Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp wordt beschreven hoe u de client- en serverinstellingen configureert die vereist zijn voor een geavanceerde RAS-implementatie die gebruikmaakt van één RAS-server in een gemengde IPv4- en IPv6-omgeving. Voordat u begint met de implementatiestappen, moet u ervoor zorgen dat u de planningsstappen hebt voltooid die worden beschreven in Een geavanceerde DirectAccess-implementatie plannen.
| Opdracht | Beschrijving |
|---|---|
| 2.1. De rol voor externe toegang installeren | Installeer de rol voor externe toegang. |
| 2.2. Het implementatietype configureren | Configureer het implementatietype als DirectAccess en VPN, alleen DirectAccess of alleen VPN. |
| Een geavanceerde DirectAccess-implementatie plannen | Configureer de RAS-server met de beveiligingsgroepen die DirectAccess-clients bevatten. |
| 2.4. De RAS-server configureren | Configureer de externe toegang-serverinstellingen. |
| 2.5. De infrastructuurservers configureren | Configureer de infrastructuurservers die in de organisatie worden gebruikt. |
| 2.6. Applicatieservers configureren | Configureer toepassingsservers zodat ze verificatie en versleuteling vereisen. |
| 2.7. Configuratieoverzicht en alternatieve groepsbeleidsobjecten | Bekijk het configuratieoverzicht van Externe toegang en wijzig indien gewenst de GPO's. |
| 2.8. De RAS-server configureren met Windows PowerShell | Externe toegang configureren met Windows PowerShell. |
Opmerking
Dit onderwerp bevat voorbeelden van Windows PowerShell-cmdlets die u kunt gebruiken om een aantal van de beschreven procedures te automatiseren. Voor meer informatie, zie Cmdlets gebruiken.
2.1. De rol voor externe toegang installeren
Voor het implementeren van Externe toegang, moet u de Remote Access rol installeren op een server in uw organisatie die als de Remote Access server fungeert.
Externe Toegang rol installeren
Klik op de RAS-server in de console Serverbeheer in het dashboard op Functies en onderdelen toevoegen.
Klik drie keer op Volgende om naar het scherm Serverfuncties selecteren te gaan.
Selecteer Externe toegang op de pagina Serverfuncties selecteren, klik op Onderdelen toevoegen en klik vervolgens op Volgende.
Klik vijf keer op Volgende .
Ga op de pagina Installatieopties bevestigen naar Installeren.
Controleer op de voortgangspagina van de installatie of de installatie is geslaagd en klik vervolgens op Sluiten.
geslaagde windows PowerShell-equivalente opdrachten
De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
2.2. Het implementatietype configureren
Externe toegang kan op drie manieren worden geïmplementeerd met behulp van de beheerconsole voor externe toegang:
DirectAccess en VPN
Alleen DirectAccess
Alleen VPN
In deze handleiding wordt gebruikgemaakt van een directAccess-implementatie in de voorbeeldprocedures.
Het implementatietype configureren
Open op de RAS-server de beheerconsole voor externe toegang: typRAMgmtUI.exeop het startscherm en druk op Enter. Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de weergegeven actie de gewenste is en klikt u vervolgens op Ja.
Klik in de beheerconsole voor externe toegang in het middelste deelvenster op De wizard Externe toegang instellen uitvoeren.
Klik in het dialoogvenster Externe toegang configureren op de vraag of u DirectAccess en VPN, alleen DirectAccess of VPN wilt implementeren.
2.3. DirectAccess-clients configureren
Als u een clientcomputer wilt inrichten om DirectAccess te kunnen gebruiken, moet deze behoren tot de geselecteerde beveiligingsgroep. Nadat DirectAccess is geconfigureerd, worden clientcomputers in de beveiligingsgroep ingericht om het GPO (DirectAccess Group Policy Object) te ontvangen. U kunt ook het implementatiescenario configureren, waarmee u DirectAccess kunt configureren voor clienttoegang en extern beheer, of alleen voor extern beheer.
De DirectAccess-clients configureren
Klik in het middelste deelvenster van de Beheerconsole voor Externe Toegang in het gebied Stap 1 Remote Clients op Configureren.
Klik in de wizard DirectAccess-clientinstallatie op de pagina Implementatiescenario op het implementatiescenario dat u wilt gebruiken in uw organisatie (alleen volledig DirectAccess of extern beheer) en klik vervolgens op Volgende.
Klik op de pagina Groepen selecteren op toevoegen.
Selecteer in het dialoogvenster Groepen selecteren de beveiligingsgroepen die uw DirectAccess-clientcomputers bevatten.
Opmerking
Als de beveiligingsgroep zich in een ander forest bevindt dan de server voor externe toegang, klikt u nadat u de wizard Externe toegang instellen hebt voltooid op Beheerservers vernieuwen in het deelvenster Taken om de domeincontrollers en Configuration Manager-servers in het nieuwe forest te detecteren.
Schakel het selectievakje DirectAccess inschakelen voor mobiele computers in om alleen mobiele computers toegang te geven tot het interne netwerk, indien nodig.
Schakel het selectievakje Geforceerde tunneling gebruiken in om al het clientverkeer (naar het interne netwerk en internet) te routeren via de RAS-server, indien nodig.
Klik op Volgende.
Op de Network Connectivity Assistant-pagina:
Voeg in de tabel resources toe die worden gebruikt om de verbinding met het interne netwerk te bepalen. Er wordt automatisch een standaardwebtest gemaakt als er geen andere resources zijn geconfigureerd.
Waarschuwing
Wanneer u de webtestlocaties configureert voor het bepalen van de connectiviteit met het bedrijfsnetwerk, moet u ervoor zorgen dat u ten minste één HTTP-test hebt geconfigureerd. Het configureren van een pingtest is alleen niet voldoende en dit kan leiden tot onjuiste bepaling van de connectiviteitsstatus. Dit komt doordat ping is vrijgesteld van IPsec en als gevolg hiervan zorgt het niet ervoor dat de IPsec-tunnels correct tot stand zijn gebracht.
Voeg een e-mailadres van de helpdesk toe zodat gebruikers informatie kunnen verzenden als ze verbindingsproblemen ondervinden.
Geef een vriendelijke naam op voor de DirectAccess-verbinding. Deze naam wordt weergegeven in de netwerklijst wanneer gebruikers op het netwerkpictogram in het systeemvak klikken.
Schakel het selectievakje DirectAccess-clients toestaan lokale naamomzetting te gebruiken in, indien nodig.
Opmerking
Wanneer lokale naamomzetting is ingeschakeld, kunnen gebruikers die de Netwerkverbindingsassistent uitvoeren ervoor kiezen om namen om te zetten met behulp van DNS-servers die zijn geconfigureerd op de DirectAccess-clientcomputer.
Klik op Voltooien.
2.4. De RAS-server configureren
Als u Externe toegang wilt implementeren, moet u de RAS-server configureren met de juiste netwerkadapters, een openbare URL voor de RAS-server waarmee clientcomputers verbinding kunnen maken (het ConnectTo-adres), een IP-HTTPS-certificaat met een onderwerp dat overeenkomt met het ConnectTo-adres, de IPv6-instellingen en clientcomputerverificatie.
De Remote Access-server configureren
Klik in het middelste deelvenster van de beheerconsole voor externe toegang, in het gebied Stap 2 Externe Toegangsserver, op Configureren.
Klik in de wizard voor het instellen van de Server voor Externe Toegang op de pagina Netwerktopologie op de implementatietopologie die gebruikt zal worden in uw organisatie. Typ in Typ de openbare naam of het IPv4-adres dat door clients wordt gebruikt om verbinding te maken met de RAS-server, voer de openbare naam voor de implementatie in (deze naam komt overeen met de onderwerpnaam van het IP-HTTPS-certificaat, bijvoorbeeld edge1.contoso.com), en klik vervolgens op Volgende.
Op de pagina Netwerkadapters detecteert de wizard automatisch de netwerkadapters voor de netwerken in uw implementatie. Als de wizard de juiste netwerkadapters niet detecteert, selecteert u handmatig de juiste adapters. De wizard detecteert ook automatisch het IP-HTTPS-certificaat, op basis van de openbare naam voor de implementatieset in de vorige stap van de wizard. Als de wizard het juiste IP-HTTPS certificaat niet detecteert, klikt u op Bladeren om het juiste certificaat handmatig te selecteren en klikt u vervolgens op Volgende.
Op de pagina Voorvoegselconfiguratie (dit wordt alleen weergegeven als IPv6 is geïmplementeerd in het interne netwerk), detecteert de wizard automatisch de IPv6-instellingen die worden gebruikt in het interne netwerk. Als uw implementatie aanvullende voorvoegsels vereist, configureert u de IPv6-voorvoegsels voor het interne netwerk, een IPv6-voorvoegsel dat moet worden toegewezen aan DirectAccess-clientcomputers en een IPv6-voorvoegsel dat moet worden toegewezen aan VPN-clientcomputers.
Opmerking
U kunt meerdere interne IPv6-voorvoegsels opgeven met behulp van een door puntkomma's gescheiden lijst, bijvoorbeeld 2001:db8:1::/48; 2001:db8:2::/48.
Op de pagina verificatie:
Klik in Gebruikersverificatie op Active Directory-referenties. Als u een implementatie wilt configureren met behulp van tweeledige verificatie, klikt u op Tweeledige verificatie. Zie Externe toegang implementeren met OTP-verificatie voor meer informatie.
Voor implementaties met meerdere sites en tweeledige verificatie moet u verificatie van computercertificaten gebruiken. Schakel het selectievakje Computercertificaten gebruiken in om verificatie van computercertificaten te gebruiken en selecteer het IPsec-basiscertificaat.
Als u Windows 7-clientcomputers wilt inschakelen om verbinding te maken via DirectAccess, schakelt u het selectievakje Windows 7-clientcomputers inschakelen om verbinding via DirectAccess mogelijk te maken in.
Opmerking
U moet ook verificatie van computercertificaten gebruiken in dit type implementatie.
Klik op Voltooien.
2.5. De infrastructuurservers configureren
Als u de infrastructuurservers in een RAS-implementatie wilt configureren, moet u de netwerklocatieserver, DNS-instellingen (inclusief de zoeklijst voor DNS-achtervoegsels) en beheerservers configureren die niet automatisch worden gedetecteerd door Externe toegang.
De infrastructuurservers configureren
Klik in het middelste deelvenster van de beheerconsole voor externe toegang in het gebied stap 3 Infrastructuurservers op Configureren.
Klik in de wizard Infrastructuurserver instellen op de pagina Netwerklocatieserver op de optie die overeenkomt met de locatie van de netwerklocatieserver in uw implementatie. Als de netwerklocatieserver zich op een externe webserver bevindt, voert u de URL in en klikt u op Valideren voordat u doorgaat. Als de netwerklocatieserver zich op de RAS-server bevindt, klikt u op Blader om het relevante certificaat te zoeken en klikt u vervolgens op Volgende.
Voer op de DNS-pagina in de tabel eventuele extra naamachtervoegsels in die worden toegepast als NRPT-uitzonderingen (Name Resolution Policy Table). Selecteer een lokale naamomzettingsoptie en klik vervolgens op Volgende.
Op de pagina Zoeklijst voor DNS-achtervoegsels detecteert de RAS-server automatisch eventuele domeinachtervoegsels in de implementatie. Gebruik de knoppen Toevoegen en Verwijderen om domeinachtervoegsels toe te voegen en te verwijderen uit de lijst met domeinachtervoegsels die u wilt gebruiken. Als u een nieuw domeinachtervoegsel wilt toevoegen, voert u in nieuw achtervoegselhet achtervoegsel in en klikt u op Toevoegen. Klik op Volgende.
Voeg op de pagina Beheer alle beheerservers toe die niet automatisch worden gedetecteerd en klik vervolgens op Volgende. Externe toegang voegt automatisch domeincontrollers en Configuration Manager-servers toe.
Opmerking
Hoewel de servers automatisch worden toegevoegd, worden ze niet weergegeven in de lijst. Nadat u de configuratie de eerste keer hebt toegepast, worden de Configuration Manager-servers weergegeven in de lijst.
Klik op Voltooien.
2.6. Applicatieservers configureren
In een RAS-implementatie is het configureren van toepassingsservers een optionele taak. Met Externe toegang kunt u verificatie vereisen voor geselecteerde toepassingsservers. Dit wordt bepaald door hun opname in een beveiligingsgroep voor toepassingsservers. Standaard wordt verkeer naar toepassingsservers waarvoor verificatie is vereist, ook versleuteld; U kunt er echter voor kiezen om verkeer naar toepassingsservers niet te versleutelen en alleen verificatie te gebruiken.
Opmerking
Verificatie zonder versleuteling wordt alleen ondersteund op toepassingsservers met Windows Server 2012 R2, Windows Server 2012 of Windows Server 2008 R2.
Toepassingsservers configureren
Klik in het middelste deelvenster van de beheerconsole voor externe toegang in het gebied Toepassingsservers van stap 4 op Configureren.
Klik in de wizard Setup van DirectAccess-toepassingsserver op Verificatie uitbreiden naar geselecteerde toepassingsservers om verificatie voor deze servers te vereisen. Klik op Toevoegen om de beveiligingsgroep van de toepassingsserver te selecteren.
Als u de toegang tot alleen de servers in de beveiligingsgroep van de toepassingsserver wilt beperken, schakelt u het selectievakje Alleen toegang toestaan tot servers in de beveiligingsgroepen in .
Als u verificatie zonder versleuteling wilt gebruiken, selecteert u het verkeer niet versleutelen. Schakel alleen verificatie in.
Klik op Voltooien.
2.7. Configuratieoverzicht en alternatieve groepsbeleidsobjecten
Wanneer de Remote Access-configuratie is voltooid, wordt de Remote Access Review weergegeven. U kunt alle instellingen bekijken die u eerder hebt geselecteerd, waaronder:
GPO-instellingen: De naam van de DirectAccess-server GPO en de naam van het client-GPO worden vermeld. Daarnaast kunt u op de koppeling Wijzigen naast de kop GPO-instellingen klikken om de groepsbeleidsobjectinstellingen te wijzigen.
Externe clients: de DirectAccess-clientconfiguratie wordt weergegeven, inclusief de beveiligingsgroep, de status van gedwongen tunneling, connectiviteitsverifiers en de naam van de DirectAccess-verbinding.
RAS-server: de DirectAccess-configuratie wordt weergegeven, inclusief de openbare naam/het adres, de configuratie van de netwerkadapter, certificaatgegevens en OTP-informatie als deze is geconfigureerd.
Infrastructuurservers: deze lijst bevat de URL van de netwerklocatieserver, DNS-achtervoegsels die worden gebruikt door DirectAccess-clients en beheerservergegevens.
Toepassingsservers: de status van extern beheer van DirectAccess wordt weergegeven, naast de status van de end-to-end-verificatie voor specifieke toepassingsservers.
2.8. De RAS-server configureren met Windows PowerShell
gelijkwaardige Windows PowerShell-opdrachten
De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.
Als u een volledige installatie wilt uitvoeren in een edge-topologie van Externe toegang voor alleen DirectAccess in een domein met de root corp.contoso.com en de volgende parameters gebruikt: servergroepsbeleidsobject: DirectAccess-serverinstellingen, client-GPO: DirectAccess-clientinstellingen, interne netwerkadapter: Corpnet, externe netwerkadapter: Internet, ConnectTo-adres: edge1.contoso.com en netwerklocatieserver: nls.corp.contoso.com:
Install-RemoteAccess -Force -PassThru -ServerGpoName 'corp.contoso.com\DirectAccess Server Settings' -ClientGpoName 'corp.contoso.com\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Corpnet' -ConnectToAddress 'edge1.contoso.com' -NlsUrl 'https://nls.corp.contoso.com/'
Als u de RAS-server wilt configureren voor het gebruik van verificatie van computercertificaten, met een IPsec-basiscertificaat dat is uitgegeven door de certificeringsinstantie met de naam CORP-APP1-CA:
$certs = Get-ChildItem Cert:\LocalMachine\Root
$IPsecRootCert = $certs | Where-Object {$_.Subject -Match "corp-APP1-CA"}
Set-DAServer -IPsecRootCertificate $IPsecRootCert
Als u de beveiligingsgroep met DirectAccess-clients met de naam DirectAccessClients wilt toevoegen en de standaardbeveiligingsgroep Domeincomputers wilt verwijderen:
Add-DAClient -SecurityGroupNameList @('corp.contoso.com\DirectAccessClients')
Remove-DAClient -SecurityGroupNameList @('corp.contoso.com\Domain Computers')
Externe toegang inschakelen voor alle computers (niet alleen notebooks en laptops) en externe toegang inschakelen voor Windows 7-clients:
Set-DAClient -OnlyRemoteComputers 'Disabled' -Downlevel 'Enabled'
De DirectAccess-clientervaring configureren, inclusief de beschrijvende verbindingsnaam en de webtest-URL:
Set-DAClientExperienceConfiguration -FriendlyName 'Contoso DirectAccess Connection' -PreferLocalNamesAllowed $False -PolicyStore 'corp.contoso.com\DirectAccess Client Settings' -CorporateResources @('HTTP:https://directaccess-WebProbeHost.corp.contoso.com')
Vorige stap
Volgende stap
- stap 3: de implementatie controleren