Configurare DirectAccess in Windows Server Essentials
Si applica a: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials
Questo argomento fornisce istruzioni dettagliate per la configurazione di DirectAccess in Windows Server Essentials per consentire alla forza lavoro mobile di connettersi facilmente alla rete dell'organizzazione da qualsiasi posizione remota dotata di Internet senza stabilire una connessione VPN (Virtual Private Network). DirectAccess può offrire ai lavoratori mobili la stessa esperienza di connettività all'interno e all'esterno dell'ufficio dai computer Windows 8.1, Windows 8 e Windows 7.
In Windows Server Essentials, se il dominio contiene più server Windows Server Essentials, DirectAccess deve essere configurato nel controller di dominio.
Nota
In questo argomento vengono fornite istruzioni per la configurazione di DirectAccess quando il server Windows Server Essentials è il controller di dominio. Se il server Windows Server Essentials è un membro di dominio, seguire le istruzioni per configurare DirectAccess in un membro di dominio in Aggiungere DirectAccess a una distribuzione VPN (Existing Remote Access).
Panoramica processo
Per configurare DirectAccess in Windows Server Essentials, seguire questa procedura.
Importante
Prima di usare le procedure descritte in questa guida per configurare DirectAccess in Windows Server Essentials, è necessario abilitare la VPN nel server. Per istruzioni, vedere Gestire la VPN.
Passaggio 1: Aggiungere strumenti di gestione accesso remoto al server
Passaggio 2: Modificare l'indirizzo della scheda di rete del server in un indirizzo IP statico
Passaggio 3: Preparare un certificato e un record DNS per il server dei percorsi di rete
Passaggio 4: Creare un gruppo di sicurezza per i computer client DirectAccess
Passaggio 8: Modificare la configurazione DNS64 per l'ascolto dell'interfaccia IP-HTTPS
Nota
Appendice: Installare DirectAccess tramite Windows PowerShell fornisce uno script di Windows PowerShell che è possibile usare per eseguire la configurazione di DirectAccess.
Passaggio 1: Aggiungere Strumenti di Gestione Accesso remoto al server
Per aggiungere strumenti ® di gestione di Acc remoti®
Sul server, nell'angolo inferiore sinistro della pagina iniziale fare clic sull'icona Server Manager .
In Windows Server Essentials è necessario cercare Server Manager per aprirlo. Nella pagina iniziale digitare Server Managere quindi fare clic su Server Manager nei risultati della ricerca. Per aggiungere Server Manager alla pagina iniziale, fare clic con il pulsante destro del mouse su Server Manager nei risultati della ricerca e scegliere Aggiungi a Start.
Se viene visualizzato un messaggio di avviso relativo al Controllo dell'account utente , fare clic su Sì.
Nel dashboard di Server Manager fare clic su Gestionee quindi su Aggiungi ruoli e funzionalità.
In Aggiunta guidata ruoli e funzionalità eseguire le operazioni seguenti:
Nella pagina Tipo di installazione fare clic su Installazione basata su ruoli o basata su funzionalità.
Nella pagina Selezione server (o nella pagina Seleziona server di destinazione in Windows Server Essentials) fare clic su Seleziona un server dal pool di server.
Nella pagina Funzionalità espandere Strumenti di amministrazione remota del server (installati), espandere Strumenti di Gestione Accesso remoto (installati), espandere Strumenti di amministrazione ruoli (installati), espandere Strumenti di Gestione Accesso remotoe quindi selezionare Interfaccia utente grafica e strumenti da riga di comando di Accesso remoto.
Seguire le istruzioni per completare la procedura guidata.
Passaggio 2: Impostare l'indirizzo della scheda di rete del server su un indirizzo IP statico
DirectAccess richiede una scheda con un indirizzo IP statico. È quindi necessario modificare l'indirizzo IP per la scheda di rete locale del server.
Per aggiungere un indirizzo IP statico
Nella pagina iniziale aprire il Pannello di controllo.
Fare clic su Rete e Internete quindi su Visualizza attività e stato della rete.
Nel riquadro attività di Centro connessioni di rete e condivisionefare clic su Modifica impostazioni scheda.
Fare clic con il pulsante destro del mouse sulla scheda di rete locale e quindi scegliere Proprietà.
Nella scheda Rete fare clic su Protocollo Internet versione 4 (TCP/IPv4)e quindi su Proprietà.
Nella scheda Generale fare clic su Utilizza il seguente indirizzo IPe quindi digitare l'indirizzo IP che si desidera utilizzare.
Nella casella Subnet mask viene automaticamente visualizzato un valore predefinito per la subnet mask. Accettare il valore predefinito oppure digitare il valore della subnet mask che si desidera utilizzare.
Nella casella Gateway predefinito digitare l'indirizzo IP del gateway predefinito.
Nella casella Server DNS preferito digitare l'indirizzo IP del server DNS in uso.
Nota
Usare l'indirizzo IP assegnato alla scheda di rete dal protocollo DHCP (ad esempio 192.168.X.X) invece di quello di una rete loopback (ad esempio 127.0.0.1). Per trovare l'indirizzo IP assegnato, eseguire ipconfig al prompt dei comandi.
Nella casella Server DNS alternativo digitare l'indirizzo IP del server DNS alternativo, se disponibile.
Fare clic su OK e quindi su Chiudi.
Importante
Accertarsi di configurare il router per l'inoltro delle porte 80 e 443 al nuovo indirizzo IP statico del server.
Passaggio 3: Preparare un certificato e il record DNS per il server dei percorsi di rete
Per preparare un certificato e il record DNS per il server dei percorsi di rete, eseguire le attività seguenti:
Passaggio 3a: Concedere autorizzazioni complete agli utenti autenticati per il modello di certificato del server Web
La prima attività consiste nel concedere autorizzazioni complete per autenticare gli utenti per il modello di certificato del server Web nell'autorità di certificazione.
Per concedere autorizzazioni complete agli utenti autenticati per il modello di certificato del server Web
Nella pagina iniziale aprire Autorità di certificazione.
Nell'albero della console, in Autorità di certificazione (locale) espandere <servername-CA>, fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Gestisci.
In Autorità di certificazione (locale)fare clic con il pulsante destro del mouse su Server Webe quindi scegliere Proprietà.
Nelle proprietà del server Web, nella scheda Sicurezza fare clic su Utenti autenticati, selezionare Controllo completoe quindi fare clic su OK.
Riavviare Servizi certificati Active Directory. Nel Panello di controllo aprire Visualizza servizi locali. Nell'elenco di servizi fare clic con il pulsante destro del mouse su Servizi certificati Active Directorye quindi scegliere Riavvia.
Passaggio 3b: Registrare un certificato per il server dei percorsi di rete con un nome comune non risolvibile dalla rete esterna
Registrare quindi un certificato per il server dei percorsi di rete con un nome comune non risolvibile dalla rete esterna.
Per registrare un certificato per il server dei percorsi di rete
Nella pagina iniziale aprire mmc (Microsoft Management Console).
Se viene visualizzato un messaggio di avviso relativo al Controllo dell'account utente , fare clic su Sì.
Verrà aperto Microsoft Management Console (MMC).
Nel menu File fare clic su Aggiungi/Rimuovi snap-in.
Nella casella Aggiungi o rimuovi snap-in fare clic su Certificatie quindi fare clic su Aggiungi.
Nella pagina Snap-in certificati fare clic su Account computer, quindi su Avanti.
Nella pagina Selezione computer fare clic su Computer locale, fare clic su Finee quindi su OK.
Nell'albero della console espandere Certificati (computer locale), espandere Personale, fare clic con il pulsante destro del mouse su Certificatie quindi in Tutte le attivitàscegliere Richiedi nuovo certificato.
Quando viene visualizzata la procedura guidata Registrazione certificato, fare clic su Avanti.
Nella pagina Seleziona criteri di registrazione certificato fare clic su Avanti.
Nella pagina Richiedi certificato selezionare la casella di controllo Server Web e quindi fare clic su Sono necessarie ulteriori informazioni per registrare il certificato.
Nella casella Proprietà certificato immettere le impostazioni seguenti per Nome soggetto:
In Tiposelezionare Nome comune.
In Valoredigitare il nome del server dei percorsi di rete, ad esempio, DirectAccess-NLS.contoso.local, quindi fare clic su Aggiungi.
Fare clic su OKe quindi fare clic su Registrazione.
Una volta completata la registrazione certificato, fare clic su Fine.
Passaggio 3c: Aggiungere un nuovo host al server DNS e mapparlo all'indirizzo del server Windows Server Essentials
Per completare la configurazione DNS, aggiungere un nuovo host nel server DNS ed eseguirne il mapping all'indirizzo del server Windows Server Essentials.
Per mappare un nuovo host all'indirizzo del server Windows Server Essentials
Nella pagina iniziale aprire Gestore DNS. Per aprire Gestore DNS, cercare dnsmgmt.msce quindi fare clic su dnsmgmt.msc nei risultati.
Nell'albero della console di Gestione DNS espandere il server locale, espandere Zone di ricerca diretta, fare clic con il pulsante destro del mouse sulla zona con il suffisso di dominio del server e quindi scegliere Nuovo host (A o AAAA).
Digitare il nome e l'indirizzo IP del server, ad esempio DirectAccess-NLS.contoso.local e l'indirizzo del server corrispondente, ad esempio 192.168.x.x.
Fare clic su Aggiungi host, fare clic su OKe quindi fare clic su Chiudi.
Passaggio 4: Creare un gruppo di sicurezza per i computer client DirectAccess
Creare poi un gruppo di sicurezza da usare per i computer client DirectAccess e quindi aggiungere gli account computer al gruppo.
Per aggiungere un gruppo di sicurezza per i computer client che usano DirectAccess
Nel dashboard di Server Manager fare clic su Strumentie quindi fare clic su Utenti e computer di Active Directory.
Nota
Se Utenti e computer di Active Directory non è visibile nel menu Strumenti , è necessario installare la funzionalità. Per installare utenti e gruppi di Active Directory, eseguire il cmdlet di Windows PowerShell seguente come amministratore:
Install-WindowsFeature RSAT-ADDS-Tools. Per altre informazioni, vedere Installare o rimuovere il pacchetto Strumenti di amministrazione remota del server.Nell'albero della console espandere il server, fare clic con il pulsante destro del mouse su Utenti, scegliere Nuovoe quindi Gruppo.
Immettere il nome del gruppo, l'ambito del gruppo e il tipo di gruppo (creare un gruppo di sicurezza) e quindi fare clic su OK.
Il nuovo gruppo di sicurezza viene aggiunto alla cartella Utenti .
Per aggiungere gli account computer al gruppo di sicurezza
Nel dashboard di Server Manager fare clic su Strumentie quindi fare clic su Utenti e computer di Active Directory.
Nell'albero della console espandere il server e quindi fare clic su Utenti.
Nell'elenco di account utente e di gruppi di sicurezza sul server fare clic con il pulsante destro del mouse sul gruppo di sicurezza creato per DirectAccess e quindi scegliere Proprietà.
Nella scheda Membri fare clic su Aggiungi.
Nella finestra di dialogo digitare i nomi degli account computer da aggiungere al gruppo, separandoli con un punto e virgola (;). Quindi fare clic su Controlla nomi.
Una volta convalidati gli account computer, fare clic su OK. Fare quindi ancora clic su OK .
Nota
È anche possibile usare la scheda Membro di nelle proprietà dell'account computer per aggiungere l'account al gruppo di sicurezza.
Passaggio 5: Abilitare e configurare DirectAccess
Per abilitare e configurare DirectAccess in Windows Server Essentials, è necessario completare la procedura seguente:
Passaggio 5a: Abilitare DirectAccess con la Console di gestione Accesso remoto
Questa sezione fornisce istruzioni dettagliate per abilitare DirectAccess in Windows Server Essentials. Se la VPN sul server non è ancora stata configurata, è consigliabile farlo prima di iniziare questa procedura. Per istruzioni, vedere Gestire la VPN.
Per abilitare DirectAccess con la Console di gestione Accesso remoto
Nella pagina iniziale aprire Gestione accesso remoto.
Nell'Abilitazione guidata DirectAccess eseguire le operazioni seguenti:
Rivedere Prerequisiti DirectAccesse fare clic su Avanti.
Nella scheda Seleziona gruppi aggiungere il gruppo di sicurezza creato in precedenza per i client DirectAccess. Se il gruppo di sicurezza non è stato creato, vedere Passaggio 4: Creare un gruppo di sicurezza per i computer client DirectAccess per istruzioni.
Sulla scheda Seleziona gruppi fare clic su Abilita DirectAccess solo per computer mobili se si desidera abilitare i computer mobili per l'utilizzo di DirectAccess per accedere in modalità remota al server, quindi fare clic su Avanti.
In Topologia di reteselezionare la topologia del server e quindi fare clic su Avanti.
In Elenco di ricerca suffissi DNSaggiungere il suffisso DNS per i computer client, se necessario, e quindi fare clic su Avanti.
Nota
Per impostazione predefinita, l'abilitazione guidata di DirectAccess aggiunge il suffisso DNS per il dominio corrente. È tuttavia possibile aggiungerne altri, se necessario.
Verificare gli oggetti Criteri di gruppo che verranno applicati e, se necessario, modificarli.
Fare clic su Avanti e quindi su Fine.
Riavviare il servizio Gestione accesso remoto eseguendo il comando Windows PowerShell seguente con un account con privilegi elevati:
Restart-Service RaMgmtSvc
Passaggio 5b: Rimuovere il prefisso IPv6Prefix non valido nell'oggetto Criteri di gruppo RRAS (solo Windows Server Essentials)
Questa sezione si applica a un server che esegue Windows Server Essentials.
Aprire Windows PowerShell come amministratore ed eseguire i comandi seguenti:
gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate
Passaggio 5c: Abilitare i computer client che eseguono Windows 7 Enterprise per l'uso di DirectAccess
Se si dispone di computer client che eseguono Windows 7 Enterprise, completare la procedura seguente per abilitare DirectAccess da tali computer.
Per consentire ai computer Windows 7 Enterprise di usare DirectAccess
Nella pagina iniziale del server aprire Gestione accesso remoto.
Nella console di gestione Accesso remoto fare clic su Configurazione. Quindi nel riquadro Dettagli installazione , sotto Passaggio 2fare clic su Modifica.
Si apre la procedura guidata Installazione del server di Accesso remoto.
Nella scheda Autenticazione scegliere il certificato dell'autorità di certificazione (CA) che sarà il certificato radice attendibile (è possibile scegliere il certificato CA del server Windows Server Essentials). Fare clic su Abilita computer client Windows 7 alla connessione tramite DirectAccesse quindi fare clic su Avanti.
Seguire le istruzioni per completare la procedura guidata.
Importante
Esiste un problema noto per i computer Windows 7 Enterprise che si connettono tramite DirectAccess se il server Windows Server Essentials non è stato installato con UR1 preinstallato. Per abilitare le connessioni DirectAccess in tale ambiente, è necessario eseguire questi passaggi aggiuntivi:
Installare l'hotfix descritto nell'articolo della Microsoft Knowledge Base (KB) 2796394 nel server Windows Server Essentials. Quindi riavviare il server. 2. Installare quindi l'hotfix descritto nell'articolo della Microsoft Knowledge Base (KB) 2615847 in ogni computer Windows 7.
Questo problema è stato risolto in Windows Server Essentials.
Passaggio 5d: Configurare il server dei percorsi di rete
In questa sezione vengono illustrate le istruzioni dettagliate per configurare le impostazioni del server dei percorsi di rete.
Nota
Prima di iniziare, copiare il contenuto della <cartella SystemDrive>\inetpub\wwwroot nella <cartella SystemDrive>\Programmi\Windows Server\Bin\WebApps\Site\insideoutside. Copiare anche il file default.aspx dalla <cartella SystemDrive>\Programmi\Windows Server\Bin\WebApps\Site nella <cartella SystemDrive>\Programmi\Windows Server\Bin\WebApps\Site\insideoutside.
Per configurare il server dei percorsi di rete
Nella pagina iniziale aprire Gestione accesso remoto.
Nella console di Gestione Accesso remoto fare clic su Configurazione, quindi, nel riquadro dei dettagli Configurazione Accesso remoto fare clic su Modificain Passaggio 3.
Nella Configurazione guidata server di Accesso remoto, nella scheda Server dei percorsi di rete selezionare Il server dei percorsi di rete viene distribuito nel server di Accesso remotoe quindi selezionare il certificato emesso in precedenza (in Step 3: Prepare a certificate and DNS record for the network location server).
Seguire le istruzioni per completare la procedura guidata e quindi fare clic su Fine.
Passaggio 5e: Aggiungere la chiave del Registro di sistema per ignorare la certificazione CA quando si stabilisce il canale IPsec
Il passaggio successivo è la configurazione del server per ignorare la certificazione CA quando viene stabilito un canale IPsec.
Per aggiungere una chiave del Registro di sistema per ignorare la certificazione CA
Nella pagina iniziale aprire regedit (l'editor del Registro di sistema).
Nell'editor del Registro di sistema espandere HKEY_LOCAL_MACHINE, espandere System, espandere CurrentControlSet, espandere Servicesed espandere IKEEXT.
Sotto IKEEXTfare clic con il pulsante destro del mouse su Parameters, scegliere Nuovoe quindi fare clic su Valore DWORD (32 bit).
Rinominare il valore appena aggiunto in ikeflags.
Fare doppio clic su ikeflags, impostare Tipo su Esadecimale, impostare il valore su 8000e quindi fare clic su OK.
Nota
È possibile usare il comando Windows PowerShell seguente con un account con privilegi elevati per aggiungere questa chiave del Registro di sistema:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000
Passaggio 6: Configurare le impostazioni della tabella dei criteri di risoluzione dei nomi per il server DirectAccess
In questa sezione vengono fornite le istruzioni per la modifica delle voci della tabella dei criteri di risoluzione dei nomi per gli indirizzi interni (ad esempio le voci con un suffisso contoso.local) per gli oggetti Criteri di gruppo del client DirectAccess e quindi impostare l'indirizzo dell'interfaccia IPHTTPS.
Per configurare le voci della tabella dei criteri di risoluzione dei nomi
Nella pagina iniziale aprire Gestione Criteri di gruppo.
Nella console Gestione Criteri di gruppo fare clic sulla foresta e sul dominio predefiniti, fare clic con il pulsante destro del mouse su Impostazioni client DirectAccesse quindi scegliere Modifica.
Fare clic su Configurazioni computer, su Criteri, su Impostazioni di Windowse quindi su Criteri risoluzione nomi. Scegliere la voce con lo spazio dei nomi identico al suffisso DNS in uso e quindi fare clic su Modifica regola.
Fare clic sulla scheda Impostazioni DNS per DirectAccess , quindi fare clic su Abilita le impostazioni DNS per DirectAccess in questa regola. Aggiungere l'indirizzo IPv6 per l'interfaccia IP-HTTPS nell'elenco del server DNS.
Nota
Per ottenere l'indirizzo IPv6, è possibile usare il comando Windows PowerShell seguente:
(Get-NetIPInterface -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress
Passaggio 7: Configurare le regole del firewall TCP e UDP per gli oggetti Criteri di gruppo del server DirectAccess
In questa sezione vengono fornite le istruzioni dettagliate per configurare le regole del firewall TCP e UDP per gli oggetti Criteri di gruppo del server DirectAccess
Per configurare le regole del firewall
Nella pagina iniziale aprire Gestione Criteri di gruppo.
Nella console Gestione Criteri di gruppo fare clic sulla foresta e sul dominio predefiniti, fare clic con il pulsante destro del mouse su Impostazioni server DirectAccesse quindi scegliere Modifica.
Fare clic su Configurazioni computer, su Criteri, su Impostazioni di Windows, su Impostazioni di sicurezza, su Windows Firewall con sicurezza avanzata, su Windows Firewall con sicurezza avanzatanel livello successivo e quindi su Regole connessioni in entrata. Fare clic con il pulsante destro del mouse su DNS (Domain Name Server) (TCP-In)e quindi scegliere Proprietà.
Fare clic sulla scheda Ambito e quindi aggiungere l'indirizzo IPv6 dell'interfaccia IP-HTTPS all'elenco Indirizzo IP locale .
Ripetere la stessa procedura per DNS (Domain Name Server) (UDP-In).
Passaggio 8: Modificare la configurazione DNS64 per l'ascolto dell'interfaccia IP-HTTPS
È necessario modificare la configurazione DNS64 per l'ascolto dell'interfaccia IP-HTTPS mediante il comando di Windows PowerShell seguente:
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface
Passaggio 9: Riservare le porte per il servizio WinNat
Usare il comando Windows PowerShell seguente per riservare le porte per il servizio WinNat. Sostituire "192.168.1.100" con l'indirizzo IPv4 effettivo del server Windows Server Essentials.
Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")
Importante
Per evitare conflitti di porte con le applicazioni, assicurarsi che l'intervallo di porte riservato per il servizio WinNat non includa la porta 6602.
Passaggio 10: Riavviare il servizio WinNat
Riavviare il servizio Driver NAT Windows (WinNat) eseguendo il comando Windows PowerShell seguente.
Restart-Service winnat
Appendice: Installare DirectAccess tramite Windows PowerShell
In questa sezione viene descritto come installare e configurare DirectAccess tramite Windows PowerShell.
Preparazione
Prima di iniziare a configurare il server per DirectAccess, è necessario:
Seguire la procedura descritta nel passaggio 3: Preparare un certificato e un record DNS per il server dei percorsi di rete per registrare un certificato denominato DirectAccess-NLS.contoso.com (dove contoso.com viene sostituito dal nome di dominio interno effettivo) e per aggiungere un record DNS per il server dei percorsi di rete (NLS).
Aggiungere un gruppo di sicurezza denominato DirectAccessClients in Active Directory, e quindi aggiungere i computer client per i quali si desidera abilitare la funzionalità DirectAccess. Per altre informazioni, vedere Passaggio 4: Creare un gruppo di sicurezza per i computer client DirectAccess.
Comandi
Importante
In Windows Server Essentials non è necessario rimuovere l'oggetto Criteri di gruppo con prefisso IPv6 non necessario. Eliminare la sezione di codice con l'etichetta seguente: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.
# Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }
# Server may need to restart if you installed RemoteAccess role in the above step
# Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "www.contoso.com"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name
# Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)
# Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}
# Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000
# Install DirectAccess.
Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface $Adapter -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force
#Restart Remote Access Management service
Restart-Service RaMgmtSvc
# [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO
gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate
# Enable client computers running Windows 7 to use DirectAccess
$allcertsinroot = dir cert:\LocalMachine\root
$rootcert = $allcertsinroot | Where-Object{$_.Subject -like "*-CAA*"}
Set-DAServer -IPSecRootCertificate $rootcert[0]
Set -DAClient -OnlyRemoteComputers Disabled -Downlevel Enabled
#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup
Remove-DAClient -SecurityGroupNameList "Domain Computers"
# Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration
# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP
# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface
# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E /Y
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /Y
# Reserve ports for the WinNat service
Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")
# Restart the WinNat service
Restart-Service winnat