Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Stap 2 de DirectAccess-implementatie plannen

James McIllece|Laatst bijgewerkt: 10-3-2017
|
1 Inzender

Van toepassing op: WindowsServer 2016

Na het plannen van de RAS-infrastructuur, is de volgende stap bij het inschakelen van DirectAccess het plannen van de instellingen voor de DirectAccesss wizard inschakelen.

TaakBeschrijving
Planning voor clientimplementatiePlan hoe clientcomputers verbinding maken met DirectAccess-computers. Bepaal welke beheerde computers worden geconfigureerd als DirectAccess-clients.
RAS-server-implementatie plannenPlan het implementeren van de RAS-server.

Planning voor clientimplementatie

Er zijn twee beslissingen bij het plannen van uw clientimplementatie:

  • DirectAccess is alleen beschikbaar voor mobiele computers, of een andere computer?

    Wanneer u DirectAccess-clients in de wizard DirectAccess inschakelen configureert, kunt u kiezen om toe te staan alleen mobiele computers in de opgegeven beveiligingsgroepen verbinding maken met DirectAccess. Als u toegang tot mobiele computers beperken, configureert Remote Access automatisch een WMI-filter om ervoor te zorgen dat de DirectAccess-client die groepsbeleidsobject alleen op mobiele computers in de opgegeven beveiligingsgroepen toegepast wordt. De RAS-beheerder vereist machtigingen maken of wijzigen van WMI-filters voor Groepsbeleid als deze instelling wilt inschakelen.

  • Welke beveiligingsgroepen zullen de DirectAccess-clientcomputers bevatten?

    DirectAccess-instellingen zijn opgenomen in het groepsbeleidsobject voor DirectAccess-client. Het groepsbeleidsobject wordt toegepast op computers die deel uitmaken van de beveiligingsgroepen die u in de wizard DirectAccess inschakelen opgeeft. U kunt beveiligingsgroepen die zijn opgenomen in elk ondersteunde domein opgeven. Voordat u externe toegang configureert, moeten de beveiligingsgroepen worden gemaakt. U kunt computers toevoegen aan de beveiligingsgroep na het voltooien van de RAS-implementatie, maar houd er rekening mee dat als u clientcomputers die zich in een ander domein aan de beveiligingsgroep toevoegt bevinden, groepsbeleidsobject voor de client niet worden toegepast op deze clients. Bijvoorbeeld, als u SG1 in domein A voor DirectAccess-clients en later clients van domein B aan deze groep toevoegt, wordt groepsbeleidsobject voor de client niet toegepast op clients in domein B. U voorkomt dit probleem, maak een nieuwe clientbeveiligingsgroep voor elk domein dat clientcomputers bevat. U kunt ook als u niet maken van een nieuwe beveiligingsgroep wilt, de Add-DAClient cmdlet uitvoeren met de naam van het nieuwe groepsbeleidsobject voor het nieuwe domein.

RAS-server-implementatie plannen

Er zijn een aantal beslissingen worden genomen bij het plannen van uw RAS-server implementeren:

  • Netwerktopologie-er zijn twee topologieën beschikbaar bij het implementeren van een RAS-server:

    • Twee adapters-met twee netwerkadapters, externe toegang kan worden geconfigureerd met één netwerkadapter rechtstreeks verbonden met Internet en de andere met het interne netwerk is verbonden. Of u kunt ook de server achter een randapparaat zoals een firewall of router is geïnstalleerd. In deze configuratie één adapter is verbonden met het perimeternetwerk, de andere is verbonden met het interne netwerk.

    • Eén netwerkadapter-In deze configuratie de RAS-server achter een randapparaat zoals een firewall of router is geïnstalleerd. De netwerkadapter is verbonden met het interne netwerk.

  • Netwerkadapters-de wizard DirectAccess inschakelen detecteert automatisch de netwerkadapters zijn geconfigureerd op de RAS-server, op basis van de interfaces gebruikt via VPN. U moet ervoor zorgen dat de juiste adapters worden geselecteerd.

  • ConnectTo-adres-clientcomputers gebruiken het ConnectTo-adres om verbinding maken met de RAS-server. Het adres dat u kiest moet overeenkomen met de naam van het IP-HTTPS-certificaat dat u voor de IP-HTTPS-verbinding implementeert en beschikbaar in de openbare DNS-server zijn moet. Zie Websitecertificaten plannen voor IP-HTTPS.

  • IP-HTTPS-certificaat-als SSTP VPN is geconfigureerd, haalt de wizard DirectAccess inschakelen het certificaat dat door SSTP wordt gebruikt voor IP-HTTPS. Als SSTP VPN niet is geconfigureerd, probeert de wizard om te zien als een certificaat voor IP-HTTPS is geconfigureerd. Als dat niet het geval is, wordt deze automatisch zelfondertekende certificaten voor IP-HTTPS IP-HTTPS.The schakelt automatisch Kerberos-verificatie. De wizard schakelt ook NAT64 en DNS64 voor de protocolvertaling in de IPv4-omgeving.

  • IPv6-voorvoegsels-als de wizard detecteert dat IPv6 is geïmplementeerd op de netwerkadapters, wordt automatisch gemaakt IPv6-voorvoegsels voor het interne netwerk, een IPv6-voorvoegsel om toe te wijzen aan DirectAccess-clientcomputers en een IPv6-voorvoegsel om toe te wijzen aan VPN-clientcomputers. Als de automatisch gegenereerde voorvoegsels niet correct voor de systeemeigen IPv6- of ISATAP-infrastructuur, moet u ze handmatig wijzigen. Zie 1.1 Planning netwerk- en Servertopologie en instellingen.

  • Windows 7-clients-standaard geen Windows 7 client-computers verbinding maken met een Windows Server 2012 RAS-implementatie. Als u Windows 7 client-computers in uw organisatie die externe toegang tot interne bronnen vereisen, kunt u toestaan om verbinding te maken. Clientcomputers die u toestaan wilt voor toegang tot interne bronnen moet lid zijn van een beveiligingsgroep die u in de wizard DirectAccess inschakelen opgeeft.

    Opmerking

    Zodat de Windows 7 clientcomputers verbinding maken met DirectAccess, moet u verificatie met computercertificaten gebruiken.

  • Verificatie-de wizard DirectAccess inschakelen maakt gebruik van Active Directory om de gebruikersreferenties te verifiëren. Zie voor het implementeren van tweeledige verificatie, RAS implementeren met OTP-verificatie.

© 2017 Microsoft