Table of contents
TOC
Minimera innehållsförteckningen
Maximera innehållsförteckningen

Steg 1 konfigurerar DirectAccess-infrastrukturen

James McIllece|Senast uppdaterad: 2017-03-10
|
1 Medverkande

Gäller för: Windows Server 2016

Det här avsnittet beskrivs hur du konfigurerar den infrastruktur som krävs för att aktivera DirectAccess i en befintlig VPN-distribution. Innan du påbörjar distributionssteg att se till att du har slutfört planera stegen som beskrivs i steg 1: Planera DirectAccess-infrastrukturen.

AktivitetBeskrivning
Konfigurera inställningar för server-nätverkKonfigurera serverinställningar för nätverk på fjärråtkomstservern.
Konfigurera routning i företagsnätverketKonfigurera routning i företagsnätverket och kontrollera trafik dirigeras på rätt sätt.
Konfigurera brandväggarKonfigurera ytterligare brandväggar, om det behövs.
Konfigurera certifikatutfärdare och certifikatGuiden aktiverar DirectAccess konfigurerar en inbyggd i Kerberos-proxy som autentiserar med användarnamn och lösenord. Den konfigurerar även ett IP-HTTPS-certifikat på fjärråtkomstservern.
Konfigurera DNS-serverKonfigurera DNS-inställningar för RAS-servern.
Konfigurera Active DirectoryAnsluta till klientdatorer i Active Directory-domänen.
Konfigurera grupprincipobjektKonfigurera grupprincipobjekt för att distribuera, om det behövs.
Konfigurera säkerhetsgrupperKonfigurera säkerhetsgrupper som innehåller DirectAccess-klientdatorer och andra säkerhetsgrupper som krävs i distributionen.
Konfigurera nätverksplatsservernGuiden aktiverar DirectAccess konfigurerar nätverksplatsservern på DirectAccess-servern.

Konfigurera inställningar för server-nätverk

Följande gränssnitt nätverksinställningar krävs för en enskild server-distribution i en miljö med IPv4 och IPv6. Alla IP-adresser konfigureras med hjälp av ändra inställningar för nätverkskortet i den Windows nätverks- och delningscenter.

  • Kant-topologi

    • En mot Internet offentliga statiska IPv4 eller IPv6-adress.

    • En enda intern statiska IPv4 eller IPv6-adress.

  • Bakom en NAT-enhet (två nätverkskort)

    • En enda interna nätverks-och statiska IPv4 eller IPv6-adress.
  • Bakom en NAT-enhet (ett nätverkskort)

    • En enda statiska IPv4 eller IPv6-adress.
Information

I den händelse att fjärråtkomstservern har två nätverkskort (ett klassificeras i domänprofilen och andra i en offentlig/privat profil), men används en enda NIC-topologi, sedan är rekommendationen följande:

  1. Kontrollera Nätverkskortet 2 klassificeras också i domänprofilen – rekommenderas.
  2. Om 2 Nätverkskort inte kan konfigureras för domänprofilen av någon anledning, måste DirectAccess IPsec-princip vara begränsade till alla profiler som använder följande Windows PowerShell-kommandon manuellt:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>  
    Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any  
    Save-NetGPO -GPOSession $gposession  
    

Konfigurera routning i företagsnätverket

Konfigurera routning i företagsnätverket på följande sätt:

  • När inbyggd IPv6 distribuerat i organisationen, lägga till en väg för routrar i det interna nätverk flödet IPv6-trafik bakåt till fjärråtkomstservern.

  • Manuellt konfigurera organisationen IPv4 och IPv6-vägar på RAS-servrar. Lägga till en publicerad väg så att alla utgående trafik med en organisation (/ 48) IPv6-prefix vidarebefordras till det interna nätverket. Dessutom för IPv4-trafik, lägga till explicita vägar så att IPv4-trafik som vidarebefordras till det interna nätverket.

Konfigurera brandväggar

När du använder ytterligare brandväggar i distributionen, gäller följande mot Internet-brandväggsundantag för fjärråtkomst-trafik när fjärråtkomstservern finns på IPv4-Internet:

  • 6to4-trafik i IP-protokoll 41 inkommande och utgående.

  • Målport 443 för IP-HTTPS-Transmission Control Protocol (TCP) och TCP-källport 443 utgående. När fjärråtkomstservern har ett enda nätverkskort och nätverksplatsservern finns på fjärråtkomstservern, sedan krävs även TCP-port 62000.

När du använder ytterligare brandväggar, gäller följande mot Internet-brandväggsundantag för fjärråtkomst-trafik när fjärråtkomstservern är på IPv6-Internet:

  • IP-protokoll 50

  • UDP-målporten 500 inkommande, och UDP-källporten 500 utgående.

När du använder ytterligare brandväggar, gäller följande internt nätverk firewall-undantag för Remote Access-trafik:

  • ISATAP-protokoll 41 inkommande och utgående

  • TCP/UDP för alla IPv4/IPv6-trafik

Konfigurera certifikatutfärdare och certifikat

Guiden aktiverar DirectAccess konfigurerar en inbyggd i Kerberos-proxy som autentiserar med användarnamn och lösenord. Den konfigurerar även ett IP-HTTPS-certifikat på fjärråtkomstservern.

Konfigurera certifikatmallar

När du använder en intern Certifikatutfärdare att utfärda certifikat måste du konfigurera en certifikatmall för IP-HTTPS-certifikat och nätverk plats servercertifikatet webbplats.

Så här konfigurerar du en certifikatmall
  1. Skapa en certifikatmall i den interna Certifikatutfärdaren som beskrivs i skapa certifikatmallar.

  2. Distribuera certifikatmallen som beskrivs i Distribuera certifikatmallar.

Konfigurera IP-HTTPS-certifikat

Fjärråtkomst kräver ett IP-HTTPS-certifikat för autentisering av IP-HTTPS-anslutningar till RAS-servern. Det finns tre alternativ för certifikat för IP-HTTPS-certifikat:

  • Offentliga-tillhandahålls av 3 part.

    Ett certifikat som används för IP-HTTPS-autentisering. I fallen används att certifikatets ämnesnamn är inte jokertecken och sedan måste den vara FQDN matchas externt URL: EN endast för fjärråtkomstservern IP-HTTPS-anslutningar.

  • Privata-följande krävs, om de inte redan finns:

    • En webbplatscertifikat som används för IP-HTTPS-autentisering. Certifikatämnet bör vara ett externt matchas fullständigt kvalificerat domännamn (FQDN) kan nås från Internet.

    • En lista över återkallade certifikat (CRL) distributionspunkt som kan nås från en webbfilter FQDN.

  • Egensignerat-följande krävs, om de inte redan finns:

    Information

    Självsignerade certifikat kan inte användas i distributioner till flera platser.

    • En webbplatscertifikat som används för IP-HTTPS-autentisering. Certifikatämnet bör vara ett externt matchas FQDN som kan nås från Internet.

    • En distributionspunkt för listor över återkallade Certifikat som kan nås från ett webbfilter fullständigt kvalificerat domännamn (FQDN).

Kontrollera att webbplatsen certifikatet som används för IP-HTTPS-autentisering uppfyller följande krav:

  • Nätverksnamnet för certifikatet ska matcha namnet på IP-HTTPS-platsen.

  • Ange IPv4-adressen för det externa nätverkskortet på fjärråtkomstservern eller FQDN för den IP-HTTPS-URL i ämnesfältet.

  • Använd serverautentisering objektidentifieraren (OID) för fältet avancerad nyckelanvändning.

  • Ange en distributionspunkt för listor över återkallade Certifikat som kan nås av DirectAccess-klienter som är anslutna till Internet för fältet distributionsplatser för listor över återkallade Certifikat.

  • IP-HTTPS-certifikatet måste ha en privat nyckel.

  • IP-HTTPS-certifikat måste importeras direkt till det personliga arkivet.

  • IP-HTTPS-certifikat kan använda jokertecken i namnet.

Så här installerar du IP-HTTPS-certifikat från en intern Certifikatutfärdare
  1. På fjärråtkomstservern: på den Start skrivermmc.exe, och tryck sedan på RETUR.

  2. I MMC-konsolen på den filen -menyn klickar du på Lägg till/ta bort snapin-modulen.

  3. På den lägga till eller ta bort snapin-moduler dialogrutan Klicka certifikat, klicka på Lägg till, klicka på datorkonto, klicka på nästa, klicka på lokal dator, klicka på Slutför, och klicka OK.

  4. I konsolträdet i snapin-modulen certifikat, öppna certifikat (lokal dator) \Personal\Certificates.

  5. Högerklicka på certifikat, peka på alla aktiviteter, och klicka sedan på begär nytt certifikat.

  6. Klicka på nästa två gånger.

  7. På den begära certifikat sidan, markerar du kryssrutan för certifikatmallen och om det behövs klickar du på mer information krävs för att registrera det här certifikatet.

  8. På den certifikategenskaper dialogrutan den ämne fliken den ämnesnamnet område i typmarkerar nätverksnamn.

  9. I värdetange IPv4-adressen för det externa nätverkskortet på fjärråtkomstservern eller FQDN för IP-HTTPS-URL och klicka sedan på Lägg till.

  10. I den alternativt namn området i typVälj DNS.

  11. I värdetange IPv4-adressen för det externa nätverkskortet på fjärråtkomstservern eller FQDN för IP-HTTPS-URL och klicka sedan på Lägg till.

  12. På den allmänna fliken eget namn, kan du ange ett namn som hjälper dig att identifiera certifikatet.

  13. På den tillägg fliken bredvid utökad nyckelanvändningklickar du på pilen och kontrollera att autentisera Server finns i den valt alternativ lista.

  14. Klicka på OK, klickar du på registrera, och klicka sedan på Slutför.

  15. I informationsfönstret i snapin-modulen Certifikat kan du kontrollera det nya certifikatet har registrerats med avsedda syften serverautentisering.

Konfigurera DNS-server

Du måste manuellt konfigurera en DNS-post för webbplatsen för network platsen för det interna nätverket i distributionen.

Så här skapar du platsen nätverk avsökning server- och DNS-poster

  1. Interna nätverks-DNS-servern: på den Start skriver** dnsmgmt.msc**, och tryck sedan på RETUR.

  2. I det vänstra fönstret i DNS-hanteraren konsolen, expandera zon för vanlig sökning för din domän. Högerklicka på domänen och på ny värd (A eller AAAA).

  3. På den ny värddator i dialogrutan den namn (den överordnade domänens namn används om inget anges) skriver du DNS-namnet för nätverket plats server webbplats (detta är det namn som DirectAccess-klienter använder för att ansluta till nätverksplatsservern). I den IP-adress rutan anger du nätverksplatsservern IPv4-adress och klicka sedan på Lägg till värddator. På den DNS dialogrutan Klicka OK.

  4. På den ny värddator i dialogrutan den namn (den överordnade domänens namn används om inget anges) ange DNS-namn för webb-avsökning (för webben-avsökning standard heter directaccess-webprobehost). I den IP-adress rutan Ange IPv4-adressen till webben avsökning och klicka sedan på Lägg till värddator. Upprepa processen för directaccess-corpconnectivityhost och personer som en manuellt skapad anslutning. På den DNS dialogrutan Klicka OK.

  5. Klicka på klar.

Windows PowerShellWindows PowerShell motsvarande kommandon ***

Följande Windows PowerShell-cmdlet eller -cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enskild rad, trots att de kan radbruten över flera rader p.g.a. Formateringsbegränsningar.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>  
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>  

Du måste också konfigurera DNS-poster för följande:

  • IP-HTTPS-serverDirectAccess – klienter måste kunna matcha DNS-namnet på servern från Internet.

  • Lista över återkallade Certifikat återkallningskontroll- DirectAccess använder kontroll av återkallade certifikat för IP-HTTPS-anslutning mellan DirectAccess-klienter och fjärråtkomstservern och HTTPS-baserad anslutningen mellan DirectAccess-klienten och nätverksplatsservern. I båda fallen måste DirectAccess-klienter kunna matcha och komma åt point distributionsplatsen lista över återkallade Certifikat.

Konfigurera Active Directory

Fjärråtkomstservern och alla DirectAccess-klientdatorer måste vara ansluten till en Active Directory-domän. DirectAccess-klientdatorer måste vara medlem i någon av följande domäntyper av:

  • Domäner som tillhör samma skog som fjärråtkomstservern.

  • Domäner som tillhör skogar med ett dubbelriktat förtroende med skog för fjärråtkomst-server.

  • Domäner som har en dubbelriktad domänen lita till Remote Access server-domän.

Att ansluta klientdatorer till domänen

  1. På den Start skriver explorer.exe, och tryck sedan på RETUR.

  2. Högerklicka på datorn och klicka sedan på egenskaper.

  3. På den System klickar du på avancerade systeminställningar.

  4. På den Systemegenskaper dialogrutan den datornamn klickar du på ändra.

  5. I datornamn, skriver du namnet på datorn om du dessutom ändrar datornamn när du ansluter servern till domänen. Under medlem i, klickar du på domän, och skriv sedan namnet på den domän som du vill ansluta till servern. till exempel corp.contoso.com och klicka sedan på OK.

  6. När du uppmanas ange ett användarnamn och lösenord, ange användarnamn och lösenord för en användare med behörighet att ansluta till datorer i domänen och klicka sedan på OK.

  7. När en dialogruta där du hälsas Välkommen till domänen klickar du på OK.

  8. När du uppmanas att du måste starta om datorn, klickar du på OK.

  9. På den Systemegenskaper i dialogrutan klickar du på Stäng. Klicka på starta om nu när du uppmanas att göra.

Windows PowerShellWindows PowerShell motsvarande kommandon ***

Följande Windows PowerShell-cmdlet eller -cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enskild rad, trots att de kan radbruten över flera rader p.g.a. Formateringsbegränsningar.

Observera att du måste ange autentiseringsuppgifter för domänen när du har angett med kommandot Add-Computer.

Add-Computer -DomainName <domain_name>  
Restart-Computer  

Konfigurera grupprincipobjekt

Om du vill distribuera fjärråtkomst krävs minst två grupprincipobjekt: ett grupprincipobjekt som innehåller inställningar för fjärråtkomstservern och en innehåller inställningar för DirectAccess-klientdatorer. När du konfigurerar fjärråtkomst skapas automatiskt nödvändiga grupprincipobjekt. Men om din organisation kräver en namnkonvention eller du har inte behörighet att skapa eller redigera grupprincipobjekt, måste de skapas innan du konfigurerar fjärråtkomst.

Om du vill skapa grupprincipobjekt finns skapa och redigera ett grupprincipobjekt.

Viktigt

Administratören kan manuellt koppla DirectAccess-grupprincipobjekt till en organisationsenhet med hjälp av de här stegen:

  1. Innan du konfigurerar DirectAccess länka skapade grupprincipobjekt till respektive organisationsenheter.
  2. Konfigurera DirectAccess, ange en säkerhetsgrupp för klientdatorerna.
  3. Fjärråtkomst-administratören kan eller kanske inte har behörighet att länka grupprincipobjekt för till domänen. I båda fallen konfigureras grupprincipobjekten automatiskt. Länkarna inte tas bort om grupprincipobjekten redan är länkade till en Organisationsenhet, och grupprincipobjekten länkas inte till domänen. Organisationsenheten måste innehålla datorobjekt servern för en server grupprincipobjekt eller Grupprincipobjektet länkas till roten för domänen.
  4. Om länkar till Organisationsenheten inte har utförts innan du kör guiden DirectAccess kan sedan när konfigurationen är klar, domänadministratören länka grupprincipobjekt för DirectAccess till nödvändiga organisationsenheter. Länk till domänen kan tas bort. Steg för länka ett grupprincipobjekt till en organisationsenhet finns här.
Information

Om ett grupprincipobjekt har skapats manuellt, är det möjligt under konfigurationssteget DirectAccess som grupprincipobjektet är inte tillgängliga. Ett grupprincipobjekt kan inte har replikerats till den närmaste domänkontrollanten till hantering av datorn. I så fall administratören vänta på att slutföra replikeringen eller framtvinga replikering.

Konfigurera säkerhetsgrupper

DirectAccess-inställningarna i klientdatorn grupprincipobjekt tillämpas endast för datorer som är medlemmar i de säkerhetsgrupper som du anger när du konfigurerar fjärråtkomst. Om du använder säkerhetsgrupper för att hantera dina programservrar du dessutom skapa en säkerhetsgrupp för dessa servrar.

Skapa en säkerhetsgrupp för DirectAccess-klienter

  1. På den Start skriverdsa.msc, och tryck sedan på RETUR. I den Active Directory-användare och datorer -konsolen i den vänstra rutan, expandera den domän som innehåller gruppen högerklickar du på användare, peka på nya, och klicka sedan på grupp.

  2. På den nytt objekt – grupp dialogrutan under gruppnamn, ange namn för gruppen.

  3. Under gruppdefinitionsområde, klickar du på Globalunder grupptyp, klickar du på säkerhet, och klicka sedan på OK.

  4. Dubbelklicka på säkerhetsgruppen datorer för DirectAccess-klienten och i egenskapsdialogrutan på den medlemmar flik.

  5. På den medlemmar klickar du på Lägg till.

  6. På den Välj användare, kontakter, datorer eller tjänstkonton dialogrutan Markera klientdatorerna som du vill aktivera för DirectAccess OK.

Windows PowerShellmotsvarande Windows PowerShell-kommandon

Följande Windows PowerShell-cmdlet eller -cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enskild rad, trots att de kan radbruten över flera rader p.g.a. Formateringsbegränsningar.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>  
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>  

Konfigurera nätverksplatsservern

Nätverksplatsservern bör finnas på en server med hög tillgänglighet och ett giltigt SSL-certifikat som är betrodda av DirectAccess-klienter. Det finns två alternativ för certifikat för servercertifikatet nätverk plats:

  • Privata-följande krävs, om de inte redan finns:

    • En webbplatscertifikat som används för nätverksplatsservern. Certifikatämnet bör vara nätverksplatsservern URL: EN.

    • En distributionspunkt för listor över återkallade Certifikat med hög tillgänglighet från det interna nätverket.

  • Egensignerat-följande krävs, om de inte redan finns:

    Information

    Självsignerade certifikat kan inte användas i distributioner till flera platser.

    • En webbplatscertifikat som används för nätverksplatsservern. Certifikatämnet bör vara nätverksplatsservern URL: EN.
Information

Om webbplatsen nätverk plats server finns på fjärråtkomstservern, skapas en webbplats automatiskt när du konfigurerar fjärråtkomst som är bundna till servercertifikatet som du anger.

Så här installerar du servercertifikatet nätverk plats från en intern Certifikatutfärdare

  1. På den server som ska vara värd för webbplatsen nätverk plats server: på den Start skrivermmc.exe, och tryck sedan på RETUR.

  2. I MMC-konsolen på den filen -menyn klickar du på Lägg till/ta bort snapin-modulen.

  3. På den lägga till eller ta bort snapin-moduler dialogrutan Klicka certifikat, klicka på Lägg till, klicka på datorkonto, klicka på nästa, klicka på lokal dator, klicka på Slutför, och klicka OK.

  4. I konsolträdet i snapin-modulen certifikat, öppna certifikat (lokal dator) \Personal\Certificates.

  5. Högerklicka på certifikat, peka på alla aktiviteter, och klicka sedan på begär nytt certifikat.

  6. Klicka på nästa två gånger.

  7. På den begära certifikat sidan, markerar du kryssrutan för certifikatmallen och om det behövs klickar du på mer information krävs för att registrera det här certifikatet.

  8. På den certifikategenskaper dialogrutan den ämne fliken den ämnesnamnet område i typmarkerar nätverksnamn.

  9. I värdetAnger FQDN för nätverket plats server-webbplats och klicka sedan på Lägg till.

  10. I den alternativt namn området i typVälj DNS.

  11. I värdetAnger FQDN för nätverket plats server-webbplats och klicka sedan på Lägg till.

  12. På den allmänna fliken eget namn, kan du ange ett namn som hjälper dig att identifiera certifikatet.

  13. Klicka på OK, klickar du på registrera, och klicka sedan på Slutför.

  14. I informationsfönstret i snapin-modulen Certifikat kan du kontrollera det nya certifikatet har registrerats med avsedda syften serverautentisering.

© 2017 Microsoft