Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här avsnittet beskriver hur du konfigurerar de klient- och serverinställningar som krävs för en avancerad fjärråtkomstdistribution som använder en enda fjärråtkomstserver i en blandad IPv4- och IPv6-miljö. Innan du påbörjar distributionsstegen kontrollerar du att du har slutfört de planeringssteg som beskrivs i Planera en avancerad DirectAccess-distribution.
| Task | Description |
|---|---|
| 2.1. Installera fjärråtkomstrollen | Installera fjärråtkomstrollen. |
| 2.2. Konfigurera distributionstypen | Konfigurera distributionstypen som DirectAccess och VPN, endast DirectAccess eller ENDAST VPN. |
| Planera en avancerad DirectAccess-distribution | Konfigurera fjärråtkomstservern med de säkerhetsgrupper som innehåller DirectAccess-klienter. |
| 2.4. Konfigurera fjärråtkomstservern | Konfigurera serverinställningar för fjärråtkomst. |
| 2.5. Konfigurera infrastrukturservrarna | Konfigurera de infrastrukturservrar som används i organisationen. |
| 2.6. Konfigurera programservrar | Konfigurera programservrar så att de kräver autentisering och kryptering. |
| 2.7. Konfigurationssammanfattning och alternativa gruppolicyobjekt | Visa konfigurationssammanfattningen för fjärråtkomst och ändra GPO-erna om det behövs. |
| 2.8. Så här konfigurerar du fjärråtkomstservern med Windows PowerShell | Konfigurera fjärråtkomst med hjälp av Windows PowerShell. |
Note
Det här avsnittet innehåller exempel på Windows PowerShell-cmdletar som du kan använda för att automatisera några av de procedurer som beskrivs. Mer information finns i Använda cmdletar.
2.1. Installera fjärråtkomstrollen
Om du vill distribuera fjärråtkomst måste du installera fjärråtkomstrollen på en server i din organisation som ska fungera som fjärråtkomstserver.
Så här installerar du fjärråtkomstrollen
På fjärråtkomstservern går du till Serverhanteraren-konsolen och klickar på Lägg till roller och funktioner på instrumentpanelen.
Klicka på Nästa tre gånger för att gå till skärmen Välj serverroller .
På sidan Välj serverroller väljer du Fjärråtkomst, klickar på Lägg till funktioneroch klickar sedan på Nästa.
Klicka på Nästa fem gånger.
På sidan Bekräfta installationsval klickar du på Installera.
På sidan Installationsstatus kontrollerar du att installationen lyckades och klickar sedan på Stäng.
Windows PowerShell-motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
2.2. Konfigurera distributionstypen
Fjärråtkomst kan distribueras med hjälp av fjärråtkomsthanteringskonsolen på tre sätt:
DirectAccess och VPN
Endast DirectAccess
Endast VPN
Den här guiden använder enbart en DirectAccess-distribution i exempelprocedurerna.
Så här konfigurerar du distributionstypen
Öppna konsolen Fjärråtkomsthantering på fjärråtkomstservern: På startskärmen skriver duRAMgmtUI.exeoch trycker sedan på RETUR. Om dialogrutan User Account Control visas bekräftar du att den åtgärd som visas är vad du vill ha och klickar sedan på Ja.
I konsolen för hantering av fjärråtkomst i det mellersta fönstret klickar du på Kör installationsguiden för fjärråtkomst.
I dialogrutan Konfigurera fjärråtkomst klickar du på om du vill distribuera DirectAccess och VPN, endast DirectAccess eller VPN.
2.3. Konfigurera DirectAccess-klienter
För att en klientdator ska kunna etableras för att använda DirectAccess måste den tillhöra den valda säkerhetsgruppen. När DirectAccess har konfigurerats förbereds klientdatorer i säkerhetsgruppen för att få DirectAccess Group Policy Object (GPO). Du kan också konfigurera distributionsscenariot, som gör att du kan konfigurera DirectAccess för klientåtkomst och fjärrhantering, eller endast för fjärrhantering.
Så här konfigurerar du DirectAccess-klienter
Klicka på Konfigurerai steg 1 Fjärrklienter i den mittersta rutan i konsolen för fjärråtkomsthantering.
Klicka på det distributionsscenario som du vill använda i din organisation på sidan Distributionsscenario i guiden Konfigurera DirectAccess-klient (endast fullständig DirectAccess eller Fjärrhantering) och klicka sedan på Nästa.
På sidan Välj grupper klickar du på Lägg till.
I dialogrutan Välj grupper väljer du de säkerhetsgrupper som innehåller directaccess-klientdatorerna.
Note
Om säkerhetsgruppen finns i en annan skog än fjärråtkomstservern, klickar du på Uppdatera hanteringsservrar i panelen Uppgifter efter att du har slutfört fjärråtkomstinstallationsguiden för att identifiera domänkontrollanterna och Configuration Manager-servrarna i den nya skogen.
Markera kryssrutan Aktivera DirectAccess för mobila datorer endast så att endast mobila datorer kan komma åt det interna nätverket om det behövs.
Markera kryssrutan Använd tvingad tunneltrafik för att dirigera all klienttrafik (till det interna nätverket och till Internet) via fjärråtkomstservern om det behövs.
Klicka på Nästa.
På sidan Nätverksanslutningsassistent:
I tabellen lägger du till resurser som ska användas för att fastställa anslutningen till det interna nätverket. En standardwebbavsökning skapas automatiskt om inga andra resurser har konfigurerats.
Caution
När du konfigurerar webbavsökningsplatserna för att fastställa anslutningen till Enterprise-nätverket kontrollerar du att minst en HTTP-baserad avsökning har konfigurerats. Det räcker inte att konfigurera en pingavsökning , vilket kan leda till felaktig bestämning av anslutningsstatus. Det beror på att ping är undantagen från IPsec och därför inte säkerställer att IPsec-tunnlarna är korrekt etablerade.
Lägg till en e-postadress till supportavdelningen så att användarna kan skicka information om de upplever anslutningsproblem.
Ange ett eget namn för DirectAccess-anslutningen. Det här namnet visas i nätverkslistan när användarna klickar på nätverksikonen i meddelandefältet.
Markera kryssrutan Tillåt DirectAccess-klienter att använda lokal namnlösning om det behövs.
Note
När den lokala namnmatchningen är aktiverad kan användare som kör Nätverksanslutningsassistenten välja att matcha namn med hjälp av DNS-servrar som har konfigurerats på DirectAccess-klientdatorn.
Klicka på Slutför.
2.4. Konfigurera fjärråtkomstservern
För att distribuera fjärråtkomst måste du konfigurera fjärråtkomstservern med rätt nätverkskort, en offentlig URL för fjärråtkomstservern som klientdatorer kan ansluta till (ConnectTo-adressen), ett IP-HTTPS certifikat med ett ämne som matchar ConnectTo-adressen, IPv6-inställningarna och klientdatorautentisering.
Så här konfigurerar du fjärråtkomstservern
I den mittersta rutan i konsolen för fjärråtkomsthantering, i området Steg 2 Fjärråtkomstserver, klicka på Konfigurera.
I guiden Konfigurera fjärråtkomstserver klickar du på den distributionstopologi som ska användas i din organisation på sidan Nätverkstopologi . I Ange det offentliga namnet eller IPv4-adressen som används av klienter för att ansluta till fjärråtkomstservernanger du det offentliga namnet för distributionen (det här namnet matchar ämnesnamnet för IP-HTTPS certifikatet, till exempel edge1.contoso.com) och klickar sedan på Nästa.
På sidan Nätverkskort identifierar guiden automatiskt nätverkskorten för nätverken i distributionen. Om guiden inte identifierar rätt nätverkskort väljer du rätt kort manuellt. Guiden identifierar också automatiskt IP-HTTPS certifikatet, baserat på det offentliga namnet för distributionsuppsättningen i föregående steg i guiden. Om guiden inte identifierar rätt IP-HTTPS certifikat klickar du på Bläddra för att manuellt välja rätt certifikat och klickar sedan på Nästa.
På sidan Prefixkonfiguration (detta visas endast om IPv6 distribueras i det interna nätverket) identifierar guiden automatiskt de IPv6-inställningar som används i det interna nätverket. Om distributionen kräver ytterligare prefix konfigurerar du IPv6-prefixen för det interna nätverket, ett IPv6-prefix som ska tilldelas till DirectAccess-klientdatorer och ett IPv6-prefix som ska tilldelas VPN-klientdatorer.
Note
Du kan ange flera interna IPv6-prefix med hjälp av en semikolonavgränsad lista, till exempel 2001:db8:1::/48; 2001:db8:2::/48.
På sidan Autentisering :
I Användarautentisering klickar du på Active Directory-autentiseringsuppgifter. Om du vill konfigurera en distribution med hjälp av tvåfaktorautentisering klickar du på Tvåfaktorsautentisering. Mer information finns i Distribuera fjärråtkomst med OTP-autentisering.
För distributioner av multisite- och tvåfaktorautentisering måste du använda datorcertifikatautentisering. Markera kryssrutan Använd datorcertifikat för att använda datorcertifikatautentisering och välj rotcertifikatet för IPsec.
Om du vill att Windows 7-klientdatorer ska kunna ansluta via DirectAccess markerar du kryssrutan Aktivera Windows 7-klientdatorer för att ansluta via DirectAccess.
Note
Du måste också använda datorcertifikatautentisering i den här typen av distribution.
Klicka på Slutför.
2.5. Konfigurera infrastrukturservrarna
Om du vill konfigurera infrastrukturservrarna i en fjärråtkomstdistribution måste du konfigurera nätverksplatsservern, DNS-inställningarna (inklusive söklistan för DNS-suffix) och hanteringsservrar som inte identifieras automatiskt av fjärråtkomst.
Så här konfigurerar du infrastrukturservrarna
Klicka på Konfigurerai Steg 3 Infrastrukturservrar i den mittersta panelen i konsolen för hantering av fjärråtkomst.
I installationsguiden för infrastrukturservern klickar du på det alternativ som motsvarar platsen för nätverksplatsservern i distributionen på sidan Nätverksplatsserver. Om nätverksplatsservern finns på en fjärrwebbserver anger du URL:en och klickar på Verifiera innan du fortsätter. Om nätverksplatsservern finns på fjärråtkomstservern klickar du på Bläddra för att hitta relevant certifikat och klickar sedan på Nästa.
På DNS-sidan i tabellen anger du eventuella ytterligare namnsuffix som ska användas som NRPT-undantag (Name Resolution Policy Table). Välj ett alternativ för lokal namnmatchning och klicka sedan på Nästa.
På sidan DNS-suffixsökningslista identifierar fjärråtkomstservern automatiskt alla domänsuffix i distributionen. Använd knapparna Lägg till och ta bort för att lägga till och ta bort domänsuffix från listan över domänsuffix som ska användas. Om du vill lägga till ett nytt domänsuffix går du till Nytt suffix, anger suffixet och klickar sedan på Lägg till. Klicka på Nästa.
På sidan Hantering lägger du till alla hanteringsservrar som inte identifieras automatiskt och klickar sedan på Nästa. Fjärråtkomst lägger automatiskt till domänkontrollanter och Configuration Manager-servrar.
Note
Även om servrarna läggs till automatiskt visas de inte i listan. När du har tillämpat konfigurationen första gången visas Configuration Manager-servrarna i listan.
Klicka på Slutför.
2.6. Konfigurera programservrar
I en fjärråtkomstdistribution är det en valfri uppgift att konfigurera programservrar. Med fjärråtkomst kan du kräva autentisering för valda programservrar, vilket bestäms av deras inkludering i en säkerhetsgrupp för programservrar. Som standard krypteras även trafik till programservrar som kräver autentisering. Du kan dock välja att inte kryptera trafik till programservrar och endast använda autentisering.
Note
Autentisering utan kryptering stöds endast på programservrar som kör Windows Server 2012 R2, Windows Server 2012 eller Windows Server 2008 R2 .
Så här konfigurerar du programservrar
I den mittersta rutan i konsolen för fjärråtkomsthantering, i området steg 4-programservrar, klicka på Konfigurera.
I installationsguiden för DirectAccess-programservern klickar du på Utöka autentisering till valda programservrarom du vill kräva autentisering till valda programservrar. Klicka på Lägg till för att välja programserverns säkerhetsgrupp.
Om du bara vill begränsa åtkomsten till servrarna i programserverns säkerhetsgrupp markerar du kryssrutan Tillåt åtkomst endast till servrar som ingår i säkerhetsgrupperna.
Om du vill använda autentisering utan kryptering väljer du Kryptera inte trafik. Använd endast autentisering kryssruta.
Klicka på Slutför.
2.7. Konfigurationssammanfattning och alternativa gruppolicyobjekt
När konfigurationen för fjärråtkomst är klar visas Fjärråtkomstgranskning. Du kan granska alla inställningar som du tidigare har valt, inklusive:
Grupprincipobjektinställningar: Namnet på DirectAccess-serverns grupprincipobjekt och klientens grupprincipobjekt visas. Dessutom kan du klicka på länken Ändra bredvid rubriken Grupprincipobjektinställningar för att ändra grupprincipobjektets inställningar.
Fjärrklienter: DirectAccess-klientkonfigurationen visas, inklusive säkerhetsgruppen, tvingad tunnelstatus, anslutningsverifierare och DirectAccess-anslutningsnamn.
Fjärråtkomstserver: DirectAccess-konfigurationen visas, inklusive offentligt namn/adress, konfiguration av nätverkskort, certifikatinformation och OTP-information om den konfigureras.
Infrastrukturservrar: Den här listan innehåller url:en för nätverksplatsservern, DNS-suffix som används av DirectAccess-klienter och hanteringsserverinformation.
Programservrar: DirectAccesss fjärrhanteringsstatus visas, förutom statusen för autentisering från slutpunkt till slutpunkt för specifika programservrar.
2.8. Så här konfigurerar du fjärråtkomstservern med hjälp av Windows PowerShell
Windows PowerShell-motsvarande kommandon
Följande Windows PowerShell-cmdlet eller cmdletar utför samma funktion som föregående procedur. Ange varje cmdlet på en enda rad, även om de kan visas ordomslutna över flera rader här på grund av formateringsbegränsningar.
Utför en fullständig installation i en gränstopologi för fjärråtkomst för DirectAccess endast i en domän med rot-corp.contoso.com och med hjälp av följande parametrar: server-GPO: DirectAccess Server-inställningar, klient-GPO: DirectAccess-klientinställningar, internt nätverkskort: Corpnet, externt nätverkskort: Internet, ConnectTto-adress: edge1.contoso.com och nätverksplatsserver: nls.corp.contoso.com:
Install-RemoteAccess -Force -PassThru -ServerGpoName 'corp.contoso.com\DirectAccess Server Settings' -ClientGpoName 'corp.contoso.com\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Corpnet' -ConnectToAddress 'edge1.contoso.com' -NlsUrl 'https://nls.corp.contoso.com/'
Så här konfigurerar du fjärråtkomstservern för att använda datorcertifikatautentisering med ett IPsec-rotcertifikat som utfärdas av certifikatutfärdare med namnet CORP-APP1-CA:
$certs = Get-ChildItem Cert:\LocalMachine\Root
$IPsecRootCert = $certs | Where-Object {$_.Subject -Match "corp-APP1-CA"}
Set-DAServer -IPsecRootCertificate $IPsecRootCert
Så här lägger du till säkerhetsgruppen som innehåller DirectAccess-klienter med namnet DirectAccessClients och tar bort standardsäkerhetsgruppen Domändatorer:
Add-DAClient -SecurityGroupNameList @('corp.contoso.com\DirectAccessClients')
Remove-DAClient -SecurityGroupNameList @('corp.contoso.com\Domain Computers')
Så här aktiverar du fjärråtkomst för alla datorer (inte bara bärbara datorer och laptops), och för att aktivera fjärråtkomst för Windows 7-användare:
Set-DAClient -OnlyRemoteComputers 'Disabled' -Downlevel 'Enabled'
Så här konfigurerar du DirectAccess-klientupplevelsen, inklusive det egna anslutningsnamnet och url:en för webbavsökningen:
Set-DAClientExperienceConfiguration -FriendlyName 'Contoso DirectAccess Connection' -PreferLocalNamesAllowed $False -PolicyStore 'corp.contoso.com\DirectAccess Client Settings' -CorporateResources @('HTTP:https://directaccess-WebProbeHost.corp.contoso.com')