Delen via

Stap 1 De DirectAccess-infrastructuur configureren

In dit onderwerp wordt beschreven hoe u de infrastructuur configureert die is vereist voor het inschakelen van DirectAccess in een bestaande VPN-implementatie. Voordat u begint met de implementatiestappen, moet u ervoor zorgen dat u de planningsstappen hebt voltooid die worden beschreven in stap 1: DirectAccess-infrastructuur plannen.

Opdracht Beschrijving
Servernetwerkinstellingen configureren Configureer de servernetwerkinstellingen op de RAS-server.
Routering configureren in het bedrijfsnetwerk Configureer routering in het bedrijfsnetwerk om ervoor te zorgen dat verkeer op de juiste wijze wordt gerouteerd.
Firewalls configureren Configureer indien nodig extra firewalls.
CAs en certificaten configureren De wizard DirectAccess inschakelen configureert een ingebouwde Kerberos-proxy die wordt geverifieerd met behulp van gebruikersnamen en wachtwoorden. Het configureert ook een IP-HTTPS-certificaat op de RAS-server.
De DNS-server configureren CONFIGUREER DNS-instellingen voor de RAS-server.
Active Directory configureren Voeg clientcomputers toe aan het Active Directory-domein.
GPO's configureren Configureer GPO's voor de implementatie, indien nodig.
Beveiliginggroepen configureren Configureer beveiligingsgroepen die DirectAccess-clientcomputers bevatten en eventuele andere beveiligingsgroepen die vereist zijn in de implementatie.
De netwerklocatieserver configureren De wizard DirectAccess inschakelen configureert de netwerklocatieserver op de DirectAccess-server.

Servernetwerkinstellingen configureren

De volgende netwerkinterface-instellingen zijn vereist voor één serverimplementatie in een omgeving met IPv4 en IPv6. Alle IP-adressen worden geconfigureerd met behulp van Adapterinstellingen wijzigen in het Windows-netwerk- en deelcentrum.

  • Edge-topologie

    • Eén openbaar statisch IPv4- of IPv6-adres op internet.

    • Eén intern statisch IPv4- of IPv6-adres.

  • Achter NAT-apparaat (twee netwerkadapters)

    • Eén intern netwerkgericht statisch IPv4- of IPv6-adres.

  • Achter NAT-apparaat (één netwerkadapter)

    • Eén statisch IPv4- of IPv6-adres.

Opmerking

In het geval dat de RAS-server twee netwerkadapters heeft (één geclassificeerd in het domeinprofiel en de andere in een openbaar/privéprofiel), maar één NIC-topologie wordt gebruikt, is de aanbeveling als volgt:

  1. Zorg ervoor dat de 2e NIC ook is geclassificeerd in het domeinprofiel - Aanbevolen.

  2. Als de 2e NIC om welke reden dan ook niet kan worden geconfigureerd voor het domeinprofiel, moet het DirectAccess IPsec-beleid handmatig worden ingesteld op alle profielen met behulp van de volgende Windows PowerShell-opdrachten:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
Save-NetGPO -GPOSession $gposession

Routering configureren in het bedrijfsnetwerk

Configureer routering in het bedrijfsnetwerk als volgt:

  • Wanneer systeemeigen IPv6 wordt geïmplementeerd in de organisatie, voegt u een route toe zodat de routers op het interne netwerk IPv6-verkeer terugsturen via de RAS-server.

  • Configureer organisatie-IPv4- en IPv6-routes handmatig op de RAS-servers. Voeg een gepubliceerde route toe zodat al het verkeer met een organisatie (/48) IPv6-voorvoegsel wordt doorgestuurd naar het interne netwerk. Daarnaast voegt u voor IPv4-verkeer expliciete routes toe, zodat IPv4-verkeer wordt doorgestuurd naar het interne netwerk.

Firewalls configureren

Wanneer u extra firewalls in uw implementatie gebruikt, past u de volgende internetgerichte firewall-uitzonderingen toe voor RAS-verkeer wanneer de RAS-server zich op het IPv4-internet bevindt:

  • 6to4-verkeer-IP Protocol 41 inkomend en uitgaand.

  • IP-HTTPS-Transmission Control Protocol (TCP) bestemmingpoort 443, en TCP-bronpoort 443 uitgaand. Wanneer de RAS-server één netwerkadapter heeft en de netwerklocatieserver zich op de RAS-server bevindt, is tcp-poort 62000 ook vereist.

Wanneer u extra firewalls gebruikt, past u de volgende internetgerichte firewall-uitzonderingen toe voor RAS-verkeer wanneer de RAS-server zich op het IPv6-internet bevindt:

  • IP Protocol 50

  • UDP-doelpoort 500 inkomend en UDP-bronpoort 500 uitgaand.

Wanneer u extra firewalls gebruikt, past u de volgende uitzonderingen voor de firewall van het interne netwerk toe voor RAS-verkeer:

  • ISATAP-Protocol 41 inkomend en uitgaand

  • TCP/UDP voor al het IPv4-/IPv6-verkeer

CA's en certificaten configureren

De wizard DirectAccess inschakelen configureert een ingebouwde Kerberos-proxy die wordt geverifieerd met behulp van gebruikersnamen en wachtwoorden. Het configureert ook een IP-HTTPS-certificaat op de RAS-server.

Certificaatsjablonen configureren

Wanneer u een interne CA gebruikt om certificaten uit te geven, moet u een certificaatsjabloon configureren voor het IP-HTTPS-certificaat en het websitecertificaat van de netwerklocatieserver.

Een certificaatsjabloon configureren

  1. Maak op de interne CA een certificaatsjabloon zoals beschreven in Certificaatsjablonen maken.

  2. Implementeer de certificaatsjabloon zoals beschreven in Certificaatsjablonen implementeren.

Het IP-HTTPS-certificaat configureren

Externe toegang vereist een IP-HTTPS-certificaat om IP-HTTPS verbindingen met de RAS-server te verifiëren. Er zijn drie certificaatopties voor het IP-HTTPS-certificaat:

  • Openbaar verstrekt door een derde partij.

    Een certificaat dat wordt gebruikt voor IP-HTTPS verificatie. In het geval dat de onderwerpnaam van het certificaat geen jokerkaart is, moet dit de extern om te lossen FQDN-URL zijn die alleen wordt gebruikt voor de RAS-server IP-HTTPS verbindingen.

  • Privé: het volgende is vereist als deze nog niet bestaan:

    • Een websitecertificaat dat wordt gebruikt voor IP-HTTPS verificatie. Het certificaatonderwerp moet een extern omzetbare FQDN (Fully Qualified Domain Name) zijn die bereikbaar is vanaf internet.

    • Een certificaatintrekkingslijst (CRL) distributiepunt dat bereikbaar is vanaf een openbaar oplosbare volledig gekwalificeerde domeinnaam (FQDN).

  • Zelfondertekend - De volgende zijn vereist, als ze nog niet bestaan:

    Opmerking

    Zelfondertekende certificaten kunnen niet worden gebruikt in implementaties met meerdere locaties.

    • Een websitecertificaat dat wordt gebruikt voor IP-HTTPS verificatie. Het certificaatonderwerp moet een extern omzetbare FQDN zijn die bereikbaar is vanaf internet.

    • Een CRL-distributiepunt dat bereikbaar is via een openbaar oplosbare FQDN (Fully Qualified Domain Name).

Zorg ervoor dat het websitecertificaat dat wordt gebruikt voor IP-HTTPS verificatie voldoet aan de volgende vereisten:

  • De algemene naam van het certificaat moet overeenkomen met de naam van de IP-HTTPS-site.

  • Geef in het onderwerpveld het IPv4-adres op van de externe adapter van de RAS-server of de FQDN van de IP-HTTPS URL.

  • Gebruik voor het veld Uitgebreid sleutelgebruik de OID (Server Authentication Object Identifier).

  • Geef voor het veld CRL-distributiepunten een CRL-distributiepunt op dat toegankelijk is voor DirectAccess-clients die zijn verbonden met internet.

  • Het IP-HTTPS-certificaat moet een persoonlijke sleutel hebben.

  • Het IP-HTTPS-certificaat moet rechtstreeks in de persoonlijke store worden geïmporteerd.

  • IP-HTTPS certificaten kunnen jokertekens in de naam hebben.

Het IP-HTTPS-certificaat van een interne CA installeren

  1. Typ op de RAS-server op het startschermmmc.exeen druk op Enter.

  2. Klik in de MMC-console in het menu Bestand op Module toevoegen/verwijderen.

  3. Klik in het dialoogvenster Modules toevoegen of verwijderen op Certificaten, klik op Toevoegen, op Computeraccount, klik op Volgende, klik op Lokale computer, klik op Voltooien en klik vervolgens op OK.

  4. Open in de consoleboom van de module Certificaten Certificaten (Lokale computer)\Persoonlijk\Certificaten.

  5. Klik met de rechtermuisknop op Certificaten, wijs Alle takenaan en klik vervolgens op Nieuw certificaat aanvragen.

  6. Klik tweemaal op Volgende.

  7. Schakel op de pagina Certificaten aanvragen het selectievakje voor de certificaatsjabloon in en klik indien nodig op Meer informatie om u voor dit certificaat in te schrijven.

  8. Selecteer in het dialoogvenster Certificaateigenschappen op het tabblad Onderwerp, in het veld Onderwerpnaam, bij Type de optie Algemene naam.

  9. Geef in waarde het IPv4-adres op van de externe adapter van de RAS-server of de FQDN van de IP-HTTPS-URL en klik vervolgens op Toevoegen.

  10. In het gebied Alternatieve naam, binnen Type, selecteer DNS.

  11. Geef in waarde het IPv4-adres op van de externe adapter van de RAS-server of de FQDN van de IP-HTTPS-URL en klik vervolgens op Toevoegen.

  12. Op het tabblad Algemeen kunt u in Vriendelijke naameen naam invoeren waarmee u het certificaat kunt identificeren.

  13. Klik op het tabblad Extensies naast Uitgebreid sleutelgebruik op de pijl en controleer of Serververificatie in de lijst met geselecteerde opties staat.

  14. Klik op OK-, klik op inschrijven en klik vervolgens op voltooien.

  15. Controleer in het detailvenster van de module Certificaten of het nieuwe certificaat is aangemeld met de bedoelde doeleinden van serverauthenticatie.

De DNS-server configureren

U moet handmatig een DNS-invoer configureren voor de website van de netwerklocatieserver voor het interne netwerk binnen uw implementatie.

De netwerklocatieserver en DNS-records voor webverkenning maken

  1. Op de DNS-server van het interne netwerk: typ op het startscherm ** dnsmgmt.msc** en druk vervolgens op Enter.

  2. Vouw in het linkerdeelvenster van de DNS Manager--console de zone voor forward lookup voor uw domein uit. Klik met de rechtermuisknop op het domein en klik op Nieuwe host (A of AAAA).>

  3. Voer in het dialoogvenster Nieuwe host in het vak Naam (maakt gebruik van bovenliggende domeinnaam indien leeg) de DNS-naam in voor de website van de netwerklocatieserver (dit is de naam die de DirectAccess-clients gebruiken om verbinding te maken met de netwerklocatieserver). Voer in het IP-adresvak het IPv4-adres van de netwerklocatieserver in en klik vervolgens op Host toevoegen. Klik in het dialoogvenster DNS op OK.

  4. Voer in het dialoogvenster Nieuwe host in het vak Naam (gebruikt bovenliggende domeinnaam indien leeg) de DNS-naam voor de webtest in (de naam voor de standaardwebtest is directaccess-webprobehost). Voer in het IP-adresvak het IPv4-adres van de webtest in en klik vervolgens op Host toevoegen. Herhaal dit proces voor directaccess-corpconnectivityhost en eventuele handmatig gemaakte connectiviteitsverificatoren. Klik in het dialoogvenster DNS op OK.

  5. Klik op Gereed.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

U moet ook DNS-vermeldingen configureren voor het volgende:

  • De IP-HTTPS-server-DirectAccess-clients moeten de DNS-naam van de toegangsserver op afstand van internet kunnen vertalen.

  • CRL-intrekkingscontrole DirectAccess maakt gebruik van certificaatintrekkingscontrole voor de IP-HTTPS verbinding tussen DirectAccess-clients en de RAS-server, en voor de HTTPS-gebaseerde verbinding tussen de DirectAccess-client en de netwerklocatieserver. In beide gevallen moeten DirectAccess-clients de locatie van het CRL-distributiepunt kunnen adresseren en benaderen.

Active Directory configureren

De RAS-server en alle DirectAccess-clientcomputers moeten lid zijn van een Active Directory-domein. DirectAccess-clientcomputers moeten lid zijn van een van de volgende domeintypen:

  • Domeinen die deel uitmaken van hetzelfde forest als de RAS-server.

  • Domeinen die deel uitmaken van forests met een tweerichtingsvertrouwensrelatie met het RAS-serverforest.

  • Domeinen met een tweerichtingsdomeinvertrouwensrelatie met het RAS-serverdomein.

Clientcomputers toevoegen aan het domein

  1. Typ explorer.exein het startscherm en druk op Enter.

  2. Klik met de rechtermuisknop op het computerpictogram en klik vervolgens op Eigenschappen.

  3. Klik op de pagina System op Geavanceerde systeeminstellingen.

  4. Klik in het dialoogvenster Systeemeigenschappen op het tabblad Computernaam op Wijzigen.

  5. Typ in Computernaamde naam van de computer als u ook de computernaam wijzigt bij het toevoegen van de server aan het domein. Klik onder Lid van op Domein en typ vervolgens de naam van het domein waaraan u de server wilt toevoegen; Klik bijvoorbeeld corp.contoso.com en klik vervolgens op OK.

  6. Wanneer u wordt gevraagd om een gebruikersnaam en wachtwoord, voert u de gebruikersnaam en het wachtwoord van een gebruiker in met rechten om computers aan het domein toe te voegen en klikt u vervolgens op OK.

  7. Wanneer u een dialoogvenster ziet waarin u wordt verwelkomd bij het domein, klikt u op OK.

  8. Wanneer u wordt gevraagd of u de computer opnieuw moet opstarten, klikt u op OK.

  9. Klik in het dialoogvenster Systeemeigenschappen op Sluiten. Klik op Nu opnieuw opstarten wanneer u hierom wordt gevraagd.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

Houd er rekening mee dat u domeinreferenties moet opgeven nadat u de onderstaande Add-Computer opdracht hebt ingevoerd.

Add-Computer -DomainName <domain_name>
Restart-Computer

GPO's configureren

Als u Externe toegang wilt implementeren, hebt u minimaal twee groepsbeleidsobjecten nodig: één groepsbeleidsobject bevat instellingen voor de RAS-server en één bevat instellingen voor DirectAccess-clientcomputers. Wanneer u Externe toegang configureert, maakt de wizard automatisch de vereiste groepsbeleidsobjecten. Als uw organisatie echter een naamconventie afdwingt of als u niet over de vereiste machtigingen beschikt om groepsbeleidsobjecten te maken of bewerken, moeten ze worden gemaakt voordat u externe toegang configureert.

Zie Een groepsbeleidsobject maken en bewerkenals u groepsbeleidsobjecten wilt maken.

Belangrijk

De beheerder kan de DirectAccess-groepsbeleidsobjecten handmatig koppelen aan een organisatie-eenheid met behulp van deze stappen:

  1. Voordat u DirectAccess configureert, koppelt u de gemaakte GPO's aan de respectieve organisatie-eenheden.
  2. Configureer DirectAccess, waarbij u een beveiligingsgroep voor de clientcomputers opgeeft.
  3. De RAS-beheerder heeft mogelijk of geen machtigingen om de groepsbeleidsobjecten aan het domein te koppelen. In beide gevallen worden de groepsbeleidsobjecten automatisch geconfigureerd. Als de groepsbeleidsobjecten al zijn gekoppeld aan een organisatie-eenheid, worden de koppelingen niet verwijderd en worden de groepsbeleidsobjecten niet gekoppeld aan het domein. Voor een groepsbeleidsobject voor een server moet de organisatie-eenheid het servercomputerobject bevatten, anders wordt het groepsbeleidsobject gekoppeld aan de root van het domein.
  4. Als de koppeling naar de organisatie-eenheid nog niet is uitgevoerd voordat de DirectAccess-wizard wordt uitgevoerd, kan de domeinbeheerder, nadat de configuratie is voltooid, de DirectAccess-groepsbeleidsobjecten koppelen aan de vereiste organisatie-eenheden. De koppeling naar het domein kan worden verwijderd. De stappen voor het koppelen van een groepsbeleidsobject aan een organisatie-eenheid vindt u hier.

Opmerking

Als een groepsbeleidsobject handmatig is gemaakt, is het mogelijk tijdens de DirectAccess-configuratie dat het groepsbeleidsobject niet beschikbaar is. Het groepsbeleidsobject is mogelijk niet gerepliceerd naar de dichtstbijzijnde domeincontroller naar de beheercomputer. In dit geval kan de beheerder wachten tot de replicatie is voltooid of de replicatie afdwingen.

Beveiliginggroepen configureren

De DirectAccess-instellingen in het groepsbeleidsobject van de clientcomputer worden alleen toegepast op computers die lid zijn van de beveiligingsgroepen die u opgeeft bij het configureren van externe toegang. Als u bovendien beveiligingsgroepen gebruikt om uw toepassingsservers te beheren, maakt u een beveiligingsgroep voor deze servers.

Een beveiligingsgroep maken voor DirectAccess-clients

  1. Typ in het scherm Startdsa.mscen druk op Enter. Vouw in de Active Directory: gebruikers en computers-console in het linkerdeelvenster het domein uit dat de beveiligingsgroep bevat, klik met de rechtermuisknop op Gebruikers, wijs Nieuweaan en klik vervolgens op Groep.

  2. Voer in het dialoogvenster Nieuw object - Groep , onder Groepsnaam, de naam voor de beveiligingsgroep in.

  3. Klik onder Groepsbereik op Globaal, klik onder Groepstype op Beveiliging en klik vervolgens op OK.

  4. Dubbelklik op de beveiligingsgroep voor DirectAccess-clientcomputers en klik in het dialoogvenster Eigenschappen op het tabblad Leden .

  5. Klik op het tabblad Leden op Toevoegen.

  6. Selecteer in het dialoogvenster Gebruikers, Contactpersonen, Computers of Serviceaccounts de clientcomputers die u voor DirectAccess wilt inschakelen en klik op OK.

Windows PowerShell gelijkwaardige Windows PowerShell-opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

De netwerklocatieserver configureren

De netwerklocatieserver moet zich op een server bevinden met hoge beschikbaarheid en een geldig SSL-certificaat dat wordt vertrouwd door de DirectAccess-clients. Er zijn twee certificaatopties voor het netwerklocatieservercertificaat:

  • Privé: het volgende is vereist als deze nog niet bestaan:

    • Een websitecertificaat dat wordt gebruikt voor de netwerklocatieserver. Het certificaatonderwerp moet de URL van de netwerklocatieserver zijn.

    • Een CRL-distributiepunt dat maximaal beschikbaar is vanuit het interne netwerk.

  • Zelf-ondertekend-Het volgende is vereist, als deze nog niet bestaan:

    Opmerking

    Zelfondertekende certificaten kunnen niet worden gebruikt in implementaties met meerdere locaties.

    • Een websitecertificaat dat wordt gebruikt voor de netwerklocatieserver. Het certificaatonderwerp moet de URL van de netwerklocatieserver zijn.

Opmerking

Als de website van de netwerklocatieserver zich op de RAS-server bevindt, wordt er automatisch een website gemaakt wanneer externe toegang wordt geconfigureerd die is gekoppeld aan het servercertificaat dat u opgeeft.

Het netwerklocatieservercertificaat installeren door een interne CA

  1. Typ op de server waarop de website van de netwerklocatieserver wordt gehost: mmc.exe op het Startscherm en druk op Enter.

  2. Klik in de MMC-console in het menu Bestand op Module toevoegen/verwijderen.

  3. Klik in het dialoogvenster Modules toevoegen of verwijderen op Certificaten, klik op Toevoegen, op Computeraccount, klik op Volgende, klik op Lokale computer, klik op Voltooien en klik vervolgens op OK.

  4. Open in de consoleboom van de module Certificaten Certificaten (Lokale computer)\Persoonlijk\Certificaten.

  5. Klik met de rechtermuisknop op Certificaten, wijs Alle takenaan en klik vervolgens op Nieuw certificaat aanvragen.

  6. Klik tweemaal op Volgende.

  7. Schakel op de pagina Certificaten aanvragen het selectievakje voor de certificaatsjabloon in en klik indien nodig op Meer informatie om u voor dit certificaat in te schrijven.

  8. In het dialoogvenster Certificaateigenschappen, op het tabblad Onderwerp, in het gebied Onderwerpnaam, in Type, selecteer Algemene naam.

  9. Voer in waardede FQDN van de website van de netwerklocatieserver in en klik vervolgens op Toevoegen.

  10. In het gebied Alternatieve naam, binnen Type, selecteer DNS.

  11. Voer in waardede FQDN van de website van de netwerklocatieserver in en klik vervolgens op Toevoegen.

  12. Op het tabblad Algemeen kunt u in Vriendelijke naameen naam invoeren waarmee u het certificaat kunt identificeren.

  13. Klik op OK-, klik op inschrijven en klik vervolgens op voltooien.

  14. Controleer in het detailvenster van de module Certificaten of het nieuwe certificaat is aangemeld met de bedoelde doeleinden van serverauthenticatie.