Pasul 2 Configurați serverul DirectAccess-VPN

  • 08/07/2020
  • 5 minute de citit
    • J
    • e
    • j
    • n
    • m
    • +2

se aplică la: Windows Server( canal semestrial), Windows Server 2016

acest subiect descrie modul de configurare a setărilor client și server necesare pentru o implementare de acces la distanță de bază utilizând Expertul activare DirectAccess.

următorul tabel oferă o prezentare generală a pașilor pe care îi puteți parcurge utilizând acest subiect.

sarcina descriere
configurați clienții DirectAccess Configurați serverul de acces la distanță cu grupurile de securitate care conțin clienți DirectAccess.
configurați topologia rețelei configurați setările serverului de acces la distanță.
configurați lista de căutare a sufixelor DNS modificați lista de căutare a sufixelor, dacă doriți.
configurare GPO modificați GPO-urile dacă doriți.

pentru a porni Expertul activare DirectAcces

  1. în Server Manager, faceți clic pe Instrumente, apoi faceți clic pe acces la distanță.Expertul activare DirectAccess pornește automat, cu excepția cazului în care ați selectat nu afișați din nou acest ecran.

  2. dacă expertul nu pornește automat, Faceți clic cu butonul din dreapta pe nodul server din arborele rutare și acces la distanță, apoi faceți clic pe Activare DirectAccess.

  3. Faceți Clic Pe Următorul.

configurați clienții DirectAccess

pentru ca un computer client să fie furnizat pentru a utiliza DirectAccess, acesta trebuie să aparțină grupului de securitate selectat. După ce este configurat DirectAccess, computerele client din grupul de securitate sunt furnizate pentru a primi Politica de grup DirectAccess.

  1. în pagina Selectare grupuri, faceți clic pe Adăugare.

  2. în caseta de dialog Selectare grupuri, selectați grupurile de securitate care conțin computere client DirectAccess.

  3. bifați caseta de selectare Activare DirectAccess numai pentru computere mobile pentru a permite doar computerelor mobile să acceseze rețeaua internă.

  4. bifați caseta de selectare Utilizare tunelare forțată pentru a direcționa tot traficul Clientului (către rețeaua internă și către Internet) prin serverul de acces la distanță.

  5. Faceți Clic Pe Următorul.

Configurarea topologiei de rețea

pentru a implementa accesul la distanță, trebuie să configurați serverul de acces la distanță cu adaptoarele de rețea corecte, o adresă URL publică pentru serverul de acces la distanță la care se pot conecta computerele client (conectare la adresă) și un certificat IP-HTTPS al cărui subiect se potrivește cu adresa conectare la.

  1. în pagina topologie rețea, faceți clic pe topologia de implementare care va fi utilizată în organizația dvs. În Tastați numele public sau adresa IPv4 utilizată de clienți pentru a vă conecta la serverul de acces la distanță, introduceți numele public pentru implementare (acest nume se potrivește cu numele subiectului certificatului IP-HTTPS, de exemplu, edge1.contoso.com), apoi faceți clic pe Următorul.

configurați lista de căutare a sufixelor DNS

pentru clienții DNS, puteți configura o listă de căutare a sufixelor de domeniu DNS care extinde sau revizuiește capacitățile lor de căutare DNS. Adăugând sufixe suplimentare în listă, puteți căuta nume de computere scurte, necalificate, în mai multe domenii DNS specificate. Apoi, dacă o interogare DNS eșuează, serviciul client DNS poate utiliza această listă pentru a adăuga alte terminații de sufix de nume la numele dvs. original și pentru a repeta interogările DNS la serverul DNS pentru aceste FQDNs alternative.

  1. Selectați Configurați clienții DirectAccess cu lista de căutare a sufixelor client DNS pentru a specifica sufixe suplimentare pentru căutările de nume de client.

  2. tastați un nume de sufix nou în sufix nou și apoi faceți clic pe Adăugare. În plus, puteți modifica ordinea de căutare și puteți elimina sufixele din sufixele de domeniu pentru a le utiliza.

într-un scenariu de spațiu de nume disjunct (unde unul sau mai multe computere de domeniu au un sufix DNS care nu se potrivește cu domeniul Active Directory căruia îi aparțin computerele), trebuie să vă asigurați că lista de căutare este personalizată pentru a include toate sufixele necesare. Expertul de acces la distanță va configura în mod implicit numele DNS Active Directory ca sufix DNS primar pe client. Admin ar trebui să se asigure că adaugă sufixul DNS folosit de clienți pentru rezoluția numelui.

pentru computere și servere, următorul comportament implicit de căutare DNS este predeterminat și utilizat la completarea și rezolvarea numelor scurte, necalificate.Când lista de căutare a sufixelor este goală sau nespecificată, sufixul DNS primar al computerului este adăugat la nume scurte necalificate și o interogare DNS este utilizată pentru a rezolva FQDN-ul rezultat.

dacă această interogare eșuează, computerul poate încerca interogări suplimentare pentru FQDNs alternative prin adăugarea oricărui sufix DNS specific conexiunii configurat pentru conexiunile de rețea.Dacă nu sunt configurate sufixe specifice conexiunii sau interogările pentru aceste FQDN-uri specifice conexiunii rezultate eșuează, atunci clientul poate începe apoi să reîncerce interogări bazate pe reducerea sistematică a sufixului primar (cunoscut și sub numele de devoluție).

de exemplu, dacă sufixul primar este „example.microsoft.com,” procesul de devoluție poate încerca din nou interogări pentru numele scurt căutându-l în „microsoft.com domenii” și „com”.

când lista de căutare a sufixelor nu este goală și are cel puțin un sufix DNS specificat, încercările de calificare și rezolvare a numelor DNS scurte se limitează la căutarea numai a acelor FQDNs posibile de lista de sufixe specificată.

dacă interogările pentru toate FQDN-urile formate ca urmare a adăugării și încercării fiecărui sufix din listă nu sunt rezolvate, procesul de interogare eșuează, producând un rezultat „name not found”.

avertisment

dacă se utilizează lista sufixelor de domeniu, clienții continuă să trimită interogări alternative suplimentare bazate pe diferite nume de domenii DNS atunci când o interogare nu este răspunsă sau rezolvată. Odată ce un nume este rezolvat folosind o intrare în lista sufixelor, intrările din listă neutilizate nu sunt încercate. Din acest motiv, este cel mai eficient să comandați mai întâi lista cu cele mai utilizate sufixe de domeniu.

căutările sufixelor de nume de domeniu sunt utilizate numai atunci când o intrare de nume DNS nu este complet calificată. Pentru a califica pe deplin un nume DNS, o perioadă de urmărire (.) este introdus la sfârșitul numelui.

configurare GPO

când configurați accesul la distanță, setările DirectAccess sunt colectate în obiecte de politică de grup (GPO).

în setările GPO, numele GPO al serverului DirectAccess și numele GPO al clientului sunt listate. În plus, puteți modifica setările de selecție GPO.

două GPO-uri sunt populate automat cu setările DirectAccess și distribuite în acest fel:

  1. DirectAccess client GPO. Acest GPO conține setările clientului, inclusiv setările tehnologiei de tranziție IPv6, intrările NRPT și paravanul de protecție Windows cu reguli avansate de securitate a conexiunii. GPO se aplică grupurilor de securitate specificate pentru computerele client.

  2. DirectAccess server GPO. Acest GPO conține setările de configurare DirectAccess care sunt aplicate oricărui server configurat ca server de acces la distanță în implementarea dvs. De asemenea, conține paravan de protecție Windows cu reguli avansate de securitate a conexiunii de securitate.

rezumat

după finalizarea configurației accesului la distanță, se afișează rezumatul. Puteți modifica setările configurate sau faceți clic pe Terminare pentru a aplica configurația.

Lasă un răspuns

Adresa ta de email nu va fi publicată.