigurować serwer dostępu zdalnego z odpowiednimi kartami sieciowymi, publiczny adres URL serwera dostępu zdalnego, z którym mogą się łączyć komputery klienckie (połącz z adresem) oraz certyfikat IP-HTTPS, którego temat pasuje do adresu połącz z adresem.

  1. na stronie Topologia sieci kliknij topologię wdrożenia, która będzie używana w organizacji. W polu Wpisz nazwę publiczną lub adres IPv4 używany przez klientów do łączenia się z serwerem dostępu zdalnego, wprowadź nazwę publiczną wdrożenia (nazwa ta odpowiada na przykład nazwie tematu certyfikatu IP-HTTPS, edge1.contoso.com), a następnie kliknij przycisk Dalej.

Skonfiguruj listę Wyszukiwania sufiksów DNS

dla klientów DNS możesz skonfigurować listę wyszukiwania sufiksów domeny DNS, która rozszerza lub zmienia ich możliwości wyszukiwania DNS. Dodając dodatkowe przyrostki do listy, możesz wyszukiwać krótkie, niewykwalifikowane nazwy komputerów w więcej niż jednej określonej domenie DNS. Następnie, jeśli zapytanie DNS nie powiedzie się, usługa klienta DNS może użyć tej listy, aby dodać inne końcówki sufiksu nazwy do oryginalnej nazwy i powtórzyć zapytania DNS do serwera DNS dla tych alternatywnych FQDNs.

  1. wybierz Konfiguruj klientów DirectAccess z listą wyszukiwania sufiksów klienta DNS, aby określić dodatkowe sufiksy dla wyszukiwania nazw klienta.

  2. wpisz nową nazwę sufiksu w Nowym sufiksie, a następnie kliknij Dodaj. Dodatkowo możesz zmienić kolejność wyszukiwania i usunąć sufiksy z sufiksów domeny do użycia.

w scenariuszu disjoint name space (gdzie jeden lub więcej komputerów z domeną ma sufiks DNS, który nie pasuje do domeny Active Directory, do której należą Komputery), należy upewnić się, że lista wyszukiwania jest dostosowana tak, aby zawierała wszystkie wymagane sufiksy. Kreator dostępu zdalnego domyślnie skonfiguruje nazwę DNS usługi Active Directory jako główny przyrostek DNS w kliencie. Administrator powinien upewnić się, że dodaje przyrostek DNS używany przez klientów do rozwiązywania nazw.

w przypadku komputerów i serwerów następujące domyślne zachowanie wyszukiwania DNS jest z góry określone i używane podczas wypełniania i rozwiązywania krótkich, niekwalifikowanych nazw.Gdy lista wyszukiwania sufiksów jest pusta lub nieokreślona, główny sufiks DNS komputera jest dołączany do krótkich niekwalifikowanych nazw, a zapytanie DNS jest używane do rozwiązania wynikowego FQDN.

jeśli to zapytanie nie powiedzie się, komputer może wypróbować dodatkowe zapytania dla alternatywnych FQDNs, dodając dowolny przyrostek DNS specyficzny dla połączenia skonfigurowany dla połączeń sieciowych.Jeśli nie zostaną skonfigurowane żadne przyrostki specyficzne dla połączenia lub zapytania dla tych wynikowych fqdns specyficznych dla połączenia zawiodą, wtedy klient może zacząć ponawiać zapytania w oparciu o systematyczną redukcję głównego przyrostka (znanego również jako decentralizacja).

na przykład, jeśli głównym przyrostkiem jest „example.microsoft.com,” proces decentralizacji może ponowić zapytania o krótką nazwę, wyszukując ją w „microsoft.com domeny” i „com”.

gdy lista wyszukiwania sufiksów nie jest pusta i ma podany co najmniej jeden sufiks DNS, próby zakwalifikowania i rozwiązania krótkich nazw DNS są ograniczone do wyszukiwania tylko tych FQDNs, które są możliwe dzięki podanej liście sufiksów.

jeśli zapytania do wszystkich FQDNs utworzonych w wyniku dołączania i wypróbowania każdego sufiksu na liście nie zostaną rozwiązane, proces kwerendy nie powiedzie się, dając wynik „name not found”.

Ostrzeżenie

jeśli używana jest lista sufiksów domeny, klienci nadal wysyłają dodatkowe alternatywne zapytania oparte na różnych nazwach domen DNS, gdy zapytanie nie zostało odebrane lub rozwiązane. Gdy nazwa zostanie rozwiązana przy użyciu wpisu na liście przyrostków, nie są wykonywane nieużywane wpisy na liście. Z tego powodu najlepiej jest najpierw zamówić listę z najczęściej używanymi sufiksami domeny.

wyszukiwanie przyrostków nazwy domeny jest używane tylko wtedy, gdy wpis nazwy DNS nie jest w pełni kwalifikowany. Aby w pełni zakwalifikować nazwę DNS, kropka końcowa (.) wpisuje się na końcu nazwy.

Konfiguracja GPO

podczas konfigurowania dostępu zdalnego ustawienia DirectAccess są gromadzone w obiektach zasad grupy (GPO).

w Ustawieniach GPO, nazwa GPO serwera DirectAccess i nazwa GPO klienta są wymienione. Dodatkowo można modyfikować ustawienia wyboru GPO.

dwa GPO są automatycznie wypełniane ustawieniami DirectAccess i dystrybuowane w ten sposób:

  1. GPO klienta DirectAccess. Ten GPO zawiera ustawienia klienta, w tym ustawienia technologii przejścia IPv6, wpisy NRPT i Zaporę systemu Windows z zaawansowanymi regułami bezpieczeństwa połączenia zabezpieczeń. GPO jest stosowany do grup zabezpieczeń określonych dla komputerów klienckich.

  2. DirectAccess server GPO. Ten GPO zawiera ustawienia konfiguracji DirectAccess, które są stosowane do dowolnego serwera skonfigurowanego jako serwer dostępu zdalnego w Twoim wdrożeniu. Zawiera również Zaporę systemu Windows z zaawansowanymi regułami bezpieczeństwa połączenia bezpieczeństwa.

podsumowanie

po zakończeniu konfiguracji dostępu zdalnego zostanie wyświetlone podsumowanie. Możesz zmienić skonfigurowane ustawienia lub kliknąć przycisk Zakończ, aby zastosować konfigurację.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.