Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az üzembe helyezés megkezdése előtt tekintse át a nem támogatott DirectAccess-konfigurációk alábbi listáját, hogy ne kelljen újra elindítania az üzembe helyezést.
Csoportházirend-objektumok (SYSVOL-replikációk) fájlreplikációs szolgáltatásának (FRS) terjesztése
Ne telepítse a DirectAccesst olyan környezetekben, ahol a tartományvezérlők a csoportházirend-objektumok (SYSVOL-replikációk) terjesztéséhez futtatják a fájlreplikációs szolgáltatást (FRS). A DirectAccess üzembe helyezése nem támogatott az FRS használatakor.
FrS-t akkor használ, ha Windows Server 2003 vagy Windows Server 2003 R2 rendszerű tartományvezérlőkkel rendelkezik. Emellett frS-t is használhat, ha korábban Windows 2000 Server vagy Windows Server 2003 rendszerű tartományvezérlőket használt, és soha nem migrálta a SYSVOL replikációt az FRS-ből az elosztott fájlrendszer replikációjához (DFS-R).
Ha FRS SYSVOL-replikációval telepíti a DirectAccesst, azzal kockáztatja a DirectAccess-csoportházirend-objektumok véletlen törlését, amelyek tartalmazzák a DirectAccess-kiszolgáló és az ügyfélkonfiguráció adatait. Ha ezek az objektumok törlődnek, a DirectAccess-példány kimaradást fog szenvedni, és a DirectAccess-t használó ügyfélszámítógépek nem tudnak csatlakozni a hálózatához.
Ha a DirectAccess üzembe helyezését tervezi, olyan tartományvezérlőket kell használnia, amelyek a Windows Server 2003 R2-nél későbbi operációs rendszereket futtatnak, és DFS-R-t kell használnia.
Az FRS-ről DFS-R-re való migrálásról további információt a SYSVOL replikációs áttelepítési útmutatójában talál: FRS replikációról a DFS replikációra.
Network Access Protection DirectAccess-ügyfelekhez
A Hálózathozzáférés-védelem (NAP) segítségével megállapíthatja, hogy a távoli ügyfélszámítógépek megfelelnek-e az informatikai szabályzatnak, mielőtt hozzáférést kapnának a vállalati hálózathoz. A NAP elavult a Windows Server 2012 R2-ben, és nem szerepel a Windows Server 2016-ban. Ezért nem ajánlott a DirectAccess új üzembe helyezésének indítása NAP-val. Javasoljuk, hogy a DirectAccess-ügyfelek biztonsága érdekében más végpontvezérlési módszert használjon.
Többhelyes támogatás Windows 7-ügyfelek számára
Ha a DirectAccess többhelyes üzemelő példányban van konfigurálva, a Windows 10®, a Windows® 8.1 és a Windows® 8 rendszerű ügyfelek képesek csatlakozni a legközelebbi helyhez. A Windows 7® ügyfélszámítógépek nem rendelkeznek ugyanazzal a képességgel. A Windows 7-ügyfelek helykijelölése a szabályzatkonfiguráció időpontjában egy adott helyre van beállítva, és ezek az ügyfelek mindig a kijelölt helyhez csatlakoznak, a helyüktől függetlenül.
Felhasználóalapú hozzáférés-vezérlés
A DirectAccess-szabályzatok számítógépalapúak, nem felhasználóalapúak. Nem támogatott a DirectAccess felhasználói házirendek megadása a vállalati hálózathoz való hozzáférés szabályozásához.
DirectAccess-szabályzat testreszabása
A DirectAccess a DirectAccess telepítővarázslójával, a távelérés-kezelési konzollal vagy a távelérési Windows PowerShell-parancsmagokkal konfigurálható. A DirectAccess telepítővarázslótól eltérő bármely más eszköz használata a DirectAccess konfigurálásához, például a DirectAccess csoportházirend-objektumainak közvetlen módosítása vagy a kiszolgáló vagy ügyfél alapértelmezett házirend-beállításainak manuális módosítása nem támogatott. Ezek a módosítások használhatatlan konfigurációt eredményezhetnek.
KerbProxy-hitelesítés
Ha a DirectAccess-kiszolgálót az Első lépések varázslóval konfigurálja, a DirectAccess-kiszolgáló automatikusan úgy van konfigurálva, hogy KerbProxy-hitelesítést használjon a számítógép- és felhasználói hitelesítéshez. Emiatt csak az Első lépések varázslót kell használnia olyan egyhelyes üzemelő példányokhoz, ahol csak a Windows 10®, a Windows 8.1 vagy a Windows 8 rendszerű ügyfelek vannak üzembe helyezve.
A KerbProxy-hitelesítéshez a következő funkciók nem használhatók:
Terheléselosztás külső terheléselosztóval vagy Windows Load Balancerrel
Kéttényezős hitelesítés, ahol intelligens kártyákra vagy egyszeri jelszóra (OTP) van szükség
A KerbProxy-hitelesítés engedélyezése esetén a következő üzembehelyezési csomagok nem támogatottak:
Multisite.
DirectAccess-támogatás Windows 7-ügyfelekhez.
Kényszer-alagút. Annak érdekében, hogy a KerbProxy-hitelesítés ne legyen engedélyezve kényszerítő bújtatás használatakor, konfigurálja a következő elemeket a varázsló futtatásakor:
Kényszerített bújtatás engedélyezése
A DirectAccess engedélyezése Windows 7-ügyfelek számára
Note
A korábbi üzembe helyezésekhez a Speciális konfiguráció varázslót kell használnia, amely egy két-alagútos konfigurációt használ tanúsítványalapú számítógépes és felhasználói hitelesítéssel. További információ: Önálló DirectAccess-kiszolgáló központi telepítése speciális beállításokkal.
az ISATAP használata
Az ISATAP egy áttűnési technológia, amely IPv6-kapcsolatot biztosít csak IPv4-alapú vállalati hálózatokban. Csak olyan kis- és közepes méretű szervezetekre korlátozódik, ahol egyetlen DirectAccess-kiszolgáló üzemel, és lehetővé teszi a DirectAccess-ügyfelek távoli felügyeletét. Ha az ISATAP többhelyes, terheléselosztási vagy többtartományos környezetben van üzembe helyezve, a DirectAccess konfigurálása előtt el kell távolítania vagy át kell helyeznie egy natív IPv6-telepítésre.
IPHTTPS és egyszeri jelszó (OTP) végpontkonfiguráció
AZ IPHTTPS használatakor az IPHTTPS-kapcsolatnak a DirectAccess-kiszolgálón kell megszakadnia, nem pedig más eszközön, például terheléselosztón. Hasonlóképpen, az egyszeri jelszó (OTP) hitelesítés során létrehozott sávon kívüli Secure Sockets Layer (SSL) kapcsolatnak is le kell mondania a DirectAccess-kiszolgálón. A kapcsolatok végpontjai közötti összes eszközt átmenő módban kell konfigurálni.
Kényszerített alagút OTP-hitelesítéssel
Ne helyezzen üzembe kéttényezős hitelesítéssel rendelkező DirectAccess-kiszolgálót az OTP és a Force Tunneling használatával, vagy az OTP-hitelesítés sikertelen lesz. A DirectAccess-kiszolgáló és a DirectAccess-ügyfél között sávon kívüli Secure Sockets Layer (SSL) kapcsolat szükséges. Ez a kapcsolat kivételt igényel a forgalom DirectAccess-alagúton kívüli küldéséhez. A Force Tunnel konfigurációban az összes forgalomnak directAccess-alagúton keresztül kell haladnia, és az alagút létrehozása után nem engedélyezett a kivétel. Emiatt nem támogatott az OTP-hitelesítés kényszerített alagútkonfigurációban.
A DirectAccess üzembe helyezése Read-Only tartományvezérlővel
A DirectAccess-kiszolgálóknak hozzáféréssel kell rendelkezniük egy írható-olvasható tartományvezérlőhöz, és nem működnek megfelelően Read-Only tartományvezérlővel (RODC).
Írás- és olvasási jogosultságú tartományvezérlőre több okból is szükség van, például:
A DirectAccess-kiszolgálón írás-olvasási tartományvezérlő szükséges a Távelérési Microsoft Felügyeleti Konzol (MMC) megnyitásához.
A DirectAccess-kiszolgálónak mind a DirectAccess-ügyfél csoportházirend-objektumainak, mind a DirectAccess-kiszolgáló csoportházirend-objektumainak olvasására és írására képesnek kell lennie.
A DirectAccess-kiszolgáló beolvassa és beírja az ügyfél csoportházirend-objektumát kifejezetten az elsődleges tartományvezérlő emulátorából (PDCe).
Ezen követelmények miatt ne telepítse a DirectAccesst rodc használatával.