Delen via

Stap 1: Geavanceerde DirectAccess-infrastructuur configureren

In dit onderwerp wordt beschreven hoe u de infrastructuur configureert die vereist is voor een geavanceerde RAS-implementatie die gebruikmaakt van één DirectAccess-server in een gemengde IPv4- en IPv6-omgeving. Voordat u begint met de implementatiestappen, moet u ervoor zorgen dat u de planningsstappen hebt voltooid die worden beschreven in Een geavanceerde DirectAccess-implementatie plannen.

Opdracht Beschrijving
1.1 Servernetwerkinstellingen configureren Configureer de servernetwerkinstellingen op de DirectAccess-server.
1.2 Geforceerde tunneling configureren Geforceerde tunneling configureren.
1.3 Routering configureren in het bedrijfsnetwerk Configureer routering in het bedrijfsnetwerk.
1.4 Firewalls configureren Configureer indien nodig extra firewalls.
1.5 CA's en certificaten configureren Configureer indien nodig een certificeringsinstantie (CA) en eventuele andere certificaatsjablonen die vereist zijn in de implementatie.
1.6 De DNS-server configureren Configureer de DNS-instellingen (Domain Name System) voor de DirectAccess-server.
1.7 Active Directory configureren Voeg clientcomputers en de DirectAccess-server toe aan het Active Directory-domein.
1.8 Groepsbeleidsobjecten configureren Configureer GPO's voor de implementatie, indien nodig.
1.9 Beveiligingsgroepen configureren Configureer beveiligingsgroepen die DirectAccess-clientcomputers bevatten en eventuele andere beveiligingsgroepen die vereist zijn in de implementatie.
1.10 De netwerklocatieserver configureren Configureer de netwerklocatieserver, inclusief het installeren van het websitecertificaat van de netwerklocatieserver.

Notitie

Dit onderwerp bevat voorbeelden van Windows PowerShell-cmdlets die u kunt gebruiken om een aantal van de beschreven procedures te automatiseren. Voor meer informatie, zie Cmdlets gebruiken.

1.1 Servernetwerkinstellingen configureren

De volgende netwerkinterface-instellingen zijn vereist voor één serverimplementatie in een omgeving die IPv4 en IPv6 gebruikt. Alle IP-adressen worden geconfigureerd met behulp van Adapterinstellingen wijzigen in het Windows-netwerk- en deelcentrum.

Edge-topologie

  • Twee internetgerichte opeenvolgende openbare statische IPv4- of IPv6-adressen

    Notitie

    Er zijn twee openbare adressen vereist voor Teredo. Als u Teredo niet gebruikt, kunt u één openbaar statisch IPv4-adres configureren.

  • Eén intern statisch IPv4- of IPv6-adres

Achter NAT-apparaat (met twee netwerkadapters)

  • Eén statisch IPv4- of IPv6-adres dat aan het internet is blootgesteld

  • Eén intern netwerkgericht statisch IPv4- of IPv6-adres

Achter NAT-apparaat (met één netwerkadapter)

  • Eén statisch IPv4- of IPv6-adres gericht op het interne netwerk

Notitie

Als een DirectAccess-server met twee of meer netwerkadapters (een die is geclassificeerd in het domeinprofiel en de andere in een openbaar of privéprofiel) is geconfigureerd met één netwerkadaptertopologie, raden we het volgende aan:

  • Zorg ervoor dat de tweede netwerkadapter en eventuele extra netwerkadapters zijn geclassificeerd in het domeinprofiel.

  • Als de tweede netwerkadapter niet kan worden geconfigureerd voor het domeinprofiel, moet het Beleid voor DirectAccess IPsec handmatig worden ingesteld op alle profielen met behulp van de volgende Windows PowerShell-opdracht nadat DirectAccess is geconfigureerd:

    $gposession = Open-NetGPO "PolicyStore <Name of the server GPO>
Set-NetIPsecRule "DisplayName <Name of the IPsec policy> "GPOSession $gposession "Profile Any
Save-NetGPO "GPOSession $gposession

1.2 Geforceerde tunneling configureren

Geforceerde tunneling kan worden geconfigureerd via de wizard voor het instellen van externe toegang. Het wordt weergegeven als een selectievakje in de wizard Externe clients configureren. Deze instelling is alleen van invloed op DirectAccess-clients. Als VPN is ingeschakeld, gebruiken VPN-clients standaard geforceerde tunneling. Beheerders kunnen de instelling voor VPN-clients wijzigen vanuit het clientprofiel.

Als u het selectievakje voor geforceerde tunneling inschakelt, doet u het volgende:

  • Hiermee schakelt u geforceerde tunneling in op DirectAccess-clients

  • Voegt een Elke vermelding toe aan de NRPT (Name Resolution Policy Table) voor DirectAccess-clients, wat betekent dat al het DNS-verkeer naar de interne netwerk-DNS-servers gaat

  • Hiermee configureert u DirectAccess-clients om altijd de IP-HTTPS overgangstechnologie te gebruiken

Als u internetbronnen beschikbaar wilt maken voor DirectAccess-clients die gebruikmaken van geforceerde tunneling, kunt u een proxyserver gebruiken, die IPv6-aanvragen voor internetbronnen kan ontvangen en deze kan vertalen naar aanvragen voor internetbronnen op basis van IPv4. Als u een proxyserver voor internetbronnen wilt configureren, moet u de standaardvermelding in NRPT wijzigen om de proxyserver toe te voegen. U kunt dit doen met behulp van de PowerShell-cmdlets voor externe toegang of de DNS PowerShell-cmdlets. Gebruik bijvoorbeeld de PowerShell-cmdlet voor externe toegang als volgt:

Set-DAClientDNSConfiguration "DNSSuffix "." "ProxyServer <Name of the proxy server:port>

Notitie

Als DirectAccess en VPN zijn ingeschakeld op dezelfde server en VPN zich in de geforceerde tunnelmodus bevindt en de server wordt geïmplementeerd in een edge-topologie of een achter NAT-topologie (met twee netwerkadapters, één verbonden met het domein en één met een privénetwerk), kan VPN-internetverkeer niet worden doorgestuurd via de externe interface van de DirectAccess-server. Om dit scenario in te schakelen, moeten organisaties externe toegang implementeren op de server achter een firewall in één netwerkadaptertopologie. Organisaties kunnen ook een afzonderlijke proxyserver in het interne netwerk gebruiken om internetverkeer van VPN-clients door te sturen.

Notitie

Als een organisatie een webproxy gebruikt voor DirectAccess-clients voor toegang tot internetbronnen en de bedrijfsproxy geen interne netwerkbronnen kan verwerken, hebben DirectAccess-clients geen toegang tot interne resources als ze zich buiten het intranet bevinden. Als u in een dergelijk scenario DirectAccess-clients toegang wilt geven tot interne resources, maakt u handmatig NRPT-vermeldingen voor de interne netwerkachtervoegsels met behulp van de DNS-pagina van de wizard Infrastructuur. Pas geen proxy-instellingen toe op deze NRPT-achtervoegsels. De achtervoegsels moeten worden gevuld met standaard-DNS-serververmeldingen.

1.3 Routering configureren in het bedrijfsnetwerk

Configureer routering in het bedrijfsnetwerk als volgt:

  • Wanneer systeemeigen IPv6 in de organisatie wordt geïmplementeerd, voegt u een route toe zodat de routers op het interne netwerk IPv6-verkeer terugsturen via de DirectAccess-server.

  • Configureer de IPv4- en IPv6-routes van de organisatie handmatig op de DirectAccess-servers. Voeg een gepubliceerde route toe zodat al het verkeer met een organisatie (/48) IPv6-voorvoegsel wordt doorgestuurd naar het interne netwerk. Voeg voor IPv4-verkeer expliciete routes toe zodat IPv4-verkeer wordt doorgestuurd naar het interne netwerk.

1.4 Firewalls configureren

Wanneer u extra firewalls in uw implementatie gebruikt, past u de volgende internetgerichte firewall-uitzonderingen toe voor RAS-verkeer wanneer de DirectAccess-server zich op het IPv4-internet bevindt:

  • Teredo-verkeer" UDP-doelpoort (User Datagram Protocol) 3544 inkomend en UDP-bronpoort 3544 uitgaand.

  • 6to4-verkeer "IP Protocol 41 inkomend en uitgaand.

  • IP-HTTPS-doelpoort 443 (Transmission Control Protocol) en TCP-bronpoort 443 uitgaand. Wanneer de DirectAccess-server één netwerkadapter heeft en de netwerklocatieserver zich op de DirectAccess-server bevindt, is TCP-poort 62000 ook vereist.

    Notitie

    Deze uitzondering moet worden geconfigureerd op de DirectAccess-server, terwijl alle andere uitzonderingen moeten worden geconfigureerd op de randfirewall.

Notitie

Voor Teredo- en 6to4-verkeer moeten deze uitzonderingen worden toegepast op beide internetgerichte opeenvolgende openbare IPv4-adressen op de DirectAccess-server. Voor IP-HTTPS moeten de uitzonderingen alleen worden toegepast op het adres waar de openbare naam van de server wordt omgezet.

Wanneer u extra firewalls gebruikt, past u de volgende internetgerichte firewall-uitzonderingen toe voor RAS-verkeer wanneer de DirectAccess-server zich op het IPv6-internet bevindt:

  • IP Protocol 50

  • UDP-doelpoort 500 inkomend en UDP-bronpoort 500 uitgaand.

  • Internet Control Message Protocol voor IPv6 (ICMPv6) verkeer inkomend en uitgaand alleen voor Teredo-implementaties.

Wanneer u extra firewalls gebruikt, past u de volgende uitzonderingen voor de firewall van het interne netwerk toe voor RAS-verkeer:

  • ISATAP"Protocol 41 inkomend en uitgaand

  • TCP/UDP voor al het IPv4-/IPv6-verkeer

  • ICMP voor al het IPv4-/IPv6-verkeer

1.5 CAs en certificaten configureren

Met externe toegang in Windows Server 2012 kunt u kiezen tussen het gebruik van certificaten voor computerverificatie of het gebruik van een ingebouwde Kerberos-proxy die wordt geverifieerd met behulp van gebruikersnamen en wachtwoorden. U moet ook een IP-HTTPS-certificaat configureren op de DirectAccess-server.

Zie Active Directory Certificate Services voor meer informatie.

1.5.1 IPsec-verificatie configureren

Een computercertificaat is vereist op de DirectAccess-server en op alle DirectAccess-clients voor het gebruik van IPsec-verificatie. Het certificaat moet worden uitgegeven door een interne certificeringsinstantie (CA) en DirectAccess-servers en DirectAccess-clients moeten de CA-keten vertrouwen die basis- en tussencertificaten uitgeeft.

IPsec-verificatie configureren

  1. Bepaal in de interne CA of u de Computer-certificaatsjabloon gebruikt of als u een nieuw certificaatsjabloon maakt zoals beschreven in Certificaatsjablonen maken.

    Notitie

    Als u een nieuwe sjabloon maakt, moet deze worden geconfigureerd voor clientverificatie.

  2. Implementeer indien nodig de certificaatsjabloon. Zie Certificaatsjablonen implementerenvoor meer informatie.

  3. Configureer indien nodig de certificaatsjabloon voor automatisch inschrijven. Zie Automatische inschrijving van certificaten configurerenvoor meer informatie.

1.5.2 Certificaatsjablonen configureren

Wanneer u een interne CA gebruikt om certificaten uit te geven, moet u een certificaatsjabloon configureren voor het IP-HTTPS-certificaat en het websitecertificaat van de netwerklocatieserver.

Een certificaatsjabloon configureren

  1. Maak in de interne CA een certificaatsjabloon zoals beschreven in Certificaatsjablonen maken.

  2. Implementeer de certificaatsjabloon zoals beschreven in Certificaatsjablonen implementeren.

1.5.3 Het IP-HTTPS-certificaat configureren

Externe toegang vereist een IP-HTTPS-certificaat om IP-HTTPS verbindingen met de DirectAccess-server te verifiëren. Er zijn drie certificaatopties beschikbaar voor IP-HTTPS-verificatie:

openbaar certificaat

Een openbaar certificaat wordt geleverd door een derde partij. Als de onderwerpnaam van het certificaat geen jokertekens bevat, moet dit de extern om te lossen FQDN-URL (Fully Qualified Domain Name) zijn die alleen wordt gebruikt voor de DirectAccess-server IP-HTTPS verbindingen.

privécertificaat

Als u een privécertificaat gebruikt, zijn de volgende vereisten vereist als deze nog niet bestaan:

  • Een websitecertificaat dat wordt gebruikt voor IP-HTTPS verificatie. Het certificaatonderwerp moet een extern omzetbare FQDN zijn die bereikbaar is vanaf internet. Het certificaat is gebaseerd op de certificaatsjabloon die u hebt gemaakt door de instructies te volgen in 1.5.2 Certificaatsjablonen configureren.

  • Een certificaatintrekkingslijst (CRL) distributiepunt dat bereikbaar is vanaf een openbaar oplosbare volledig gekwalificeerde domeinnaam (FQDN).

zelfondertekend certificaat

Als u een zelfondertekend certificaat gebruikt, zijn de volgende vereisten vereist als deze nog niet bestaan:

  • Een websitecertificaat dat wordt gebruikt voor IP-HTTPS verificatie. Het certificaatonderwerp moet een extern omzetbare FQDN zijn die bereikbaar is vanaf internet.

  • Een CRL-distributiepunt dat bereikbaar is vanaf een openbaar resolvabele FQDN.

Notitie

Zelfondertekende certificaten kunnen niet worden gebruikt in implementaties met meerdere locaties.

Zorg ervoor dat het websitecertificaat dat wordt gebruikt voor IP-HTTPS verificatie voldoet aan de volgende vereisten:

  • De algemene naam van het certificaat moet overeenkomen met de naam van de IP-HTTPS-site.

  • Geef in het veld Onderwerp de FQDN van de IP-HTTPS-URL op.

  • Gebruik voor het veld Enhanced Key Usage de OID (Server Authentication Object Identifier).

  • Geef voor het veld CRL-distributiepunten een CRL-distributiepunt op dat toegankelijk is voor DirectAccess-clients die zijn verbonden met internet.

  • Het IP-HTTPS-certificaat moet een persoonlijke sleutel hebben.

  • Het IP-HTTPS-certificaat moet rechtstreeks in het persoonlijke archief worden geïmporteerd.

  • IP-HTTPS certificaten kunnen jokertekens bevatten in de naam.

Het IP-HTTPS-certificaat van een interne CA installeren

  1. Typmmc.exeop de DirectAccess-server op het scherm Start en druk op Enter.

  2. Klik in de MMC-console in het menu Bestand op Module toevoegen/verwijderen.

  3. Klik in het dialoogvenster Modules toevoegen of verwijderen op Certificaten, klik op Toevoegen, klik op Computeraccount, klik op Volgende, klik op Lokale computer, klik op Voltooienen klik vervolgens op OK.

  4. Open in de consoleboom van de module Certificaten Certificaten (Lokale computer)\Persoonlijk\Certificaten.

  5. Klik met de rechtermuisknop op Certificaten, wijs Alle takenaan en klik vervolgens op Nieuw certificaat aanvragen.

  6. Klik tweemaal op Volgende.

  7. Schakel op de pagina Certificaten aanvragen het selectievakje in voor de certificaatsjabloon die u eerder hebt gemaakt (zie 1.5.2 Certificaatsjablonen configureren) voor meer informatie. Klik indien nodig op Meer informatie is vereist om u in te schrijven voor dit certificaat.

  8. Ga in het dialoogvenster Certificaateigenschappen naar het tabblad Onderwerp, in het gebied Onderwerpnaam, en selecteer vervolgens onder Typede optie Algemene naam.

  9. Geef bij Waardehet IPv4-adres op van de externe adapter van de DirectAccess-server of de FQDN van de IP-HTTPS-URL en klik vervolgens op Toevoegen.

  10. In het gebied Alternatieve naam, binnen Type, selecteer DNS.

  11. Geef in waardehet IPv4-adres op van de externe adapter van de DirectAccess-server of de FQDN van de IP-HTTPS-URL en klik vervolgens op Toevoegen.

  12. Op het tabblad Algemeen kunt u in Vriendelijke naameen naam invoeren waarmee u het certificaat kunt identificeren.

  13. Klik op het tabblad Extensies op de pijl naast uitgebreide-sleutelgebruiken zorg ervoor dat serververificatie wordt weergegeven in de lijst Geselecteerde opties.

  14. Klik op OK-, klik op inschrijven en klik vervolgens op voltooien.

  15. Controleer in het detailvenster van de module Certificaten of het nieuwe certificaat is ingeschreven met beoogde doeleinden van serververificatie.

1.6 De DNS-server configureren

U moet handmatig een DNS-invoer configureren voor de website van de netwerklocatieserver voor het interne netwerk binnen uw implementatie.

De netwerklocatieserver maken

  1. Op de DNS-server van het interne netwerk: typdnsmgmt.mscop het scherm Start en druk op Enter.

  2. Vouw in het linkerdeelvenster van de DNS Manager--console de zone voor forward lookup voor uw domein uit. Klik met de rechtermuisknop op het domein en klik op nieuwe host (A of AAAA).

  3. In het dialoogvenster Nieuwe host in het vak IP-adres:

    • Voer in het vak Naam (maakt gebruik van bovenliggende domeinnaam indien leeg) de DNS-naam in voor de website van de netwerklocatieserver (dit is de naam die de DirectAccess-clients gebruiken om verbinding te maken met de netwerklocatieserver).

    • Voer het IPv4- of IPv6-adres van de netwerklocatieserver in en klik vervolgens op Host toevoegenen klik vervolgens op OK-.

  4. In het dialoogvenster Nieuwe host:

    • Voer in het vak Naam (maakt gebruik van bovenliggende domeinnaam indien leeg) de DNS-naam voor de webtest in (de naam voor de standaardwebtest is directaccess-webprobehost).

    • Voer in het vak IP-adres het IPv4- of IPv6-adres van de webtest in en klik vervolgens op Host toevoegen.

    • Herhaal dit proces voor directaccess-corpconnectivityhost en eventuele handmatig gemaakte connectiviteitsverificatoren.

  5. Klik in het dialoogvenster DNS- op OK-en klik vervolgens op Gereed.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

U moet ook DNS-vermeldingen configureren voor het volgende:

  • De IP-HTTPS-server

    DirectAccess-clients moeten de DNS-naam van de DirectAccess-server van internet kunnen oplossen.

  • Controle van intrekking van CRL

    DirectAccess gebruikt certificaatintrekkingscontrole voor de IP-HTTPS verbinding tussen DirectAccess-clients en de DirectAccess-server, en voor de HTTPS-gebaseerde verbinding tussen de DirectAccess-client en de netwerklocatieserver. In beide gevallen moeten DirectAccess-clients de locatie van het CRL-distributiepunt kunnen oplossen en openen.

  • ISATAP-

    Intrasite Automatic Tunnel Addressing Protocol (ISATAP) maakt gebruik van tunneling om DirectAccess-clients in staat te stellen verbinding te maken met de DirectAccess-server via het IPv4-internet, waarbij IPv6-pakketten binnen een IPv4-header worden ingekapseld. Het wordt gebruikt door Remote Access om IPv6-connectiviteit te bieden aan ISATAP-hosts via een intranet. In een niet-systeemeigen IPv6-netwerkomgeving configureert de DirectAccess-server zichzelf automatisch als een ISATAP-router. Oplossingsondersteuning voor de ISATAP-naam is vereist.

1.7 Active Directory configureren

De DirectAccess-server en alle DirectAccess-clientcomputers moeten lid zijn van een Active Directory-domein. DirectAccess-clientcomputers moeten lid zijn van een van de volgende domeintypen:

  • Domeinen die deel uitmaken van hetzelfde forest als de DirectAccess-server.

  • Domeinen die deel uitmaken van foresten met een tweerichtingsvertrouwensrelatie met het DirectAccess-serverforest.

  • Domeinen met een tweerichtingsdomeinvertrouwensrelatie tot het DirectAccess-serverdomein.

De DirectAccess-server toevoegen aan een domein

  1. Klik in Serverbeheer op lokale server. Klik in het detailvenster op de koppeling naast Computernaam.

  2. Klik in het dialoogvenster Systeemeigenschappen op het tabblad Computernaam en klik vervolgens op Wijzigen.

  3. Typ in Computernaamde naam van de computer als u ook de computernaam wijzigt bij het toevoegen van de server aan het domein. Klik onder Lid vanop Domeinen typ vervolgens de naam van het domein waaraan u de server wilt toevoegen (bijvoorbeeld corp.contoso.com) en klik vervolgens op OK-.

  4. Wanneer u wordt gevraagd om een gebruikersnaam en wachtwoord, voert u de gebruikersnaam en het wachtwoord van een gebruiker in met rechten om computers aan het domein toe te voegen en klikt u vervolgens op OK.

  5. Wanneer u een dialoogvenster ziet dat u welkom heet bij het domein, klikt u op OK-.

  6. Wanneer u wordt gevraagd of u de computer opnieuw moet opstarten, klikt u op OK.

  7. Klik in het dialoogvenster Systeemeigenschappen op Sluiten.

  8. Wanneer u wordt gevraagd de computer opnieuw op te starten, klikt u op Nu opnieuw opstarten.

Clientcomputers toevoegen aan het domein

  1. Typexplorer.exein het scherm Start en druk op Enter.

  2. Klik met de rechtermuisknop op het computerpictogram en klik vervolgens op Eigenschappen.

  3. Klik op de pagina System op Geavanceerde systeeminstellingen.

  4. Open in het dialoogvenster Systeemeigenschappen het tabblad Computernaam en klik op Wijzigen.

  5. Typ in Computernaamde naam van de computer als u ook de computernaam wijzigt bij het toevoegen van de server aan het domein. Klik onder Lid vanop Domeinen typ vervolgens de naam van het domein waaraan u de server wilt toevoegen (bijvoorbeeld corp.contoso.com) en klik vervolgens op OK-.

  6. Wanneer u wordt gevraagd om een gebruikersnaam en wachtwoord, voert u de gebruikersnaam en het wachtwoord van een gebruiker in met rechten om computers aan het domein toe te voegen en klikt u vervolgens op OK.

  7. Wanneer u een dialoogvenster ziet dat u welkom heet bij het domein, klikt u op OK-.

  8. Wanneer u wordt gevraagd of u de computer opnieuw moet opstarten, klikt u op OK.

  9. Klik op Sluitenin het dialoogvenster Systeemeigenschappen.

  10. Wanneer u wordt gevraagd de computer opnieuw op te starten, klikt u op Nu opnieuw opstarten.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

Notitie

U moet domeinreferenties opgeven wanneer u de volgende opdracht Add-Computer invoert.

Add-Computer -DomainName <domain_name>
Restart-Computer

1.8 Groepsbeleidsobjecten configureren

Er zijn minimaal twee groepsbeleidsobjecten vereist voor het implementeren van externe toegang:

  • Een bevat instellingen voor de DirectAccess-server

  • Een bevat instellingen voor DirectAccess-clientcomputers

Wanneer u Externe toegang configureert, maakt de wizard automatisch de vereiste groepsbeleidsobjecten. Als uw organisatie echter een naamgevingsconventie afdwingt, kunt u een naam typen in het dialoogvenster Groepsbeleidsobject in de beheerconsole voor externe toegang. Zie 2.7 voor meer informatie. Configuratieoverzicht en alternatieve GPO's. Als u machtigingen hebt ingesteld, wordt het groepsbeleidsobject aangemaakt. Als u niet over de vereiste machtigingen beschikt om GPO's te maken, moeten ze worden gemaakt voordat u Externe toegang configureert.

Zie Een groepsbeleidsobject maken en bewerkenals u groepsbeleidsobjecten wilt maken.

Belangrijk

Beheerders kunnen de DirectAccess-groepsbeleidsobjecten handmatig koppelen aan een organisatie-eenheid (OE) door de volgende stappen uit te voeren:

  1. Voordat u DirectAccess configureert, koppelt u de gemaakte GPO's aan de respectieve organisatie-eenheden.
  2. Wanneer u DirectAccess configureert, geeft u een beveiligingsgroep op voor de clientcomputers.
  3. De RAS-beheerder heeft mogelijk of geen machtigingen om de groepsbeleidsobjecten aan het domein te koppelen. In beide gevallen worden de groepsbeleidsobjecten automatisch geconfigureerd. Als de groepsbeleidsobjecten al zijn gekoppeld aan een organisatie-eenheid, worden de koppelingen niet verwijderd en worden de groepsbeleidsobjecten niet gekoppeld aan het domein. Voor een groepsbeleidsobject voor een server moet de organisatie-eenheid het servercomputerobject bevatten, anders wordt het groepsbeleidsobject gekoppeld aan de root van het domein.
  4. Indien u geen koppeling hebt gemaakt naar de organisatie-eenheid voordat u de DirectAccess-wizard uitvoert, kan de domeinbeheerder de DirectAccess-groepsbeleidsobjecten koppelen aan de vereiste organisatie-eenheden. De koppeling naar het domein kan worden verwijderd. Zie Een groepsbeleidsobject koppelenvoor meer informatie.

Notitie

Als een groepsbeleidsobject handmatig is gemaakt, is het mogelijk dat het groepsbeleidsobject niet beschikbaar is tijdens de DirectAccess-configuratie. Het groepsbeleidsobject is mogelijk niet gerepliceerd naar de dichtstbijzijnde domeincontroller naar de beheercomputer. In dit geval kan de beheerder wachten tot de replicatie is voltooid of de replicatie afdwingen.

1.8.1 Groepsbeleidsobjecten voor externe toegang configureren met beperkte machtigingen

In een implementatie die gebruikmaakt van faserings- en productie-GPO's, moet de domeinbeheerder het volgende doen:

  1. Haal de lijst op met vereiste GPO's voor de RAS-implementatie van de RAS-beheerder. Zie 1.8 Groepsbeleidsobjecten plannen voor meer informatie.

  2. Maak voor elk GPO dat wordt aangevraagd door de beheerder van externe toegang een paar GPO's met verschillende namen. De eerste wordt gebruikt als testomgeving GPO en de tweede als productieomgeving GPO.

    Zie Een groepsbeleidsobject maken en bewerkenals u groepsbeleidsobjecten wilt maken.

  3. Zie Een groepsbeleidsobject koppelenom de productie-GPO's te koppelen.

  4. Geef de beheerder voor externe toegang toestemming om instellingen te bewerken, en beveiligingsrechten te verwijderen en te wijzigen op alle staging-GPO's. Zie Machtigingen delegeren voor een groep of gebruiker in een groepsbeleidsobjectvoor meer informatie.

  5. Weiger de machtigingen van de RAS-beheerder om groepsbeleidsobjecten te koppelen in alle domeinen (of controleer of de RAS-beheerder niet over dergelijke machtigingen beschikt). Zie Machtigingen delegeren om groepsbeleidsobjecten te koppelenvoor meer informatie.

Wanneer Remote Access-beheerders Externe Toegang configureren, moeten ze altijd alleen faserings-GPO's (niet de productie-GPO's) opgeven. Dit geldt in de eerste configuratie van Externe toegang en bij het uitvoeren van aanvullende configuratiebewerkingen waarbij extra GPO's vereist zijn; Bijvoorbeeld bij het toevoegen van toegangspunten in een implementatie met meerdere locaties of het inschakelen van clientcomputers in extra domeinen.

Nadat de Remote Access-beheerder wijzigingen in de Remote Access-configuratie heeft voltooid, moet de domeinbeheerder de instellingen in de staging GPO's controleren en de volgende procedure gebruiken om de instellingen naar de productie GPO's te kopiëren.

Hint

Voer de volgende procedure uit na elke wijziging van de RAS-configuratie.

De instellingen kopiëren naar de productie GPO's

  1. Controleer of alle faserings-GPO's in de RAS-implementatie zijn gerepliceerd naar alle domeincontrollers in het domein. Dit is vereist om ervoor te zorgen dat de meest up-to-datumconfiguratie wordt geïmporteerd in de productie-GPO's. Zie De status van de groepsbeleidsinfrastructuur controleren voor meer informatie.

  2. Exporteer de instellingen door een back-up te maken van alle staging-GPO's in de Remote Access-implementatie. Zie Een back-up maken van een groepsbeleidsobject voor meer informatie.

  3. Wijzig voor elk groepsbeleidsobject voor productie de beveiligingsfilters zodat deze overeenkomen met de beveiligingsfilters van het bijbehorende groepsbeleidsobject voor fasering. Zie Filteren met behulp van beveiligingsgroepen voor meer informatie.

    Notitie

    Dit is vereist omdat Importinstellingen het beveiligingsfilter van het Bron-groepsbeleidsobject niet kopieert.

  4. Importeer voor elk groepsbeleidsobject voor productie de instellingen uit de back-up van het bijbehorende groepsbeleidsobject voor fasering als volgt:

    1. Vouw in de Groepsbeleidsbeheerconsole (GPMC) het knooppunt Groepsbeleidsobjecten uit in het forest en domein dat het productie-groepsbeleidsobject bevat waarin de instellingen worden geïmporteerd.

    2. Klik met de rechtermuisknop op het GPO en kies Instellingen importeren.

    3. Klik in de importinstellingenwizardop de pagina Welkom op Volgende.

    4. Ga op de Back-up GPO pagina naar Back-up.

    5. Voer in het dialoogvenster Back-up maken van groepsbeleidsobject in het vak Locatie het pad in voor de locatie waar u de groepsbeleidsobjectback-ups wilt opslaan of klik op Bladeren om de map te zoeken.

    6. Typ in het vak Beschrijving een beschrijving voor het groepsbeleidsobject voor productie en klik vervolgens op Back-up maken van.

    7. Wanneer de back-up is voltooid, klikt u op OKen klikt u vervolgens op de pagina Groepsbeleidsobject voor back-up op Volgende.

    8. Voer op de back-uplocatie pagina in het back-upmap het pad in voor de locatie waar de back-up van het bijbehorende groepsbeleidsobject voor fasering is opgeslagen in stap 2 of klik op Bladeren om de map te zoeken en klik vervolgens op Volgende.

    9. Schakel op de pagina Groepsbeleidsobject bron het selectievakje Alleen de meest recente versie van elk groepsbeleidsobject weergeven in om oudere back-ups te verbergen en selecteer het bijbehorende groepsbeleidsobject voor fasering. Klik op Instellingen weergeven om de instellingen voor externe toegang te controleren voordat u deze toepast op het productie-GPO, en klik vervolgens op Volgende.

    10. Klik op de pagina Back-up scannen op Volgendeen klik vervolgens op voltooien.

Windows PowerShell windows PowerShell-equivalente opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

  • Als u een back-up wilt maken van het GPO "DirectAccess Clientinstellingen - Test" voor de stagingclient in het domein "corp.contoso.com" naar de back-upmap "C:\Backups":

    $backup = Backup-GPO "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "Path 'C:\Backups\'

  • Als u het beveiligingsfilter van het groepsbeleidsobject voor de faseringsclient 'DirectAccess-clientinstellingen - Fasering' in het domein 'corp.contoso.com' wilt zien:

    Get-GPPermission "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "All | ?{ $_.Permission "eq 'GpoApply'}

  • Als u de beveiligingsgroep 'corp.contoso.com\DirectAccess clients' wilt toevoegen aan het beveiligingsfilter van het groepsbeleidsobject voor productieclients 'DirectAccess Client Settings " Production"' in het domein 'corp.contoso.com':

    Set-GPPermission "Name 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com' "PermissionLevel GpoApply "TargetName 'corp.contoso.com\DirectAccess clients' "TargetType Group

  • Als u instellingen wilt importeren van de back-up naar het groepsbeleidsobject van de productieclient 'DirectAccess-clientinstellingen' in het domein 'corp.contoso.com':

    Import-GPO "BackupId $backup.Id "Path $backup.BackupDirectory "TargetName 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com'

1.9 Beveiligingsgroepen configureren

De DirectAccess-instellingen die zijn opgenomen in het groepsbeleidsobject van de clientcomputer, worden alleen toegepast op computers die lid zijn van de beveiligingsgroepen die u opgeeft wanneer u Externe toegang configureert. Als u bovendien beveiligingsgroepen gebruikt om uw toepassingsservers te beheren, maakt u een beveiligingsgroep voor deze servers.

Een beveiligingsgroep maken voor DirectAccess-clients

  1. Typ in het scherm Startdsa.mscen druk op Enter. Vouw in de Active Directory: gebruikers en computers-console in het linkerdeelvenster het domein uit dat de beveiligingsgroep bevat, klik met de rechtermuisknop op Gebruikers, wijs Nieuweaan en klik vervolgens op Groep.

  2. Voer in het dialoogvenster Nieuw object - Groeperen, onder groepsnaam, de naam voor de beveiligingsgroep in.

  3. Klik onder groepsbereikop Globaleen klik onder groepstypeop Securityen klik vervolgens op OK.

  4. Dubbelklik op de beveiligingsgroep voor DirectAccess-clientcomputers en klik in het dialoogvenster Eigenschappen op het tabblad Leden.

  5. Klik op het tabblad Leden op Toevoegen.

  6. Selecteer in het dialoogvenster Gebruikers, contactpersonen, computers of serviceaccounts de clientcomputers die u wilt inschakelen voor DirectAccess en klik op OK.

Windows PowerShell gelijkwaardige Windows PowerShell-opdrachten

De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

1.10 De netwerklocatieserver configureren

De netwerklocatieserver moet een server met hoge beschikbaarheid zijn en moet een geldig SSL-certificaat hebben dat wordt vertrouwd door de DirectAccess-clients. Er zijn twee certificaatopties voor het netwerklocatieservercertificaat:

  • privécertificaat

    Dit certificaat is gebaseerd op de certificaatsjabloon die u hebt gemaakt door de instructies in 1.5.2 Configuratie van certificaatsjablonente volgen.

  • zelfondertekend certificaat

    Notitie

    Zelfondertekende certificaten kunnen niet worden gebruikt in implementaties met meerdere locaties.

Het volgende is vereist voor beide typen certificaten, als deze nog niet bestaan:

  • Een websitecertificaat dat wordt gebruikt voor de netwerklocatieserver. Het certificaatonderwerp moet de URL van de netwerklocatieserver zijn.

  • Een CRL-distributiepunt met hoge beschikbaarheid van het interne netwerk.

Notitie

Als de website van de netwerklocatieserver zich op de DirectAccess-server bevindt, wordt er automatisch een website gemaakt wanneer u Externe toegang configureert. Deze site is gebonden aan het servercertificaat dat u opgeeft.

Het servercertificaat van de netwerklocatie installeren vanaf een interne CA

  1. Typ op de server waarop de website van de netwerklocatieserver wordt gehost: typmmc.exeop het scherm Start en druk op Enter.

  2. Klik in de MMC-console in het menu Bestand op Module toevoegen/verwijderen.

  3. Klik in het dialoogvenster Modules toevoegen of verwijderen op Certificaten, klik op Toevoegen, klik op Computeraccount, klik op Volgende, klik op Lokale computer, klik op Voltooienen klik vervolgens op OK.

  4. Open in de consolestructuur van het certificaatbeheer de map Certificaten (Lokale Computer)\Persoonlijk\Certificaten.

  5. Klik met de rechtermuisknop op Certificaten, wijs Alle takenaan en klik vervolgens op Nieuw certificaat aanvragen.

  6. Klik tweemaal op Volgende.

  7. Schakel op de pagina Certificaten aanvragen het selectievakje in voor de certificaatsjabloon die u hebt gemaakt volgens de instructies in 1.5.2 Certificaatsjablonen configureren. Klik indien nodig op Meer informatie is vereist om u in te schrijven voor dit certificaat.

  8. Ga in het dialoogvenster Certificaateigenschappen naar het tabblad Onderwerp, in het gebied Onderwerpnaam, onder Type, en selecteer Algemene naam.

  9. Voer in waardede FQDN van de website van de netwerklocatieserver in en klik vervolgens op Toevoegen.

  10. Selecteer in het gebied Alternatieve naam, bij Type, de optie DNS.

  11. Voer in waardede FQDN van de website van de netwerklocatieserver in en klik vervolgens op Toevoegen.

  12. Op het tabblad Algemeen kunt u in Vriendelijk naameen naam invoeren waarmee u het certificaat kunt identificeren.

  13. Klik op OK-, klik op inschrijven en klik vervolgens op voltooien.

  14. Controleer in het detailvenster van de module Certificaten of het nieuwe certificaat is aangemeld met de bedoelde doeleinden van serverauthenticatie.

De netwerklocatieserver configureren

  1. Stel een website in op een server met hoge beschikbaarheid. Voor de website is geen inhoud vereist, maar wanneer u deze test, kunt u een standaardpagina definiëren die een bericht geeft wanneer clients verbinding maken.

    Notitie

    Deze stap is niet vereist als de website van de netwerklocatieserver wordt gehost op de DirectAccess-server.

  2. Bind een HTTPS-servercertificaat aan de website. De algemene naam van het certificaat moet overeenkomen met de naam van de netwerklocatieserversite. Zorg ervoor dat DirectAccess-clients de verlenende CA vertrouwen.

    Notitie

    Deze stap is niet vereist als de website van de netwerklocatieserver wordt gehost op de DirectAccess-server.

  3. Stel een CRL-site in met hoge beschikbaarheid vanuit het interne netwerk.

    CRL-distributiepunten zijn te benaderen via:

    Als het interne CRL-distributiepunt alleen bereikbaar is via IPv6, moet u een Windows Firewall met geavanceerde beveiligingsregel voor de beveiliging van de verbinding configureren om IPsec-beveiliging van het IPv6-adres van uw intranet uit te sluiten op de IPv6-adressen van uw CRL-distributiepunten.

  4. Zorg ervoor dat DirectAccess-clients in het interne netwerk de naam van de netwerklocatieserver kunnen oplossen. Zorg ervoor dat de naam niet opgelost kan worden door clients van DirectAccess op internet.