Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Než začnete s nasazením, projděte si následující seznam nepodporovaných konfigurací Technologie DirectAccess, abyste se vyhnuli opětovnému spuštění nasazení.
Distribuce objektů zásad skupiny pomocí služby replikace souborů (FRS) (replikace SYSVOL)
Nenasazujte DirectAccess v prostředích, kde řadiče domény používají službu replikace souborů (FRS) pro distribuci objektů zásad skupiny (replikace SYSVOL). Nasazení technologie DirectAccess není podporováno při použití služby FRS.
Používáte službu FRS, pokud máte řadiče domény se systémem Windows Server 2003 nebo Windows Server 2003 R2. Kromě toho můžete používat službu FRS, pokud jste dříve používali řadiče domény se systémem Windows 2000 Server nebo Windows Server 2003 a nikdy jste nemigrovali replikaci SYSVOL z FRS do replikace distribuovaného systému souborů (DFS-R).
Pokud nasadíte DirectAccess s replikací FRS SYSVOL, riskujete neúmyslné odstranění skupinových zásad DirectAccess, které obsahují informace o konfiguraci serveru a klienta DirectAccess. Pokud se tyto objekty odstraní, dojde k výpadku nasazení technologie DirectAccess a klientské počítače, které používají DirectAccess, se nebudou moct připojit k vaší síti.
Pokud plánujete nasadit DirectAccess, musíte použít řadiče domény, které používají operační systémy novější než Windows Server 2003 R2, a musíte použít DFS-R.
Informace o migraci z FRS na DFS-R najdete v průvodci migrací replikace SYSVOL: FRS na Replikaci DFS.
Ochrana přístupu k síti pro klienty DirectAccess
Architektura NAP (Network Access Protection) slouží k určení, jestli vzdálené klientské počítače před udělením přístupu k podnikové síti splňují zásady IT. Architektura NAP byla ve Windows Serveru 2012 R2 zastaralá a není součástí Windows Serveru 2016. Z tohoto důvodu se nedoporučuje spuštění nového nasazení technologie DirectAccess s architekturou NAP. Doporučuje se jiná metoda řízení koncových bodů pro zabezpečení klientů DirectAccess.
Podpora více lokalit pro klienty s Windows 7
Pokud je technologie DirectAccess nakonfigurovaná v nasazení ve více lokalitách, mají klienti Windows 10®, Windows® 8.1 a Windows® 8 možnost připojení k nejbližší lokalitě. Klientské počítače s Windows 7® nemají stejnou funkci. Výběr lokality pro klienty s Windows 7 je v době konfigurace zásad nastaven na konkrétní lokalitu a tito klienti se vždy připojují k této určené lokalitě bez ohledu na jejich umístění.
Řízení přístupu na základě uživatele
Zásady Technologie DirectAccess jsou založené na počítačích, nikoli na uživatelích. Zadání zásad uživatele DirectAccess pro řízení přístupu k podnikové síti se nepodporuje.
Přizpůsobení zásad DirectAccess
DirectAccess je možné nakonfigurovat pomocí Průvodce instalací technologie DirectAccess, konzoly pro správu vzdáleného přístupu nebo rutin prostředí Windows PowerShell pro vzdálený přístup. Použití jiných prostředků než Průvodce instalací technologie DirectAccess ke konfiguraci technologie DirectAccess, například úpravy objektů zásad skupiny DirectAccess přímo nebo ruční úpravy výchozích nastavení zásad na serveru nebo klientovi, není podporováno. Tyto úpravy můžou vést k nepoužitelné konfiguraci.
Ověřování KerbProxy
Když nakonfigurujete server DirectAccess pomocí Průvodce začínáme, server DirectAccess se automaticky nakonfiguruje tak, aby pro ověřování počítačů a uživatelů používal ověřování KerbProxy. Z tohoto důvodu byste měli použít průvodce Začínáme pouze pro nasazení s jednou lokalitou, kde jsou nasazeni pouze klienti Windows 10®, Windows 8.1 nebo Windows 8.
Kromě toho by se s ověřováním KerbProxy neměly používat následující funkce:
Vyrovnávání zatížení pomocí externího nástroje pro vyrovnávání zatížení nebo Windows Load Balanceru
Dvoufaktorové ověřování, kde jsou vyžadovány čipové karty nebo jednorázové heslo
Pokud povolíte ověřování KerbProxy, následující plány nasazení se nepodporují:
Multisite.
Podpora technologie DirectAccess pro klienty s Windows 7
Vynucené tunelování. Pokud chcete zajistit, aby ověřování KerbProxy nebylo při použití vynuceného tunelování povolené, nakonfigurujte při spuštění průvodce následující položky:
Povolit vynucení tunelování
Povolení technologie DirectAccess pro klienty s Windows 7
Note
Pro předchozí nasazení byste měli použít Průvodce pokročilou konfigurací, který používá konfiguraci se dvěma tunely s počítačem založeným na certifikátech a ověřováním uživatelů. Další informace najdete v tématu Nasazení jednoho serveru DirectAccess s rozšířeným nastavením.
Použití ISATAP
ISATAP je přechodová technologie, která poskytuje připojení IPv6 v podnikových sítích jenom s protokolem IPv4. Je omezena na malé a střední organizace s nasazením jednoho serveru DirectAccess a umožňuje vzdálenou správu klientů DirectAccess. Pokud je ISATAP nasazený ve více lokalitách, vyrovnávání zatížení nebo prostředí s více doménami, musíte ho před konfigurací Technologie DirectAccess odebrat nebo přesunout do nativního nasazení IPv6.
Konfigurace koncového bodu IPHTTPS a jednorázového hesla (OTP)
Pokud používáte IPHTTPS, musí se připojení IPHTTPS ukončit na serveru DirectAccess, ne na žádném jiném zařízení, jako je nástroj pro vyrovnávání zatížení. Podobně se na serveru DirectAccess musí ukončit vzdálené připojení SSL (Secure Sockets Layer), které se vytvoří během jednorázového ověřování heslem (OTP). Všechna zařízení mezi koncovými body těchto připojení musí být nakonfigurovaná v předávacím režimu.
Vynucení tunelu s ověřováním jednorázovým heslem
Nenasazujte server DirectAccess se dvěmafaktorovým ověřováním s jednorázovým heslem a vynuceným tunelováním nebo ověřování jednorázovým heslem selže. Mezi serverem DirectAccess a klientem DirectAccess se vyžaduje vzdálené připojení SSL (Secure Sockets Layer). Toto připojení vyžaduje výjimku pro odesílání provozu mimo tunel DirectAccess. V konfiguraci vynuceného tunelu musí veškerý provoz protékat tunelem DirectAccess a po vytvoření tunelu není povolená žádná výjimka. Z tohoto důvodu není podporováno použití ověřování jednorázovým heslem v konfiguraci nuceného tunelu.
Nasazení technologie DirectAccess pomocí řadiče domény Read-Only
Servery DirectAccess musí mít přístup k řadiči domény pro čtení i zápis a nefungují správně s řadičem domény Read-Only řadiče domény (RODC).
Řadič domény pro čtení i zápis se vyžaduje z mnoha důvodů, včetně následujících:
Na serveru DirectAccess se k otevření konzoly MMC (Microsoft Management Console) vyžaduje řadič domény pro čtení i zápis.
Server DirectAccess musí mít možnost číst i zapisovat do klienta DirectAccess a do objektů zásad skupiny serveru DirectAccess.
Server DirectAccess čte a zapisuje do GPO klienta přesně z emulátoru primárního řadiče domény (PDCe).
Kvůli těmto požadavkům nenasazujte DirectAccess s řadičem domény jen pro čtení.