Table of contents
TOC
折叠目录
展开目录

步骤 1 套餐 DirectAccess 基础结构

James McIllece|上次更新日期: 2017/3/10
|
1 参与者

适用于: Windows Server 2016

对于基本远程访问部署规划单个服务器上的第一步是执行计划所需的部署的基础结构。 本主题介绍的基础结构计划步骤:

任务描述
套餐网络拓扑和设置确定地点远程访问服务器(在 edge 中,或网络地址转换 (NAT) 设备或防火墙后面),并计划 IP 地址并路由的位置。
套餐防火墙要求通过 edge 防火墙允许远程访问制定计划。
套餐证书要求远程访问可 Kerberos 或多个证书用于客户端身份验证。 在此基本远程访问部署,Kerberos 自动配置,并且使用自签名的证书颁发自动远程访问服务器完成的验证。
套餐 DNS 要求计划远程访问服务器、基础结构服务器、本地名称分辨率选项,以及客户端连接 DNS 设置。
套餐 Active Directory计划你的域控制器和 Active Directory 要求。
套餐组策略对象决定 Gpo 都需要在你组织和如何创建或编辑 Gpo。

计划任务不需要进行特定的顺序。

套餐网络拓扑和设置

套餐网络适配器和 IP 地址

  1. 确定你想要使用的网络适配器拓扑。 远程访问可以设置使用以下任一操作:

    • 有两个网络适配器的防火墙或路由器设备,具有一个网络适配器是一个网络适配器连接到 Internet 和其他到内部网络,或者 NAT 背后的边缘,连接到外围网络以及其他到内部网络类型。

    • 一个网络适配器 NAT 设备之后的远程访问服务器在安装之后 NAT 设备,并且单个网络适配器已连接到内部网络。

  2. 标识你的 IP 地址要求:

    DirectAccess 用于 IPv6 IPsec 与 DirectAccess 客户端计算机内部企业网络之间建立安全连接。 但是,DirectAccess 不一定需要连接到 IPv6 Internet 或内部网络上的本机支持 IPv6。 相反,它会自动配置并 IPv6 过渡技术用于隧道 IPv6 交通跨 IPv4 Internet (6to4,Teredo,IP HTTPS) 和仅 IPv4 intranet(NAT64 或 ISATAP)。 这些转换技术概述,请参阅下面的资源:

  3. 所需的适配器并按下表解决配置。 使用一个网络适配器 NAT 设备之后的部署,将配置你使用的内部网络适配器列的 IP 地址。

    外部网络适配器内部网络适配器1路由要求
    IPv4 intranet 和 IPv4 Internet进行下列配置:

    三一静态公共 IPv4 地址与相应的子网掩码。
    的 IPv4 地址防火墙 Internet 或本地 Internet 服务提供商 (ISP) 路由器默认网关。
    进行下列配置:

    -相应子网掩码 IPv4 intranet 地址。
    --特定连接 DNS 后缀 intranet 命名空间。 此外必须在内部接口配置 DNS 服务器。
    -在任何 intranet 接口不要配置默认网关。
    若要将远程访问服务器访问配置为内部 IPv4 网络上的所有个子网执行以下操作:

    1.列表 intranet 上的所有地点 IPv4 地址空间。
    2.使用路线添加-pnetsh interface ipv4 添加路线命令添加 IPv4 地址作为静态路线远程访问服务器 IPv4 路由表中的空间。
    IPv6 Internet 和 IPv6 intranet进行下列配置:

    -使用 ISP 提供自动配置地址配置。
    -使用路线打印以确保指向 ISP 路由器的默认 IPv6 路由存在 IPv6 路由表中的命令。
    -确定是否使用的 ISP 和 intranet 路由器 RFC 4191,述和使用高默认的偏好随意选择与你的本地 intranet 路由器的默认路由器首选项。 如果这两种是对的不不需要的默认路线的任何其他配置。 更高版本的偏好随意选择 ISP 路由器确保该远程访问服务器指向 IPv6 Internet 活动的默认 IPv6 路线。

    远程访问服务器是 IPv6 路由器,如果你有一个原始 IPv6 基础结构,因为 Internet 界面还可以访问域控制器上的 intranet。 在此情况下,将数据包 filters 添加到防止面向 Internet 界面远程访问服务器的 IPv6 地址连接外围网络中的域控制器。
    进行下列配置:

    -如果你未使用默认的偏好随意选择级别,将配置你的 intranet 接口netsh 接口 ipv6 设置 InterfaceIndex ignoredefaultroutes = 启用命令。 此命令确保其他默认路线指向 intranet 路由器不将添加到 IPv6 路由表。 你可以获取 intranet 接口的 InterfaceIndex 从 netsh 接口显示界面命令显示。
    如果你有 IPv6 intranet 配置远程访问服务器联系的所有 IPv6 位置,请执行以下操作:

    1.列表 intranet 上的所有地点 IPv6 地址空间。
    2.使用netsh 接口 ipv6 添加路线命令静态远程访问服务器 IPv6 路由表中的路线为添加 IPv6 地址空间。
    IPv6 Internet 和 IPv4 intranet远程访问服务器转发 IPv4 Internet 上使用 6to4 传达给 Microsoft 6to4 适配器界面默认 IPv6 路线通信。 您可以配置远程访问服务器 IPv4 地址的 Microsoft 6to4 传达 IPv4 Internet(用于本机 IPv6 不部署在公司的网络时)上,使用以下命令: netsh 接口 ipv6 6to4 设置传达名称 = 192.88.99.1 状态 = 启用的命令。
    注意

    请注意以下各项:

    1. 如果已公用 IPv4 地址分配 DirectAccess 客户端,它将使用 6to4 转换技术的 intranet 连接。 如果 DirectAccess 客户端将无法连接到 6to4 与 DirectAccess 服务器,它将使用 IP HTTPS。
    2. 原始 IPv6 的客户端计算机通过本地 IPv6 来连接到远程访问服务器和没有转换技术是必需的。

套餐防火墙要求

如果远程访问服务器后 edge 防火墙,以下例外将为才能远程访问交通远程访问服务器 IPv4 Internet 上时:

  • 6to4 交通的方法,IP 协议 41 传入和传出。

  • IP HTTPS-传输控件协议 (TCP) 目标端口 443 和 TCP 源 443 站。

  • 如果你是一个网络适配器,部署远程访问,并且在远程访问服务器安装网络位置服务器,应该还会豁免 TCP 端口 62000。

以下例外将才能远程访问交通远程访问服务器 IPv6 Internet 上时:

  • IP 协议 50

  • UDP 目的地端口 500 站,并 UDP 源端口 500 站。

当使用其他防火墙,应用远程访问交通以下内部网络防火墙例外:

  • ISATAP-协议 41 传入和传出

  • TCP/IPv4/IPv6 的所有通信 UDP

套餐证书要求

证书 IPsec 要求包括 DirectAccess 客户端计算机时 IPsec 和之间建立连接客户端远程访问服务器,使用计算机证书和远程访问服务器用于建立 /ipsec 连接与 DirectAccess 客户端计算机证书。 对于 DirectAccess 在 Windows Server 2012 不强制这些 IPsec 证书的使用。 启用 DirectAccess 向导配置远程访问服务器用作 Kerberos 代理服务器执行 IPsec 身份验证,而无需证书。

  1. IP HTTPS 服务器-远程访问配置时,会自动配置远程访问服务器用作 IP HTTPS web 的聆听者。 IP HTTPS 站点需要网站的证书,和客户端计算机必须是可联系的证书证书吊销列表 (CRL) 站点。 启用 DirectAccess 向导尝试使用 SSTP VPN 证书。 如果没有配置 SSTP,它会检查是否存在个人计算机的应用商店中的证书 IP HTTPS。 如果没有可用,但它会自动创建自签名的证书。

  2. 网络位置服务器-网络位置服务器是用于检测客户端计算机均位于该公司的网络的网站。 网络位置服务器需要网站证书。 DirectAccess 客户端必须是可联系的证书 CRL 站点。 启用 DirectAccess 向导检查是否存在个人计算机的应用商店中的网络位置服务器的证书。 如果不存在,它会自动创建自签名的证书。

下表中汇总的证书要求其中每项内容:

IPsec 身份验证IP HTTPS 服务器网络位置服务器
内部 CA 者需要问题计算机远程访问服务器和客户端 IPsec 身份验证的证书,当你未使用 Kerberos 代理身份验证公开 CA 的建议使用公共认证颁发 IP HTTPS 证书,这将确保 CRL distribution 点可用外部。内部 CA-你可以使用内部 CA 网站的证书颁发网络位置服务器。 确保 CRL distribution 点强烈可以从内部网络。
内部 CA-你可以使用内部 CA 发出 IP HTTPS 证书;但是,你必须确保,外部 CRL distribution 点已提供。自签名证书的用于网络位置服务器网站; 自签名的证书但是,不能在多站点部署使用自签名的证书。
自签名证书-你可以使用自签名的证书 IP HTTPS 服务器;但是,你必须确保,外部 CRL distribution 点已提供。 自签名的证书能在多站点部署。

套餐证书 IP HTTPS 的

远程访问服务器充当 IP HTTPS 的聆听者,,并且你必须手动安装 HTTPS 网站的证书在服务器上。 在规划注意以下信息:

  • 使用的是公用 CA 建议,以便 Crl 随时可供使用。

  • 在主题字段中指定 IPv4 地址互联网适配器的远程访问服务器,或者 IP HTTPS URL(连接地址)FQDN。 如果远程访问服务器位于 NAT 设备之后,应指定的公共名称或地址 NAT 设备。

  • 常见的证书名称应该匹配 IP HTTPS 网站的名称。

  • 对于增强型密钥使用字段中,使用服务器身份验证对象标识符 (OID)。

  • 对于CRL Distribution 点字段中,指定 CRL distribution 点都能访问连接到 Internet 的 DirectAccess 客户端。

  • IP HTTPS 证书必须专用键。

  • 直接在个人的应用商店,必须导入 IP HTTPS 证书。

  • IP HTTPS 证书产生通配符名称中。

网络位置服务器套餐网站的证书

在规划网络位置服务器网站时,请注意以下各项:

  • 在主题字段中指定的网络位置服务器的 intranet 界面 IP 地址,或者的网络位置 URL FQDN。

  • 对于增强型密钥使用字段中,使用服务器身份验证 OID。

  • 对于 CRL Distribution 点字段中,都可以访问连接到的 intranet DirectAccess 客户端 CRL distribution 点。 不应可以从内部网络之外访问此 CRL distribution 点。

  • 如果你打算群集部署或配置多站点更高版本,证书名称应该不匹配远程访问服务器内部名称。

    注意

    确保所使用的证书 IP HTTPS 和网络位置服务器主题名称。 如果证书没有主题名称备用名称,然后它将不接受远程访问向导。

套餐 DNS 要求

在远程访问部署,DNS,才能进行以下:

  • DirectAccess 客户端请求DNS 用于解决乐内部网络的 DirectAccess 客户端计算机的请求。 DirectAccess 客户端尝试连接到 DirectAccess 网络位置服务器以确定是否是 Internet,或企业网络上: 如果连接成功,然后客户端是确定为上的 intranet 和 DirectAccess 未使用,并且客户端请求解决了使用配置客户端计算机的网络适配器上的 DNS 服务器。 如果未成功的连接的客户端假定 Internet 上。 DirectAccess 客户端将使用名称分辨率策略表 (NRPT) 来确定要解析名称请求时使用哪 DNS 服务器。 你可以指定的客户端,应使用 DirectAccess DNS64 解决名称或内部备用 DNS 服务器。 执行名称决策时,NRPT 供 DirectAccess 客户端来确定如何处理的请求。 客户端请求 FQDN 或单标签名称,如 http://internal。 如果单标签名称,请求 DNS 职务附加以 FQDN。 如果条目用于指定 DNS4 或 intranet DNS 服务器 DNS 查询匹配 NRPT 中的某个条目,然后查询发送名称分辨率使用指定的服务器。 如果存在匹配项,但是指定没有 DNS 服务器,则这表示一个免除规则和正常应用名称决策。

    请注意,当新职务添加到远程访问管理控制台中 NRPT,职务默认 DNS 服务器是否可以被自动发现方法是依次单击检测按钮。 自动检测如下所示:

    1. 如果企业网络基于 IPv4 或 IPv4 IPv6,默认地址位于内置适配器的 DNS64 地址远程访问服务器。

    2. 如果企业网络 IPv6 基于,默认地址是 IPv6 地址的企业网络中的 DNS 服务器。

  • 基础结构服务器

    1. 网络位置服务器-DirectAccess 客户端尝试达到网络位置服务器,以确定他们是否内部网络上。 内部网络上的客户必须将无法解决的名称网络位置服务器,但必须阻止时,它们位于 Internet 解决名称。 发生这种情况,默认情况下,确保的网络位置服务器 FQDN 作为添加免除规则到 NRPT。 此外,当配置远程访问,以下规则自动创建:

      1. DNS 职务规则根域或远程访问服务器,分别对应于配置远程访问服务器上的 intranet DNS 服务器 IPv6 地址的域名。 例如,如果远程访问服务器是 corp.contoso.com 域中的成员,规则为 corp.contoso.com DNS 职务创建。

      2. 网络位置服务器 fqdn 免除规则。 例如,如果网络位置服务器 URL https://nls.corp.contoso.com,为 FQDN nls.corp.contoso.com 创建免除规则。

      IP HTTPS 服务器-远程访问服务器充当 IP HTTPS 的聆听者,并使用它服务器的证书验证 IP HTTPS 客户端。 IP HTTPS 名称必须是可由使用公用 DNS 服务器 DirectAccess 客户端解析。

      连接性验证程序-远程访问创建的默认 web 探测由 DirectAccess 客户端计算机使用,验证与内部网络连接。 若要确保探测按预期方式工作以下名称必须手动注册 DNS 中:

      1. Directaccess webprobehost 应到内部 IPv4 地址远程访问服务器,或仅 IPv6 的环境中 IPv6 地址的解决。

      2. Directaccess corpconnectivityhost 应解决添加本地主机(回送)地址。 A 和 AAAA 应创建记录,127.0.0.1 值记录并 AAAA 利用后 32 位 127.0.0.1 作为的 NAT64 前缀构建的值记录。 可以通过运行 cmdlet 获取 netnattransitionconfiguration 检索 NAT64 前缀。

        注意

        这是仅仅 IPv4 环境中有效。 在 IPv4 + IPv6 或仅 IPv6 环境,应使用回送 IP 地址创建 AAAA 记录:: 1。

      你可以创建其他连接验证通过 HTTP 或 PING 使用其他 web 地址。 每个连接性验证,必须存在 DNS 条目。

DNS 服务器要求

  • 对于 DirectAccess 客户端,必须使用运行 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或支持 IPv6 任何 DNS 服务器的 DNS 服务器。

套餐 Active Directory

远程访问使用 Active Directory 和 Active Directory 组策略对象如下所示:

  • 身份验证的 Active Directory 用于进行身份验证。 Intranet 隧道使用 Kerberos 为用户的身份验证来访问内部资源。

  • 组策略对象-远程访问到应用于远程访问服务器、客户端和服务器内部应用程序中的组策略对象收集配置设置。

  • 安全组-远程访问用于安全组收集并找出 DirectAccess 客户端计算机,并且远程访问服务器。 组策略应用到所需的安全组。

  • 扩展 IPsec 策略-IPsec 身份验证和客户端和远程访问服务器之间的加密,可以使用远程访问。 你可以扩展 IPsec 身份验证和指定内部应用程序服务器通过加密。

Active Directory 要求

在规划 Active Directory 远程访问部署时,则需要:

  • 在 Windows Server 2012、Windows Server 2008 R2 Windows Server 2008 或 Windows Server 2003 的操作系统上安装了至少一个域控制器。

    域控制器是否外围网络上(和因此从远程访问服务器面向 Internet 的网络适配器可到达)阻止远程访问服务器到达它加上的域控制器,以防连接到互联网适配器的 IP 地址数据包筛选器。

  • 远程访问服务器必须域成员。

  • DirectAccess 客户端必须域成员。 客户可以属于:

    • 作为远程访问服务器相同的森林中的任何域。

    • 任何具有与远程访问服务器域双向信任的域。

    • 已使用远程访问域属于森林双向信任森林中的任何域。

注意
  • 远程访问服务器不能域控制器。
  • 使用远程访问 Active Directory 域控制器必须无法访问从远程访问服务器(适配器不得被 Windows 防火墙域配置文件)的外部 Internet 适配器。

套餐组策略对象

DirectAccess 设置时配置远程访问配置中会收集插入组策略对象 (GPO)。 三种不同 Gpo 填入 DirectAccess 设置和进行分发,如下所示:

  • DirectAccess 客户端 GPO -这 GPO 包含的客户端设置,包括 IPv6 过渡技术设置 NRPT 条目,Windows 防火墙高级安全连接安全规则。 GPO 应用于客户端计算机指定的安全组。

  • DirectAccess 服务器 GPO -这 GPO 包含适用于所有配置为在你的部署远程访问服务器服务器 DirectAccess 配置设置。 它还包含高级安全连接安全规则包含 Windows 防火墙。

  • 应用程序服务器 GPO -这 GPO 所包含的你还可以选择延长身份验证和加密 DirectAccess 客户端的选定应用程序服务器设置。 如果未扩展验证和加密将不会使用此 GPO。

通过启用 DirectAccess 向导的 Gpo 自动创建并默认名称指定的。

小心

使用以下步骤来执行 DirectAccess cmdlet 之前备份所有远程访问组策略对象:备份和还原远程访问配置

两种方式可以配置 Gpo:

  1. 自动-你可以指定他们自动创建。 默认名称被指定的。

  2. 手动-你可以使用已通过 Active Directory 管理员预定义的 Gpo。

请注意,一旦 DirectAccess 配置为在使用特定 Gpo,它不能将配置为使用不同的 Gpo。

自动创建 Gpo

使用自动创建 Gpo 时注意以下信息:

自动创建 GPO 的应用的位置和链接目标参数,根据,如下所示:

  • 对于 DirectAccess 服务器 GPO,使用位置和链接参数指向包含远程访问服务器的域。

  • 客户端创建 Gpo,当位置设置为将创建 GPO 单个域。 组策略对象名称是每个域中,查找和充满了 DirectAccess 设置,如果存在。 链接目标设置为在其中 GPO 创建的域根。 为每个包含域的客户端计算机或应用程序服务器创建 GPO 和 GPO 链接到其各自的域根。

自动使用时创建 Gpo 应用 DirectAccess 设置,远程访问服务器管理员要求满足以下的权限:

  • GPO 创建了权限的每个域。

  • 所有选定的客户端域根链接的权限。

  • 链接服务器 GPO 域根的权限。

  • 创建、编辑、删除和修改安全所需的 Gpo 权限。

  • 建议远程访问管理员已 GPO 阅读权限的每个所需的域。 这使远程访问验证创建 Gpo 时,具有相同名称的 Gpo 并不存在。

请注意,不存在的链接 Gpo 正确的权限,发出警告。 远程访问操作将继续有效,但不是会发生链接。 如果此警告发出链接将不会自动创建,即使在有位置的权限后。 而是管理员将需要手动创建链接。

手动创建 Gpo

使用手动创建 Gpo 时注意以下信息:

  • Gpo 应存在之前运行远程访问设置向导。

  • 当使用手动创建 Gpo 应用 DirectAccess 设置远程访问管理员需要完全 GPO 权限(编辑、Delete、修改安全)上手动创建 Gpo。

  • 使用手动创建时 Gpo 搜索专为链接到整个域中 GPO。 如果在域中并非链接 GPO 再在域根自动创建的链接。 如果所需的权限,以创建该链接将不可用发出警告。

请注意,不存在的链接 Gpo 正确的权限,发出警告。 远程访问操作将继续有效,但不是会发生链接。 如果此警告发出链接将不会创建自动,即使在以后添加权限。 而是管理员将需要手动创建链接。

从已删除 GPO 恢复

如果没有可用的备份远程访问服务器、客户端或应用程序服务器 GPO 已发生意外事故被删除,你必须中删除配置设置,并再次重新配置。 如果有可用的备份,你可以从备份中还原 GPO。

远程访问管理将显示以下错误消息: GPO找不到。 若要删除配置设置,请执行以下步骤:

  1. 运行 PowerShell cmdlet卸载远程访问

  2. 重新打开远程访问管理

  3. 你将看到找不到 GPO 错误消息。 单击中删除配置设置。 在完成后,该服务器将还原到未配置的状态。

© 2017 Microsoft