Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här avsnittet beskriver hur du konfigurerar infrastrukturen som krävs för en avancerad fjärråtkomstdistribution som använder en enda DirectAccess-server i en blandad IPv4- och IPv6-miljö. Innan du påbörjar distributionsstegen kontrollerar du att du har slutfört de planeringssteg som beskrivs i Planera en avancerad DirectAccess-distribution.
| Task | Description |
|---|---|
| 1.1 Konfigurera inställningar för servernätverk | Konfigurera servernätverksinställningarna på DirectAccess-servern. |
| 1.2 Konfigurera tvingad tunneltrafik | Konfigurera tvingad tunneltrafik. |
| 1.3 Konfigurera routning i företagsnätverket | Konfigurera routning i företagsnätverket. |
| 1.4 Konfigurera brandväggar | Konfigurera ytterligare brandväggar om det behövs. |
| 1.5 Konfigurera certifikatutfärdare och certifikat | Konfigurera en certifikatutfärdare (CA) om det behövs och andra certifikatmallar som krävs i distributionen. |
| 1.6 Konfigurera DNS-servern | Konfigurera DNS-inställningarna (Domain Name System) för DirectAccess-servern. |
| 1.7 Konfigurera Active Directory | Anslut klientdatorer och DirectAccess-servern till Active Directory-domänen. |
| 1.8 Konfigurera grupprincipobjekt | Konfigurera gruppolicyobjekt för distributionen vid behov. |
| 1.9 Konfigurera säkerhetsgrupper | Konfigurera säkerhetsgrupper som ska innehålla DirectAccess-klientdatorer och andra säkerhetsgrupper som krävs i distributionen. |
| 1.10 Konfigurera nätverksplatsservern | Konfigurera nätverksplatsservern, inklusive installation av nätverksplatsserverns webbplatscertifikat. |
Note
Det här avsnittet innehåller exempel på Windows PowerShell-cmdletar som du kan använda för att automatisera några av de procedurer som beskrivs. Mer information finns i Använda cmdletar.
1.1 Konfigurera inställningar för servernätverk
Följande inställningar för nätverksgränssnittet krävs för en enskild serverdistribution i en miljö som använder IPv4 och IPv6. Alla IP-adresser konfigureras med hjälp av Ändra adapterinställningar i Windows Nätverk och Delningscenter.
Edge-topologi
Två på varandra följande offentliga statiska IPv4- eller IPv6-adresser som är direkt anslutna till internet
Note
Två offentliga adresser krävs för Teredo. Om du inte använder Teredo kan du konfigurera en enda offentlig statisk IPv4-adress.
En enda intern statisk IPv4- eller IPv6-adress
Bakom NAT-enhet (med två nätverkskort)
En enda internetuppkopplad statisk IPv4- eller IPv6-adress
En enda intern nätverksansluten statisk IPv4- eller IPv6-adress
Bakom NAT-enhet (med ett nätverkskort)
- En enda intern nätverksansluten statisk IPv4- eller IPv6-adress
Note
Om en DirectAccess-server med två eller flera nätverkskort (ett klassificerat i domänprofilen och det andra i en offentlig eller privat profil) har konfigurerats med en enda nätverkskorttopologi rekommenderar vi följande:
Se till att det andra nätverkskortet och eventuella ytterligare nätverkskort klassificeras i domänprofilen.
Om det andra nätverkskortet inte kan konfigureras för domänprofilen måste DirectAccess IPsec-principen vara manuellt begränsad till alla profiler med hjälp av följande Windows PowerShell-kommando när DirectAccess har konfigurerats:
$gposession = Open-NetGPO "PolicyStore <Name of the server GPO> Set-NetIPsecRule "DisplayName <Name of the IPsec policy> "GPOSession $gposession "Profile Any Save-NetGPO "GPOSession $gposession
1.2 Konfigurera tvingad tunneltrafik
Tvångstunnelering kan konfigureras via guiden för installation av fjärråtkomst. Den visas som en kryssruta i guiden Konfigurera fjärrklienter. Den här inställningen påverkar endast DirectAccess-klienter. Om VPN är aktiverat använder VPN-klienter som standard tvingad tunneltrafik. Administratörer kan ändra inställningen för VPN-klienter från klientprofilen.
Om du markerar kryssrutan för tvingad tunneltrafik gör du följande:
Aktiverar tvingad tunneltrafik på DirectAccess-klienter
Lägger till en alla-post i nrpt-tabellen (Name Resolution Policy Table) för DirectAccess-klienter, vilket innebär att all DNS-trafik går till det interna nätverkets DNS-servrar
Konfigurerar DirectAccess-klienter att alltid använda IP-HTTPS övergångsteknik
Om du vill göra Internetresurser tillgängliga för DirectAccess-klienter som använder tvingad tunneltrafik kan du använda en proxyserver som kan ta emot IPv6-baserade begäranden för Internetresurser och översätta dem till begäranden om IPv4-baserade Internetresurser. Om du vill konfigurera en proxyserver för Internetresurser måste du ändra standardposten i NRPT för att lägga till proxyservern. Du kan göra detta med hjälp av PowerShell-cmdletar för fjärråtkomst eller DNS PowerShell-cmdletar. Använd till exempel PowerShell-cmdleten för fjärråtkomst på följande sätt:
Set-DAClientDNSConfiguration "DNSSuffix "." "ProxyServer <Name of the proxy server:port>
Note
Om DirectAccess och VPN är aktiverade på samma server och VPN är i krafttunnelläge och servern distribueras i en kanttopologi eller en bakom NAT-topologi (med två nätverkskort, ett anslutet till domänen och ett till ett privat nätverk), kan VPN Internet-trafik inte vidarebefordras via directaccess-serverns externa gränssnitt. För att aktivera det här scenariot måste organisationer distribuera fjärråtkomst på servern bakom en brandvägg i en enda nätverkskorttopologi. Organisationer kan också använda en separat proxyserver i det interna nätverket för att vidarebefordra Internettrafiken från VPN-klienter.
Note
Om en organisation använder en webbproxy för DirectAccess-klienter för att få åtkomst till Internetresurser och företagsproxyn inte kan hantera interna nätverksresurser kommer DirectAccess-klienter inte att kunna komma åt interna resurser om de befinner sig utanför intranätet. I ett sådant scenario kan du manuellt skapa NRPT-poster för de interna nätverkssuffixen med hjälp av DNS-sidan i infrastrukturguiden för att ge DirectAccess-klienter åtkomst till interna resurser. Använd inte proxyinställningar på dessa NRPT-suffix. Suffixen ska fyllas i med standardposter för DNS-servrar.
1.3 Konfigurera routning i företagsnätverket
Konfigurera routning i företagsnätverket på följande sätt:
När ursprunglig IPv6 distribueras i organisationen, lägger du till en rutt så att routrarna i det interna nätverket dirigerar tillbaka IPv6-trafik genom DirectAccess-servern.
Konfigurera organisationens IPv4- och IPv6-vägar manuellt på DirectAccess-servrarna. Lägg till en publicerad väg så att all trafik med ett IPv6-prefix för organisationen (/48) vidarebefordras till det interna nätverket. För IPv4-trafik lägger du till explicita vägar så att IPv4-trafik vidarebefordras till det interna nätverket.
1.4 Konfigurera brandväggar
När du använder ytterligare brandväggar i din utrullning tillämpar du följande brandväggsundantag för fjärråtkomsttrafik mot Internet när DirectAccess-servern befinner sig på IPv4 Internet.
Teredo-trafik: User Datagram Protocol (UDP) destinationsport 3544 inkommande och UDP ursprungsport 3544 utgående.
6to4-trafik för "IP Protocol 41" inkommande och utgående.
IP-HTTPS"Transmission Control Protocol (TCP) målport 443 och TCP-källport 443 utgående. När DirectAccess-servern har ett enda nätverkskort och nätverksplatsservern finns på DirectAccess-servern, krävs även TCP-port 62000.
Note
Det här undantaget måste konfigureras på DirectAccess-servern, medan alla andra undantag måste konfigureras i gränsbrandväggen.
Note
För Teredo- och 6to4-trafik bör dessa undantag tillämpas för båda de Internetuppkopplade offentliga IPv4-adresserna på DirectAccess-servern. För IP-HTTPS behöver undantagen endast tillämpas på den adress där serverns offentliga namn matchar.
När du använder ytterligare brandväggar, tillämpa följande brandväggsundantag som är vända mot Internet för fjärråtkomsttrafik när DirectAccess-servern finns på IPv6-nätverket.
IP-protokoll 50
UDP-målport 500 inkommande och UDP-källport 500 utgående.
Internet Control Message Protocol (ICMPv6) för inkommande och utgående IPv6-trafik endast för Teredo-implementeringar.
När du använder ytterligare brandväggar ska du tillämpa följande undantag för interna nätverksbrandväggar för trafik avsedd för fjärråtkomst:
ISATAP"Protokoll 41 inkommande och utgående
TCP/UDP för all IPv4/IPv6-trafik
ICMP för all IPv4/IPv6-trafik
1.5 Konfigurera certifikatutfärdare och certifikat
Med fjärråtkomst i Windows Server 2012 kan du välja mellan att använda certifikat för datorautentisering eller använda en inbyggd Kerberos-proxy som autentiserar med användarnamn och lösenord. Du måste också konfigurera ett IP-HTTPS certifikat på DirectAccess-servern.
Mer information finns i Active Directory Certificate Services.
1.5.1 Konfigurera IPsec-autentisering
Ett datorcertifikat krävs på DirectAccess-servern och på alla DirectAccess-klienter för att använda IPsec-autentisering. Certifikatet måste utfärdas av en intern certifikatutfärdare (CA) och DirectAccess-servrar och DirectAccess-klienter måste lita på CA-kedjan som utfärdar rotcertifikat och mellanliggande certifikat.
Konfigurera IPsec-autentisering
I den interna certifikatutfärdare bestämmer du om du ska använda mallen Datorcertifikat eller om du vill skapa en ny certifikatmall enligt beskrivningen i Skapa certifikatmallar.
Note
Om du skapar en ny mall måste den konfigureras för klientautentisering.
Distribuera certifikatmallen om det behövs. Mer information finns i Distribuera certifikatmallar.
Konfigurera certifikatmallen för automatisk registrering om det behövs. Mer information finns i Konfigurera automatisk registrering av certifikat.
1.5.2 Konfigurera certifikatmallar
När du använder en intern certifikatutfärdare för att utfärda certifikat måste du konfigurera en certifikatmall för IP-HTTPS-certifikatet och nätverksplatsserverns webbplatscertifikat.
Så här konfigurerar du en certifikatmall
I den interna certifikatutfärdare skapar du en certifikatmall enligt beskrivningen i Skapa certifikatmallar.
Distribuera certifikatmallen enligt beskrivningen i Distribuera certifikatmallar.
1.5.3 Konfigurera IP-HTTPS-certifikatet
Fjärråtkomst kräver ett IP-HTTPS certifikat för att autentisera IP-HTTPS anslutningar till DirectAccess-servern. Det finns tre certifikatalternativ som är tillgängliga för IP-HTTPS autentisering:
Offentligt certifikat
Ett offentligt certifikat tillhandahålls av en tredje part. Om certifikatets ämnesnamn inte innehåller jokertecken, ska det vara den externt resolvbara fullständigt kvalificerade domännamnets (FQDN) URL som endast används för anslutningar till DirectAccess-servern IP-HTTPS.
Privat certifikat
Om du använder ett privat certifikat krävs följande om de inte redan finns:
Ett webbplatscertifikat som används för IP-HTTPS autentisering. Certifikatämnet ska vara ett externt matchbart FQDN som kan nås från Internet. Certifikatet baseras på certifikatmallen som du skapade genom att följa anvisningarna i 1.5.2 Konfigurera certifikatmallar.
En distributionspunkt för återkallelse av certifikat (CRL) som kan nås från ett offentligt lösligt FQDN.
Självsignerat certifikat
Om du använder ett självsignerat certifikat krävs följande om de inte redan finns:
Ett webbplatscertifikat som används för IP-HTTPS autentisering. Certifikatämnet ska vara ett externt matchbart FQDN som kan nås från Internet.
En CRL-distributionsplats som kan nås från ett offentligt lösningsbart FQDN.
Note
Självsignerade certifikat kan inte användas i distributioner med flera platser.
Kontrollera att webbplatscertifikatet som används för IP-HTTPS autentisering uppfyller följande krav:
Certifikatets namn ska matcha namnet på IP-HTTPS-sidan.
I fältet Ämne anger du FQDN för IP-HTTPS URL.
I fältet Förbättrad nyckelanvändning använder du objektidentifieraren för serverautentisering (OID).
För fältet CRL-distributionsplatser anger du en CRL-distributionsplats som är tillgänglig för DirectAccess-klienter som är anslutna till Internet.
Det IP-HTTPS certifikatet måste ha en privat nyckel.
Det IP-HTTPS-certifikatet måste importeras direkt till den personliga lagringsplatsen.
IP-HTTPS certifikaten kan ha wildcardtecken i namnen.
Så här installerar du IP-HTTPS certifikatet från en intern certifikatutfärdare
På DirectAccess-servern: På startskärmen skriver dummc.exeoch trycker sedan på RETUR.
I MMC-konsolen går du till arkivmenyn och klickar på Lägg till/ta bort snapin-modul.
I dialogrutan Lägg till eller ta bort snapin-moduler klickar du på Certifikat, klickar på Lägg till, klickar på Datorkonto, klickar på Nästa, klickar på Lokal dator, klickar på Slutför och sedan på OK.
I konsolträdet för snapin-modulen Certifikat öppnar du Certifikat (lokal dator)\Personligt\Certifikat.
Högerklicka på Certifikat, peka på Alla uppgifter och klicka sedan på Begär nytt certifikat.
Klicka på Nästa två gånger.
På sidan Begär certifikat markerar du kryssrutan för certifikatmallen som du skapade tidigare (mer information finns i 1.5.2 Konfigurera certifikatmallar). Om det behövs klickar du på Mer information krävs för att registrera dig för det här certifikatet.
I dialogrutan Certifikategenskaper går du till fliken Ämne i området Ämnesnamn i Typ och väljer Gemensamt namn.
I Värde anger du IPv4-adressen för det externa motkopplade kortet för DirectAccess-servern eller FQDN för IP-HTTPS-URL:en och klickar sedan på Lägg till.
I området Alternativ namn går du till Typ och väljer DNS.
I Värde anger du IPv4-adressen för det externa motkopplade kortet för DirectAccess-servern eller FQDN för IP-HTTPS-URL:en och klickar sedan på Lägg till.
På fliken Allmänt i Eget namn kan du ange ett namn som hjälper dig att identifiera certifikatet.
På fliken Tillägg klickar du på pilen bredvid Utökad nyckelanvändning och kontrollerar att Serverautentisering visas i listan Valda alternativ .
Klicka på OK, klicka på Registrera och klicka sedan på Slutför.
I informationsfönstret i snapin-modulen Certifikat kontrollerar du att det nya certifikatet har registrerats med avsedd användning av serverautentisering.
1.6 Konfigurera DNS-servern
Du måste manuellt konfigurera en DNS-post för nätverksplatstjänstens webbplats för det interna nätverket i din distribution.
Så här skapar du nätverksplatsservern
På det interna nätverkets DNS-server: På startskärmen skriver dudnsmgmt.msc och trycker sedan på RETUR.
Expandera den framåtriktade uppslagszonen för din domän i den vänstra rutan i DNS Manager-konsolen . Högerklicka på domänen och klicka på Ny värd (A eller AAAA).
I dialogrutan Ny värd går du till rutan IP-adress :
I rutan Namn (använder det överordnade domännamnet om det är tomt) anger du DNS-namnet för nätverksplatsserverns webbplats (det här är det namn som DirectAccess-klienterna använder för att ansluta till nätverksplatsservern).
Ange IPv4- eller IPv6-adressen för nätverksplatsservern och klicka sedan på Lägg till värd och klicka sedan på OK.
I dialogrutan Ny värd :
I rutan Namn (använder överordnat domännamn om det är tomt) anger du DNS-namnet för webbavsökningen (namnet på standardwebbavsökningen är directaccess-webprobehost).
I rutan IP-adress anger du IPv4- eller IPv6-adressen för webbavsökningen och klickar sedan på Lägg till värd.
Upprepa den här processen för directaccess-corpconnectivityhost och eventuella manuellt skapade anslutningsverifierare.
I dialogrutan DNS klickar du på OK och sedan på Klar.
Windows PowerShell-motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Du måste också konfigurera DNS-poster för följande:
IP-HTTPS-servern
DirectAccess-klienter måste kunna matcha DNS-namnet på DirectAccess-servern från Internet.
CRL-kontroll för återkallade certifikat
DirectAccess använder certifikatåterkallningskontroll för IP-HTTPS-anslutningen mellan DirectAccess-klienter och DirectAccess-servern och för den HTTPS-baserade anslutningen mellan DirectAccess-klienten och nätverksplatsservern. I båda fallen måste DirectAccess-klienter kunna lösa och komma åt platsen för CRL-distributionsplatsen.
ISATAP
ISATAP (Intrasite Automatic Tunnel Addressing Protocol) använder tunneltrafik för att göra det möjligt för DirectAccess-klienter att ansluta till DirectAccess-servern via IPv4 Internet och kapsla in IPv6-paket i en IPv4-rubrik. Den används av fjärråtkomst för att tillhandahålla IPv6-anslutning till ISATAP-värdar i ett intranät. I en icke-intern IPv6-nätverksmiljö konfigurerar DirectAccess-servern sig själv automatiskt som en ISATAP-router. Lösningsstöd för ISATAP-namnet krävs.
1.7 Konfigurera Active Directory
DirectAccess-servern och alla DirectAccess-klientdatorer måste vara anslutna till en Active Directory-domän. DirectAccess-klientdatorer måste vara medlemmar i någon av följande domäntyper:
Domäner som hör hemma i samma skog som DirectAccess-servern.
Domäner som tillhör skogar med ett ömsesidigt förtroende med DirectAccess-serverns skog.
Domäner som har ett dubbelriktat domänförtroende mot DirectAccess-serverdomänen.
Ansluta DirectAccess-servern till en domän
I Serverhanteraren klickar du på Lokal server. Klicka på länken bredvid Datornamn i informationsfönstret.
I dialogrutan Systemegenskaper klickar du på fliken Datornamn och sedan på Ändra.
I Datornamn anger du namnet på datorn om du också ändrar datornamnet när du ansluter servern till domänen. Under Medlem i klickar du på Domän och skriver sedan namnet på den domän som du vill ansluta till servern (till exempel corp.contoso.com) och klickar sedan på OK.
När du uppmanas att ange ett användarnamn och lösenord anger du användarnamnet och lösenordet för en användare med behörighet att ansluta datorer till domänen och klickar sedan på OK.
När du ser en dialogruta som välkomnar dig till domänen klickar du på OK.
När du uppmanas att starta om datorn klickar du på OK.
I dialogrutan Systemegenskaper klickar du på Stäng.
När du uppmanas att starta om datorn klickar du på Starta om nu.
Ansluta klientdatorer till domänen
På startskärmen skriver duexplorer.exeoch trycker sedan på RETUR.
Högerklicka på datorikonen och klicka sedan på Egenskaper.
På sidan System klickar du på Avancerade systeminställningar.
Klicka på Ändra på fliken Datornamn i dialogrutan Systemegenskaper.
I Datornamn skriver du namnet på datorn om du också ändrar datornamnet när du ansluter servern till domänen. Under Medlem i klickar du på Domän och skriver sedan namnet på den domän som du vill ansluta till servern (till exempel corp.contoso.com) och klickar sedan på OK.
När du uppmanas att ange ett användarnamn och lösenord anger du användarnamnet och lösenordet för en användare med behörighet att ansluta datorer till domänen och klickar sedan på OK.
När du ser en dialogruta som välkomnar dig till domänen klickar du på OK.
När du uppmanas att starta om datorn klickar du på OK.
I dialogrutan Systemegenskaper klickar du på Stäng.
När du uppmanas att starta om datorn klickar du på Starta om nu.
Windows PowerShell-motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.
Note
Du måste ange autentiseringsuppgifter för domänen när du anger följande kommando för Add-Computer .
Add-Computer -DomainName <domain_name>
Restart-Computer
1.8 Konfigurera grupprincipobjekt
Minst två grupprincipobjekt krävs för att distribuera fjärråtkomst:
En innehåller inställningar för DirectAccess-servern
En innehåller inställningar för DirectAccess-klientdatorer
När du konfigurerar fjärråtkomst skapar guiden automatiskt de grupprincipobjekt som krävs. Men om din organisation tillämpar en namngivningskonvention kan du skriva ett namn i GPO-dialogrutan i konsolen för hantering av fjärråtkomst. Mer information finns i 2.7. Konfigurationssammanfattning och alternativa grupprincipobjekt. Om du har skapat behörigheter kommer gruppolicyobjektet att skapas. Om du inte har de behörigheter som krävs för att skapa GPO:n måste de skapas innan du konfigurerar fjärråtkomst.
Information om hur du skapar grupprincipobjekt finns i Skapa och redigera ett grupprincipobjekt.
Important
Administratörer kan manuellt länka DirectAccess-grupprincipobjekt till en organisationsenhet (OU) genom att följa dessa steg:
- Innan du konfigurerar DirectAccess länkar du de skapade grupprincipobjekten till respektive organisationsenheter.
- När du konfigurerar DirectAccess anger du en säkerhetsgrupp för klientdatorerna.
- Fjärråtkomstadministratören kanske eller kanske inte har behörighet att länka grupprincipobjekten till domänen. I båda fallen konfigureras grupprincipobjekten automatiskt. Om grupprincipobjekten redan är länkade till en organisationsenhet tas länkarna inte bort och grupprincipobjekten länkas inte till domänen. För ett server-GPO måste organisationsenheten innehålla serverdatorobjektet, annars länkas GPO:et till domänroten.
- Om du inte länkade till organisationsenheten innan du körde DirectAccess-guiden kan domänadministratören länka directaccess-grupprincipobjekten till de nödvändiga organisationsenheterna när konfigurationen är klar. Länken till domänen kan tas bort. För mer information, se Länka ett gruppolicyobjekt.
Note
Om ett grupprincipobjekt skapades manuellt är det möjligt att grupprincipobjektet inte är tillgängligt under DirectAccess-konfigurationen. Grupprincipobjektet kanske inte har replikerats till närmaste domänkontrollant till hanteringsdatorn. I det här fallet kan administratören vänta tills replikeringen har slutförts eller framtvinga replikeringen.
1.8.1 Konfigurera GPO (grupprincipobjekt) för fjärråtkomst med begränsade behörigheter
Vid en utrullning som omfattar förberedande och produktions-GPO:n bör domänadministratören göra följande:
Hämta listan över obligatoriska Grupppolicyobjekt för fjärråtkomstimplementeringen från fjärråtkomstadministratören. Mer information finns i 1.8 Planera grupprincipobjekt.
För varje grupprincipobjekt som begärs av fjärråtkomstadministratören skapar du ett par grupprincipobjekt med olika namn. Den första används som mellanlagrings-GPO och den andra som GPO för produktion.
Information om hur du skapar grupprincipobjekt finns i Skapa och redigera ett grupprincipobjekt.
För att länka produktions-GPO:er, se Länka ett grupprincipobjekt.
Ge fjärråtkomstadministratören behörighet att redigera inställningar, ta bort och ändra säkerhetsbehörigheter för alla staging-GPO:er. Mer information finns i Delegera behörigheter för en grupp eller användare i ett grupprincipobjekt.
Neka fjärråtkomstadministratören administratörsbehörighet att länka GPO:er i alla domäner (eller kontrollera att fjärråtkomstadministratören inte har sådana behörigheter). Mer information finns i Delegera behörigheter för att länka grupprincipobjekt.
När fjärråtkomstadministratörer konfigurerar fjärråtkomst bör de alltid endast ange staging-GPO:er (inte produkt-GPO:er). Detta gäller i den inledande konfigurationen av fjärråtkomst och när du utför ytterligare konfigurationsåtgärder där ytterligare grupprincipobjekt krävs. Till exempel när du lägger till startpunkter i en distribution på flera platser eller aktiverar klientdatorer i ytterligare domäner.
När fjärråtkomstadministratören har slutfört alla ändringar i konfigurationen för fjärråtkomst bör domänadministratören granska inställningarna i mellanlagrings-GRUP:er och använda följande procedur för att kopiera inställningarna till produktions-GRUP:er.
Tip
Utför följande procedur efter varje ändring av konfigurationen för fjärråtkomst.
Kopiera inställningar till produktions-GPO:er
Kontrollera att alla staging-grupppolicyobjekt i fjärråtkomstdistributionen har replikerats till alla domänkontrollanter i domänen. Detta krävs för att säkerställa att den mest aktuella up-to-konfigurationen importeras till produktions-GPO:er. För mer information, se Kontrollera infrastrukturstatus för grupppolicy.
Exportera inställningarna genom att säkerhetskopiera alla staging-GPO:er i fjärråtkomstdistribution. Mer information finns i Säkerhetskopiera ett gruppolicyobjekt.
Ändra säkerhetsfiltren för varje produktionsgrupprincipobjekt så att de överensstämmer med säkerhetsfiltren för motsvarande mellanlagringsgrupprincipobjekt. Mer information finns i Filtrera med säkerhetsgrupper.
Note
Detta krävs eftersom importinställningarna inte kopierar säkerhetsfiltret för käll-grupprincipobjektet.
För varje produktions-GPO, importera inställningarna från säkerhetskopian av motsvarande mellanlagrings-GPO enligt följande:
I konsolen Grupprinciphantering (GPMC) expanderar du noden Grupprincipobjekt i skogen och domänen som innehåller det grupprincipobjekt för produktion som inställningarna ska importeras till.
Högerklicka på grupprincipobjektet och klicka på Importera inställningar.
Klicka på Nästa på sidan Välkommen i guiden Importera inställningar.
På sidan Säkerhetskopiering av grupprincipobjekt klickar du på Säkerhetskopiering.
I dialogrutan Säkerhetskopiera grupprincipobjekt går du till rutan Plats och anger sökvägen till den plats där du vill lagra grupprincipobjektets säkerhetskopior eller klickar på Bläddra för att hitta mappen.
I rutan Beskrivning skriver du en beskrivning för produktions-grupprincipobjektet och klickar sedan på Säkerhetskopiera.
När säkerhetskopieringen är klar klickar du på OK och klickar sedan på Nästa på sidan Säkerhetskopierings-grupprincipobjekt.
På sidan Säkerhetskopieringsplats i rutan Säkerhetskopieringsmapp anger du sökvägen till den plats där säkerhetskopieringen av motsvarande mellanlagrings-grupprincipobjekt lagrades i steg 2, eller klickar på Bläddra för att hitta mappen och klickar sedan på Nästa.
På sidan Käll-grupprincipobjekt markerar du kryssrutan Visa endast den senaste versionen av varje grupprincipobjekt för att dölja äldre säkerhetskopior och väljer motsvarande mellanlagrings-grupprincipobjekt. Klicka på Visa inställningar för att granska inställningarna för fjärråtkomst innan du tillämpar dem på produktionsgrupprincipobjektet och klicka sedan på Nästa.
På sidan Genomsökningssäkerhetskopiering klickar du på Nästa och sedan på Slutför.
Windows PowerShell-motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.
Så här säkerhetskopierar du stagingklientens GPO "DirectAccess Client Settings - Staging" i domänen "corp.contoso.com" till säkerhetskopieringsmappen "C:\Backups":
$backup = Backup-GPO "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "Path 'C:\Backups\'Om du vill se säkerhetsfiltreringen för stagingklientens GPO "DirectAccess-klientinställningar – mellanlagring" i domänen "corp.contoso.com":
Get-GPPermission "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "All | ?{ $_.Permission "eq 'GpoApply'}Så här lägger du till säkerhetsgruppen "corp.contoso.com\DirectAccess-klienter" i säkerhetsfiltret för produktionsklientens grupprincipobjekt "DirectAccess Client Settings " Production" i domänen "corp.contoso.com":
Set-GPPermission "Name 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com' "PermissionLevel GpoApply "TargetName 'corp.contoso.com\DirectAccess clients' "TargetType GroupFör att importera inställningar från säkerhetskopian till produktionsklientens GPO "DirectAccess Client Settings Production" i domänen "corp.contoso.com":
Import-GPO "BackupId $backup.Id "Path $backup.BackupDirectory "TargetName 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com'
1.9 Konfigurera säkerhetsgrupper
DirectAccess-inställningarna som finns i klientdatorns grupprincipobjekt tillämpas endast på datorer som är medlemmar i de säkerhetsgrupper som du anger när du konfigurerar fjärråtkomst. Om du använder säkerhetsgrupper för att hantera dina programservrar skapar du dessutom en säkerhetsgrupp för dessa servrar.
Skapa en säkerhetsgrupp för DirectAccess-klienter
På startskärmen skriver dudsa.msc och trycker sedan på RETUR. I den vänstra rutan i Active Directory-konsolen Användare och datorer expanderar du domänen som ska innehålla säkerhetsgruppen, högerklickar på Användare, pekar på Ny och klickar sedan på Grupp.
I dialogrutan Nytt objekt – grupp under Gruppnamn anger du namnet på säkerhetsgruppen.
Under Gruppomfång klickar du på Global och under Grupptyp klickar du på Säkerhet och sedan på OK.
Dubbelklicka på säkerhetsgruppen DirectAccess-klientdatorer och klicka på fliken Medlemmar i dialogrutan Egenskaper.
På fliken Medlemmar klickar du på Lägg till.
I dialogrutan Välj användare, Kontakter, Datorer eller Tjänstkonton väljer du de klientdatorer som du vill aktivera för DirectAccess och klickar sedan på OK.
Windows PowerShell-motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
1.10 Konfigurera nätverksplatsservern
Nätverksplatsservern ska vara en server med hög tillgänglighet och den bör ha ett giltigt SSL-certifikat som är betrott av DirectAccess-klienterna. Det finns två certifikatalternativ för nätverksplatsservercertifikatet:
Privat certifikat
Det här certifikatet baseras på certifikatmallen som du skapade genom att följa anvisningarna i 1.5.2 Konfigurera certifikatmallar.
Självsignerat certifikat
Note
Självsignerade certifikat kan inte användas i distributioner med flera platser.
Följande krävs för båda typerna av certifikat, om de inte redan finns:
Ett webbplatscertifikat som används för nätverksplatsservern. Certifikatämnet ska vara URL:en för nätverksplatsservern.
En CRL-distributionsplats som har hög tillgänglighet från det interna nätverket.
Note
Om nätverksplatsserverns webbplats finns på DirectAccess-servern skapas en webbplats automatiskt när du konfigurerar fjärråtkomst. Den här webbplatsen är bunden till det servercertifikat som du anger.
Så här installerar du nätverksplatsservercertifikatet från en intern certifikatutfärdare
På den server som ska vara värd för nätverksplatsserverns webbplats: På startskärmen skriver dummc.exeoch trycker sedan på RETUR.
I MMC-konsolen går du till arkivmenyn och klickar på Lägg till/ta bort snapin-modul.
I dialogrutan Lägg till eller ta bort snapin-moduler klickar du på Certifikat, klickar på Lägg till, klickar på Datorkonto, klickar på Nästa, klickar på Lokal dator, klickar på Slutför och sedan på OK.
I konsolträdet för snapin-modulen Certifikat öppnar du Certifikat (lokal dator)\Personligt\Certifikat.
Högerklicka på Certifikat, peka på Alla uppgifter och klicka sedan på Begär nytt certifikat.
Klicka på Nästa två gånger.
På sidan Begär certifikat markerar du kryssrutan för certifikatmallen som du skapade genom att följa anvisningarna i 1.5.2 Konfigurera certifikatmallar. Om det behövs klickar du på Mer information krävs för att registrera dig för det här certifikatet.
I dialogrutan Certifikategenskaper går du till fliken Ämne i området Ämnesnamn i Typ och väljer Gemensamt namn.
I Värde anger du FQDN för nätverksplatsserverns webbplats och klickar sedan på Lägg till.
I området Alternativ namn går du till Typ och väljer DNS.
I Värde anger du FQDN för nätverksplatsserverns webbplats och klickar sedan på Lägg till.
På fliken Allmänt i Eget namn kan du ange ett namn som hjälper dig att identifiera certifikatet.
Klicka på OK, klicka på Registrera och klicka sedan på Slutför.
I informationsfönstret i snapin-modulen Certifikat kontrollerar du att det nya certifikatet har registrerats med avsedd användning av serverautentisering.
Så här konfigurerar du nätverksplatsservern
Konfigurera en webbplats på en server med hög tillgänglighet. Webbplatsen kräver inget innehåll, men när du testar den kan du definiera en standardsida som ger ett meddelande när klienter ansluter.
Note
Det här steget krävs inte om nätverksplatsserverns webbplats finns på DirectAccess-servern.
Binda ett HTTPS-servercertifikat till webbplatsen. Certifikatets gemensamma namn ska matcha namnet på nätverksplatsserverplatsen. Se till att DirectAccess-klienterna litar på den utfärdande CA.
Note
Det här steget krävs inte om nätverksplatsserverns webbplats finns på DirectAccess-servern.
Konfigurera en CRL-plats som har hög tillgänglighet från det interna nätverket.
CRL-distributionsplatser kan nås via:
Webbservrar med hjälp av en HTTP-baserad URL, till exempel:
https://crl.corp.contoso.com/crld/corp-APP1-CA.crlFilservrar som nås via en UNC-sökväg (Universal Naming Convention), till exempel \\crl.corp.contoso.com\crld\corp-APP1-CA.crl
Om den interna CRL-distributionsplatsen endast kan nås via IPv6 måste du konfigurera en Windows-brandvägg med en säkerhetsregel för avancerad säkerhet för att undanta IPsec-skydd från IPv6-adressen för intranätet till IPv6-adresserna för crl-distributionsplatserna.
Kontrollera att DirectAccess-klienter i det interna nätverket kan matcha namnet på nätverksplatsservern. Kontrollera att namnet inte kan upplösas av DirectAccess-klienter på Internet.