Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Na het plannen van de DirectAccess-infrastructuur is de volgende stap bij het implementeren van DirectAccess op één server met basisinstellingen het plannen van de instellingen voor de wizard Aan de slag.
| Task | Description |
|---|---|
| De uitrol voor klanten plannen | Bij standaardinstelling implementeert de wizard Aan de slag DirectAccess op alle laptops en notebookcomputers in het domein door een WMI-filter toe te passen op het groepsbeleidsobject voor clientinstellingen. |
| Implementatie van DirectAccess-server plannen | Plan hoe u de DirectAccess-server implementeert. |
De uitrol voor klanten plannen
Er zijn twee beslissingen die u moet nemen bij het plannen van uw clientimplementatie:
Is DirectAccess alleen beschikbaar voor mobiele computers of op een computer?
Wanneer u DirectAccess-clients configureert in de wizard Aan de slag, kunt u ervoor kiezen alleen mobiele computers in de opgegeven beveiligingsgroepen verbinding te laten maken via DirectAccess. Als u de toegang tot mobiele computers beperkt, configureert DirectAccess automatisch een WMI-filter om ervoor te zorgen dat het GPO van de DirectAccess-client alleen wordt toegepast op mobiele computers in de opgegeven beveiligingsgroepen. De DirectAccess-beheerder vereist machtigingen voor het maken of wijzigen van WMI-filters voor groepsbeleid om deze instelling in te schakelen.
Welke beveiligingsgroepen bevatten de DirectAccess-clientcomputers?
DirectAccess-instellingen bevinden zich in het groepsbeleidsobject van de DirectAccess-client. Het groepsbeleidsobject wordt toegepast op computers die deel uitmaken van de beveiligingsgroepen die u opgeeft in de wizard 'Getting Started'. U kunt beveiligingsgroepen opgeven die zijn opgenomen in elk ondersteund domein. Voordat u DirectAccess configureert, moeten de beveiligingsgroepen worden gemaakt. U kunt computers toevoegen aan de beveiligingsgroep nadat u de DirectAccess-implementatie hebt voltooid, maar houd er rekening mee dat als u clientcomputers toevoegt die zich in een ander domein bevinden aan de beveiligingsgroep, het groepsbeleidsobject van de client niet op deze clients wordt toegepast. Als u bijvoorbeeld SG1 hebt gemaakt in domein A voor DirectAccess-clients en later clients van domein B aan deze groep toevoegt, wordt het groepsbeleidsobject van de client niet toegepast op clients in domein B. U kunt dit probleem voorkomen door een nieuwe clientbeveiligingsgroep te maken voor elk domein dat clientcomputers bevat. Als u geen nieuwe beveiligingsgroep wilt maken, voert u de Add-DAClient cmdlet uit met de naam van het nieuwe groepsbeleidsobject voor het nieuwe domein.
Implementatie van DirectAccess-server plannen
Er zijn een aantal beslissingen die u moet nemen bij het implementeren van uw DirectAccess-server:
Netwerktopologie -There zijn twee topologieën beschikbaar bij het implementeren van een DirectAccess-server:
Twee adapters -With twee netwerkadapters, DirectAccess kan worden geconfigureerd met één netwerkadapter die rechtstreeks is verbonden met internet en de andere is verbonden met het interne netwerk. Of de server wordt geïnstalleerd achter een edge-apparaat, zoals een firewall of een router. In deze configuratie is één netwerkadapter verbonden met het perimeternetwerk, de andere is verbonden met het interne netwerk.
Eén netwerkadapter -In deze configuratie wordt de DirectAccess-server geïnstalleerd achter een edge-apparaat, zoals een firewall of router. De netwerkadapter is verbonden met het interne netwerk.
Netwerkadapters -The wizard DirectAccess detecteert automatisch de netwerkadapters die zijn geconfigureerd op de DirectAccess-server. U kunt ervoor zorgen dat de juiste adapters zijn geselecteerd op de pagina Controleren .
IP-HTTPS certificaat -Since er geen PKI is vereist voor deze implementatie, richt de wizard automatisch zelfondertekende certificaten in voor IP-HTTPS en de netwerklocatieserver (als er geen certificaten aanwezig zijn) en schakelt automatisch Kerberos-proxy in. De wizard schakelt ook NAT64 en DNS64 in voor protocolomzetting in de IPv4-omgeving. Nadat de wizard de configuratie heeft toegepast, klikt u op Sluiten.
Windows 7-clients -You kan geen ondersteuning voor Windows 7-clients inschakelen via de wizard Aan de slag. Dit kan worden ingeschakeld via de wizard Geavanceerde installatie. Zie Een enkele DirectAccess-server implementeren met geavanceerde instellingen voor meer informatie.
VPN-configuratie -Before u DirectAccess configureert, moet u beslissen of u VPN-toegang wilt verlenen tot externe clients. U moet VPN-toegang opgeven als u clientcomputers in uw organisatie hebt die geen ondersteuning bieden voor DirectAccess-connectiviteit (omdat ze niet worden beheerd of een besturingssysteem uitvoeren waarvoor DirectAccess niet wordt ondersteund). Met de wizard Aan de slag configureert u de toewijzing van VPN-IP-adressen met DHCP en configureert u VPN-clients die moeten worden geverifieerd met Active Directory.
Geforceerde tunneling -If u van plan bent geforceerde tunneling te gebruiken of deze in de toekomst toe te voegen, moet u een enkele DirectAccess-server met geavanceerde instellingen gebruiken om een twee tunnelconfiguratie te implementeren. Vanwege beveiligingsoverwegingen wordt geforceerde tunneling in één tunnelconfiguratie niet ondersteund.