steg 2 Konfigurera DirectAccess-VPN-servern

  • 08/07/2020
  • 5 minuter att läsa
    • J
    • e
    • j
    • n
    • m
    • +2

gäller för: Windows Server (Halvårskanal), Windows Server 2016

i det här avsnittet beskrivs hur du konfigurerar de klient-och serverinställningar som krävs för en grundläggande fjärråtkomstdistribution med hjälp av guiden aktivera DirectAccess.

följande tabell ger en översikt över de steg du kan slutföra med hjälp av det här avsnittet.

uppgift beskrivning
konfigurera DirectAccess-klienter konfigurera Fjärråtkomstservern med säkerhetsgrupperna som innehåller DirectAccess-klienter.
konfigurera nätverkstopologin konfigurera inställningar för fjärråtkomstserver.
konfigurera söklistan för DNS-Suffix ändra söklistan för Suffix om så önskas.
GPO-konfiguration ändra GPO: erna om så önskas.

för att starta guiden aktivera DirectAcces

  1. klicka på Verktyg i Serverhanteraren och klicka sedan på fjärråtkomst.Guiden aktivera DirectAccess startar automatiskt om du inte har valt Visa inte den här skärmen igen.

  2. om guiden inte startar automatiskt högerklickar du på servernoden i trädet Routing och fjärråtkomst och klickar sedan på Aktivera DirectAccess.

  3. Klicka På Nästa.

konfigurera DirectAccess-klienter

för att en klientdator ska kunna använda DirectAccess måste den tillhöra den valda säkerhetsgruppen. När DirectAccess har konfigurerats tillhandahålls klientdatorer i säkerhetsgruppen för att ta emot DirectAccess-gruppprincipen.

  1. klicka på Lägg till på sidan Välj grupper.

  2. i dialogrutan Välj grupper väljer du de säkerhetsgrupper som innehåller DirectAccess-klientdatorer.

  3. markera kryssrutan Aktivera DirectAccess för endast mobila datorer om du vill tillåta endast mobila datorer att komma åt det interna nätverket.

  4. markera kryssrutan Använd force tunneling för att dirigera all klienttrafik (till det interna nätverket och till Internet) via Fjärråtkomstservern.

  5. Klicka På Nästa.

konfigurera nätverkstopologin

för att distribuera fjärråtkomst måste du konfigurera Fjärråtkomstservern med rätt nätverkskort, en offentlig URL för Fjärråtkomstservern som klientdatorer kan ansluta till (Anslut till adress) och ett IP-HTTPS-certifikat vars ämne matchar Anslut till adress.

  1. på sidan nätverkstopologi klickar du på den distributionstopologi som ska användas i din organisation. I Skriv det offentliga namnet eller IPv4-adressen som används av klienter för att ansluta till Fjärråtkomstservern, ange det offentliga namnet för distributionen (det här namnet matchar ämnesnamnet för IP-HTTPS-certifikatet, till exempel, edge1.contoso.com) och klicka sedan på Nästa.

konfigurera söklistan för DNS-Suffix

för DNS-klienter kan du konfigurera en söklista för DNS-domänsuffix som utökar eller reviderar deras DNS-sökfunktioner. Genom att lägga till ytterligare suffix i listan kan du söka efter korta, okvalificerade datornamn i mer än en angiven DNS-domän. Om en DNS-fråga misslyckas kan DNS-klienttjänsten sedan använda den här listan för att lägga till andra namnsuffixändringar till ditt ursprungliga namn och upprepa DNS-frågor till DNS-servern för dessa alternativa FQDNs.

  1. Välj Konfigurera DirectAccess-klienter med DNS-klient suffix söklista för att ange ytterligare suffix för klientnamnssökningar.

  2. Skriv ett nytt suffixnamn i nytt Suffix och klicka sedan på Lägg till. Dessutom kan du ändra sökordningen och ta bort suffix från domän suffix att använda.

i ett ojämnt namnrymdsscenario (där en eller flera domändatorer har ett DNS-suffix som inte matchar Active Directory-domänen som datorerna tillhör) bör du se till att söklistan är anpassad för att inkludera alla nödvändiga suffix. Guiden fjärråtkomst konfigurerar som standard Active Directory DNS-namn som det primära DNS-suffixet på klienten. Admin bör se till att han lägger till DNS-suffixet som används av klienter för namnupplösning.

för datorer och servrar är följande standard DNS-sökbeteende förutbestämt och används när du fyller i och löser korta, okvalificerade namn.När suffixsökningslistan är tom eller ospecificerad läggs datorns primära DNS-suffix till korta okvalificerade namn och en DNS-fråga används för att lösa det resulterande FQDN.

om den här frågan misslyckas kan datorn prova ytterligare frågor för alternativa FQDNs genom att lägga till något anslutningsspecifikt DNS-suffix som är konfigurerat för nätverksanslutningar.Om inga anslutningsspecifika suffix konfigureras eller frågor för dessa resulterande anslutningsspecifika FQDNs misslyckas, kan klienten sedan börja försöka igen frågor baserat på systematisk reduktion av det primära suffixet (även känt som decentralisering).

till exempel, om det primära suffixet är ”example.microsoft.com,” decentraliseringsprocessen kan försöka igen frågor om det korta namnet genom att söka efter det i ”microsoft.com” och ” Com ” domäner.

när suffixsöklistan inte är tom och har minst ett DNS-suffix specificerat, är försök att kvalificera och lösa korta DNS-namn begränsade till att bara söka efter de FQDN som möjliggörs av den angivna suffixlistan.

om frågor för alla FQDN: er som bildas som ett resultat av att lägga till och försöka varje suffix i listan inte löses, misslyckas frågeprocessen och ger ett ”namn hittades inte” – resultat.

Varning

om domänsuffixlistan används fortsätter klienter att skicka ytterligare alternativa frågor baserat på olika DNS-domännamn när en fråga inte besvaras eller löses. När ett namn har lösts med en post i suffixlistan prövas inte oanvända listposter. Av denna anledning är det mest effektivt att beställa listan med de mest använda domänsuffixerna först.

Domännamnssuffixsökningar används endast när en DNS-namninmatning inte är fullständigt kvalificerad. För att fullt ut kvalificera ett DNS-namn, en efterföljande period (.) anges i slutet av namnet.

GPO-konfiguration

när du konfigurerar fjärråtkomst samlas DirectAccess-inställningarna in i grupprincipobjekt (GPO).

i GPO-Inställningar visas DirectAccess-serverns GPO-namn och klientens GPO-namn. Dessutom kan du ändra inställningarna för GPO-val.

två GPO: er fylls automatiskt med DirectAccess-inställningar och distribueras på detta sätt:

  1. DirectAccess klient GPO. Detta GPO innehåller klientinställningar, inklusive inställningar för IPv6 – övergångsteknik, nrpt-poster och Windows-brandväggen med avancerade säkerhetsanslutningssäkerhetsregler. GPO tillämpas på de säkerhetsgrupper som anges för klientdatorerna.

  2. DirectAccess server GPO. Detta grupprincipobjekt innehåller DirectAccess-konfigurationsinställningarna som tillämpas på alla servrar som är konfigurerade som en fjärråtkomstserver i din distribution. Den innehåller också Windows-brandväggen med avancerade säkerhetsanslutningssäkerhetsregler.

sammanfattning

När konfigurationen för fjärråtkomst är klar visas sammanfattningen. Du kan ändra de konfigurerade inställningarna eller klicka på Slutför för att tillämpa konfigurationen.

Lämna ett svar

Din e-postadress kommer inte publiceras.