Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp wordt beschreven hoe u de client- en serverinstellingen configureert die vereist zijn voor een eenvoudige RAS-implementatie met behulp van de wizard DirectAccess inschakelen.
De volgende tabel bevat een overzicht van de stappen die u kunt uitvoeren met behulp van dit onderwerp.
| Opdracht | Beschrijving |
|---|---|
| DirectAccess-clients configureren | Configureer de RAS-server met de beveiligingsgroepen die DirectAccess-clients bevatten. |
| De netwerktopologie configureren | Configureer de externe toegang-serverinstellingen. |
| De zoeklijst voor DNS-achtervoegsels configureren | Wijzig desgewenst de zoeklijst met achtervoegsels. |
| GPO-configuratie | Wijzig de groepsbeleidsobjecten indien gewenst. |
De wizard DirectAcces inschakelen starten
Klik in Serverbeheer op Extra en klik vervolgens op Externe toegang. De Wizard voor het inschakelen van DirectAccess wordt automatisch gestart, tenzij u de optie Dit scherm niet meer weergeven hebt geselecteerd.
Als de wizard niet automatisch wordt gestart, klikt u met de rechtermuisknop op het serverknooppunt in de structuur Routering en Externe toegang en klikt u vervolgens op DirectAccess inschakelen.
Klik op Volgende.
DirectAccess-clients configureren
Een clientcomputer die moet worden ingericht voor het gebruik van DirectAccess, moet behoren tot de geselecteerde beveiligingsgroep. Nadat DirectAccess is geconfigureerd, worden clientcomputers in de beveiligingsgroep ingericht om het DirectAccess-groepsbeleid te ontvangen.
Klik op de pagina Groepen selecteren op toevoegen.
Selecteer in het dialoogvenster Groepen selecteren de beveiligingsgroepen met computers van DirectAccess-clients.
Schakel het selectievakje DirectAccess inschakelen voor mobiele computers in om alleen mobiele computers toegang te geven tot het interne netwerk.
Schakel het selectievakje Geforceerde tunneling gebruiken in om alle clientverkeer (naar het interne netwerk en internet) via de RAS-server te routeren.
Klik op Volgende.
De netwerktopologie configureren
Als u Externe Toegang wilt implementeren, moet u de Externe Toegang-server configureren met de juiste netwerkadapters, een openbare URL voor de Externe Toegang-server waarmee clientcomputers verbinding kunnen maken (het verbindingsadres) en een IP-HTTPS-certificaat waarvan het onderwerp overeenkomt met het verbindingsadres.
- Klik op de pagina Netwerktopologie op de implementatietopologie die in uw organisatie wordt gebruikt. Typ in Typ de openbare naam of het IPv4-adres dat door clients wordt gebruikt om verbinding te maken met de RAS-server, voer de openbare naam voor de implementatie in (deze naam komt overeen met de onderwerpnaam van het IP-HTTPS-certificaat, bijvoorbeeld edge1.contoso.com), en klik vervolgens op Volgende.
De zoeklijst voor DNS-achtervoegsels configureren
Voor DNS-clients kunt u een zoeklijst voor DNS-domeinachtervoegsels configureren waarmee de DNS-zoekmogelijkheden worden uitgebreid of aangepast. Door extra achtervoegsels toe te voegen aan de lijst, kunt u zoeken naar korte, niet-gekwalificeerde computernamen in meer dan één opgegeven DNS-domein. Als een DNS-query mislukt, kan de DNS-clientservice deze lijst gebruiken om andere naamachtervoegsels toe te voegen aan uw oorspronkelijke naam en DNS-query's te herhalen op de DNS-server voor deze alternatieve FQDN's.
Selecteer DirectAccess-clients configureren met de zoeklijst voor DNS-clientachtervoegsels om extra achtervoegsels op te geven voor zoekopdrachten naar clientnamen.
Typ een nieuwe achtervoegselnaam in nieuw achtervoegsel en klik vervolgens op Toevoegen. Daarnaast kunt u de zoekvolgorde wijzigen en achtervoegsels verwijderen uit domeinachtervoegsels die u wilt gebruiken.
[OPMERKING] In een scenario met niet-aaneengesloten naamruimte (waarbij een of meer domeincomputers een DNS-achtervoegsel hebben dat niet overeenkomt met het Active Directory-domein waartoe de computers behoren), moet u ervoor zorgen dat de zoeklijst is aangepast om alle vereiste achtervoegsels op te nemen. De wizard Externe toegang configureert standaard de DNS-naam van Active Directory als het primaire DNS-achtervoegsel op de client. De beheerder moet ervoor zorgen dat hij het DNS-achtervoegsel toevoegt dat door clients voor naamomzetting wordt gebruikt.
Voor computers en servers wordt het volgende standaard-DNS-zoekgedrag vooraf bepaald en gebruikt bij het voltooien en omzetten van korte, niet-gekwalificeerde namen. Wanneer de zoeklijst met achtervoegsels leeg of niet is opgegeven, wordt het primaire DNS-achtervoegsel van de computer toegevoegd aan korte niet-gekwalificeerde namen en wordt een DNS-query gebruikt om de resulterende FQDN op te lossen.
Als deze query mislukt, kan de computer extra query's proberen voor alternatieve FQDN's door een verbindingsspecifiek DNS-achtervoegsel toe te voegen dat is geconfigureerd voor netwerkverbindingen. Als er geen verbindingsspecifieke achtervoegsels zijn geconfigureerd of query's voor deze resulterende verbindingsspecifieke FQDN's mislukken, kan de client query's opnieuw proberen op basis van systematische vermindering van het primaire achtervoegsel (ook wel devolution genoemd).
Als het primaire achtervoegsel bijvoorbeeld 'example.microsoft.com' is, kan het devolution-proces query's voor de korte naam opnieuw proberen door ernaar te zoeken in de domeinen 'microsoft.com' en 'com'.
Wanneer de zoeklijst voor achtervoegsels niet leeg is en ten minste één DNS-achtervoegsel heeft opgegeven, worden pogingen om korte DNS-namen te kwalificeren en om te lossen beperkt tot het doorzoeken van alleen de FQDN's die mogelijk zijn gemaakt door de opgegeven achtervoegsellijst.
Als query's voor alle FQDN's die zijn gevormd als gevolg van het toevoegen en proberen van elk achtervoegsel in de lijst niet worden opgelost, mislukt het queryproces, waardoor het resultaat 'naam niet gevonden' wordt weergegeven.
Waarschuwing
Als de lijst met domeinachtervoegsels wordt gebruikt, blijven clients aanvullende alternatieve query's verzenden op basis van verschillende DNS-domeinnamen wanneer een query niet wordt beantwoord of omgezet. Zodra een naam is omgezet met behulp van een vermelding in de lijst met achtervoegsels, worden ongebruikte lijstitems niet geprobeerd. Daarom is het het meest efficiënt om de lijst eerst te ordenen met de meest gebruikte domeinachtervoegsels.
Zoekopdrachten voor domeinnaamachtervoegsels worden alleen gebruikt wanneer een DNS-naamvermelding niet volledig is gekwalificeerd. Als u een DNS-naam volledig wilt kwalificeren, wordt aan het einde van de naam een afsluitende periode (.) ingevoerd.
GPO-configuratie
Wanneer u Externe toegang configureert, worden DirectAccess-instellingen verzameld in groepsbeleidsobjecten (GPO).
In groepsbeleidsobjectinstellingen worden de naam van het groepsbeleidsobject van de DirectAccess-server en de naam van het client-groepsbeleidsobject weergegeven. Daarnaast kunt u de instellingen voor Group Policy Object (GPO)-selectie wijzigen.
Twee GPO's worden automatisch gevuld met DirectAccess-instellingen en worden op deze manier gedistribueerd:
Groepsbeleidsobject voor DirectAccess-client. Dit Groepsbeleidsobject bevat clientinstellingen, waaronder IPv6-overgangstechnologie-instellingen, NRPT-vermeldingen en Windows Firewall met geavanceerde beveiligingsregels. Het groepsbeleidsobject wordt toegepast op de opgegeven beveiligingsgroepen voor de clientcomputers.
Groepsbeleidsobject voor DirectAccess-server. Dit groepsbeleidsobject bevat de DirectAccess-configuratie-instellingen die worden toegepast op elke server die is geconfigureerd als een RAS-server in uw implementatie. Het bevat ook Windows Firewall met geavanceerde beveiligingsregels voor verbindingen.
Samenvatting
Zodra de configuratie voor Toegang op Afstand is voltooid, wordt de samenvatting weergegeven. U kunt de geconfigureerde instellingen wijzigen of op Voltooien klikken om de configuratie toe te passen.