Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos

Configurar uma implementação da floresta com vários

James McIllece|Última Atualização: 10/03/2017
|
1 Contribuinte

Aplica-se a: Windows Server 2016

Este tópico descreve como configurar uma implementação da floresta com vários acesso remoto em vários cenários possíveis. Todos os cenários de assumir que DirectAccess atualmente é implementado em uma única floresta denominada Floresta1, e que estiver a configurar o DirectAccess para funcionar com uma nova floresta denominado Floresta2.

Aceda a recursos da Floresta2

Neste cenário, o DirectAccess já implementado no Floresta1 e está configurado para permitir que os clientes da Floresta1 para aceder à rede da empresa. Por predefinição, os clientes ligados por DirectAccess podem aceder aos recursos apenas no Floresta1 e não conseguir aceder a todos os servidores de Floresta2.

Para permitir que os clientes DirectAccess aceder a recursos de Floresta2

  1. Se o sufixo DNS do Floresta2 não faz parte do sufixo DNS do Floresta1, adicionar regras NRPT com o sufixo dos domínios referente no Floresta2 e, opcionalmente, adicionar o sufixo dos domínios referente no Floresta2 para a lista de pesquisa de sufixo DNS.

  2. Adicione os prefixos IPv6 internos relevantes Floresta2 se IPv6 implementada na rede interna.

Permitir que os clientes do Floresta2 para ligar através de DirectAccess

Neste cenário, configurar a implementação de acesso remoto para permitir que os clientes do Floresta2 para aceder à rede da empresa. Será considerado que que criou os grupos de segurança necessários para o cliente computadores em Floresta2.

Para permitir que os clientes do Floresta2 para aceder à rede da empresa

  1. Adicione o grupo de segurança dos clientes da Floresta2.

  2. Se o sufixo DNS do Floresta2 não faz parte do sufixo DNS do Floresta1, adicionar regras NRPT com o sufixo da domínio dos clientes referente no Floresta2 para permitir o acesso aos controladores de domínio de autenticação e, opcionalmente, adicionar o sufixo dos domínios referente no Floresta2 para a lista de pesquisa de sufixo DNS.

  3. Adicione os prefixos IPv6 internos Floresta2 para ativar o DirectAccess criar o encapsulamento de IPsec para os controladores de domínio de autenticação.

  4. Atualize a lista de servidores de gestão.

Adicionar pontos de entrada do Floresta2

Neste cenário, o DirectAccess implementado uma configuração multissite no Floresta1 e que pretende adicionar um servidor de acesso remoto, denominado DA2, do Floresta2 como um ponto de entrada para a implementação de multissite DirectAccess existente.

Para adicionar um servidor de acesso remoto de Floresta2 como um ponto de entrada

  1. Certifique-se de que o administrador de acesso remoto tem permissões suficientes para escrever GPOs no domínio de DA2 e que o administrador de acesso remoto é um administrador local no DA2.

  2. Adicione DA2 como um ponto de entrada.

  3. Adicionar regras NRPT com o sufixo dos domínios referente no Floresta2 para permitir o acesso aos controladores de domínio de autenticação e, opcionalmente, adicionar o sufixo dos domínios referente no Floresta2 para a lista de pesquisa de sufixo DNS.

  4. Adicione relevantes prefixos IPv6 internos no Floresta2, se necessário, para ativar o acesso remoto estabelecer o encapsulamento de IPsec os recursos empresariais e certificar-se de que NCSI testes do trabalho corretamente.

  5. Atualize a lista de servidores de gestão.

Configurar OTP na implementação de uma floresta com vários

Tenha em conta os seguintes termos e quando configurar OTP em uma implementação da floresta com vários:

  • Árvore PKI principal florestas CA-a autoridade de certificação de raiz.

  • Enterprise CA-todas as outras autoridades de certificação.

  • Floresta de recursos-a floresta que contém a autoridade de certificação de raiz e é considerada como sendo a "gerir forest\domain".

  • Floresta Account-todos os outros florestas na topologia.

O script do PowerShell, PKISync.ps1, é necessário para efetuar este procedimento. Consulte AD CS: PKISync.ps1 Script para a inscrição de certificados entre-floresta.

Nota

Este tópico inclui cmdlets Windows PowerShell de exemplo que pode utilizar para automatizar alguns dos procedimentos descritos. Para mais informações, consulte usando os Cmdlets do.

Configurar autoridades de certificação como os editores de certificado

  1. Ative o suporte de referência LDAP em todas a autoridades de certificação em todo as florestas enterprise com o seguinte comando a partir de uma linha de comandos elevada:

    certutil -setreg Policy\EditFlags +EDITF_ENABLELDAPREFERRALS  
    
  2. Adicione todas as contas de computador CA enterprise para os grupos de segurança editores de certificados do Active Directory em cada uma das florestas a conta.

  3. Reinicie todos os serviços de certsvc em todos os computadores de CA em todas as florestas com o seguinte comando a partir de uma linha de comandos elevada:

    net stop certsvc && net start certsvc  
    
  4. Extrai o certificado de autoridade de certificação de raiz com o seguinte comando a partir de uma linha de comandos elevada:

    certutil -config <Computer-Name>\<Root-CA-Name> -ca.cert <root-ca-cert-filename.cer>  
    

    (Se executar o comando na autoridade de certificação de raiz pode omitir as informações de ligação, - config < nome do computador >\< raiz-CA-Name >)

    1. Importe o certificado de certificação de raiz do passo anterior na autoridade de certificação de floresta conta com o seguinte comando a partir de uma linha de comandos elevada:

      certutil -dspublish -f <root-ca-cert-filename.cer> RootCA  
      
    2. Permissões de leitura/escrita de modelos concessão recursos floresta certificado para a\.

    3. Extrai todos os certificados de CA recursos floresta enterprise com o seguinte comando a partir de uma linha de comandos elevada:

      certutil -config <Computer-Name>\<Enterprise-CA-Name> -ca.cert <enterprise-ca-cert-filename.cer>  
      

      (Se executar o comando na autoridade de certificação de raiz pode omitir as informações de ligação, - config < nome do computador >\< raiz-CA-Name >)

    4. Importe os certificados de CA Enterprise do passo anterior na autoridade de certificação de floresta conta com os seguintes comandos a partir de uma linha de comandos elevada:

      certutil -dspublish -f <enterprise-ca-cert-filename.cer> NTAuthCA  
      certutil -dspublish -f <enterprise-ca-cert-filename.cer> SubCA  
      
    5. Remova os modelos de certificado OTP conta floresta na lista de modelos de certificado emitido.

Eliminar e importar os modelos de certificado OTP

  1. Eliminar os modelos de certificado OTP da floresta conta; ou seja, Floresta2.

  2. Copie os modelos de certificado e objetos de identificação de objeto na floresta de recursos para cada uma das florestas conta utilizando os seguintes comandos do PowerShell:

    .\PKISync.ps1 -sourceforest <resource forest DNS> -targetforest <account forest DNS> -type Template -cn <DA OTP registration authority template common name>.  
    .\PKISync.ps1 -sourceforest <resource forest DNS> -targetforest <account forest DNS> -type Template -cn <Secure DA OTP logon certificate template common name>.  
    .\PKISync.ps1 -sourceforest <resource forest DNS> -targetforest <account forest DNS> -type Oid -f  
    

Publicar modelos de certificado OTP

  • Emita os modelos de certificado recentemente importadas em todas as autoridades de certificação de florestas de conta.

Extraia e sincronize a autoridade de certificação

  1. Extrai todos os certificados de CA Enterprise florestas a conta com os seguintes comandos a partir de uma linha de comandos elevada:

    certutil -config <Computer-Name>\<Enterprise-CA-Name> -ca.cert <enterprise-ca-cert-filename.cer>  
    
  2. Sincronize ACS florestas de florestas a conta para a floresta de recursos com o seguinte comando PowerShell:

    .\PKISync.ps1 -sourceforest <account forest DNS> -targetforest <resource forest DNS> -type CA -cn <enterprise CA sanitized name> -f  
    
  3. Sincronize ACS florestas na floresta de recursos para florestas a conta com o seguinte comando PowerShell:

    .\PKISync.ps1 -sourceforest <resource forest DNS> -targetforest <account forest DNS> -type CA -cn <enterprise CA sanitized name> -f  
    

Procedimentos de configuração

As secções seguintes contêm os procedimentos de configuração para as implementações de cenário acima. Depois de concluir um procedimento, regresse ao cenário para continuar.

Adicionar NRPT regras e sufixos DNS

Os clientes que ligar através de DirectAccess à rede da empresa utilizar o nome da política de tabela NRPT (resolução) para determinar qual servidor DNS deve ser utilizado para resolver o endereço de recursos diferentes. Isto permite que o cliente resolver os endereços de recursos empresariais e ajuda o cliente a manter uma classificação adequada no centro-empresarial/exterior-empresarial, que é necessário para manter o DirectAccess a funcionar. As ferramentas de configuração DirectAccess detectam o sufixo DNS de raiz do Floresta1 e adicioná-lo à tabela de NRPT automaticamente. No entanto, o sufixo da Floresta2 referente FQDN não é adicionados automaticamente à tabela de NRPT e o administrador de acesso remoto tem adicioná-las manualmente.

A lista de pesquisa de sufixo DNS permite que os clientes de utilizar nomes de etiqueta curtos em vez de FQDNs. As ferramentas de configuração de acesso remoto adicionam automaticamente todos os domínios no Floresta1 para a lista de pesquisa de sufixo DNS. Se quiser permitir que os clientes usar nomes de etiqueta curtos para recursos em Floresta2, tem de adicioná-las manualmente.

Para adicionar um sufixo DNS a NRPT sufixos tabela e o domínio para o sufixo DNS procurar na lista
  1. No painel central da consola de gestão de acesso remoto, na passo 3 infraestrutura servidores área, clique em editar.

  2. No servidor de localização de rede da página, clique em seguinte.

  3. No DNS página, na tabela, introduza quaisquer sufixos nome adicionais que façam parte da rede da empresa na floresta 2. Em endereço do servidor DNS, introduza o endereço do servidor DNS manualmente ou clicando em Detetar. Se não introduzir o endereço, as novas entradas são aplicadas como exceções de NRPT. Em seguida, clique em seguinte.

  4. Opcional: No lista de pesquisa de sufixo DNS de página, adicionar qualquer sufixo DNS introduzindo o sufixo na novo sufixo caixa e, em seguida, clicando em adicionar. Em seguida, clique em seguinte.

  5. No gestão da página, clique em concluir.

  6. No painel do meio da consola de gestão de acesso remoto, clique em concluir.

  7. No revisão de acesso remoto caixa de diálogo, clique em aplicar.

  8. No aplicar a configuração do Assistente de configurações de acesso remoto caixa de diálogo, clique em fechar.

Adicionar interno prefixo IPv6

Nota

Adicionar um IPv6 interna prefixo é relevante apenas quando IPv6 implementada na rede interna.

Acesso remoto gere uma lista de prefixos IPv6 recursos empresariais. Apenas os recursos com esses prefixos IPv6 podem ser acedidos pelos clientes ligados através de DirectAccess. Uma vez que a consola de gestão de acesso remoto e comandos do Windows PowerShell automaticamente adicionar prefixos IPv6 dos Floresta1 e não poderão adicionar prefixos dos outros florestas, tem de adicionar qualquer prefixo em falta de Floresta2 manualmente.

Para adicionar um prefixo IPv6
  1. No painel central da consola de gestão de acesso remoto, na servidor de acesso remoto do passo 2 área, clique em editar.

  2. No Assistente de configuração de servidor de acesso remoto, clique em configuração prefixo.

  3. No prefixo de configuração page, no prefixos de rede interna do Adquirente IPv6, adicionar qualquer prefixo IPv6 adicional separadas por ponto e vírgula, por exemplo, 2001:db8:1::/ / 64; 2001:db8:2: / 64. Em seguida, clique em seguinte.

  4. No autenticação da página, clique em concluir.

  5. No painel do meio da consola de gestão de acesso remoto, clique em concluir.

  6. No revisão de acesso remoto caixa de diálogo, clique em aplicar.

  7. No aplicar a configuração do Assistente de configurações de acesso remoto caixa de diálogo, clique em fechar.

Adição de grupos de segurança do cliente

Para ativar o Windows 8 computadores de cliente do Floresta2 para aceder aos recursos através de DirectAccess, tem de adicionar o grupo de segurança de Floresta2 para a implementação de acesso remoto.

A adição de grupos de segurança de cliente do Windows 8
  1. No painel central da consola de gestão de acesso remoto, na passo 1 remoto clientes área, clique em editar.

  2. No Assistente de configuração do cliente DirectAccess, clique em selecionar grupose, em seguida, no selecionar grupos da página, clique em adicionar.

  3. No selecionar grupos caixa de diálogo caixa, selecione os grupos de segurança que contém os computadores cliente DirectAccess. Em seguida, clique em seguinte.

  4. No Assistente de conectividade de rede da página, clique em concluir.

  5. No painel do meio da consola de gestão de acesso remoto, clique em concluir.

  6. No revisão de acesso remoto caixa de diálogo, clique em aplicar.

  7. No aplicar a configuração do Assistente de configurações de acesso remoto caixa de diálogo, clique em fechar.

Para ativar o Windows 7 computadores cliente de Floresta2 recursos acesso através do DirectAccess quando multissite estiver ativada, tem de adicionar o grupo de segurança de Floresta2 para a implementação de acesso remoto para cada ponto de entrada. Para obter informações sobre a adição de grupos de segurança do Windows 7, consulte a descrição da o suporte ao cliente página no 3.6. Ative a implementação multissite.

Atualizar a lista de servidores de gestão

Acesso remoto deteta automaticamente os servidores de infraestrutura em todas as florestas que contêm DirectAccess GPOs de configuração. Se o DirectAccess foi implementado num servidor da Floresta1, GPO server será escrito para o seu domínio no Floresta1. Se ativou acesso para o DirectAccess para clientes do Floresta2, o cliente GPO será escrito a um domínio na Floresta2.

O processo de Deteção automática de servidores de infraestrutura é necessário para permitir o acesso através do DirectAccess para os controladores de domínio e System Center Configuration Manager. Inicie manualmente o processo de Deteção.

Para atualizar a lista de servidores de gestão
  1. Na consola de gestão de acesso remoto, clique em configuraçãoe, em seguida, na tarefas painel, clique em atualizar servidores de gestão de.

  2. No servidores de gestão de atualizar caixa de diálogo, clique em fechar.

© 2017 Microsoft