Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De eerste stap bij het plannen van een geavanceerde DirectAccess-implementatie op één server is het plannen van de infrastructuur die vereist is voor de implementatie. In dit onderwerp worden de planningsstappen voor de infrastructuur beschreven. Deze planningstaken hoeven niet in een specifieke volgorde te worden voltooid.
| Opdracht | Beschrijving |
|---|---|
| 1.1 Netwerktopologie en -instellingen plannen | Bepaal waar u de DirectAccess-server (aan de rand of achter een NAT-apparaat of firewall) wilt plaatsen en plan IP-adressering, routering en geforceerde tunneling. |
| 1.2 Firewallvereisten plannen | Plan het toestaan van DirectAccess-verkeer via edge-firewalls. |
| 1.3 Certificaatvereisten plannen | Bepaal of u Kerberos of certificaten wilt gebruiken voor clientverificatie en plan uw websitecertificaten. IP-HTTPS is een overgangsprotocol dat door DirectAccess-clients wordt gebruikt om IPv6-verkeer via IPv4-netwerken te tunnelen. Bepaal of u zich wilt verifiëren bij de IP-HTTPS-server met behulp van een certificaat dat is uitgegeven door een certificeringsinstantie (CA) of met behulp van een zelfondertekend certificaat dat automatisch wordt uitgegeven door de DirectAccess-server. |
| 1.4 DNS-vereisten plannen | Plan DNS-instellingen (Domain Name System) voor de DirectAccess-server, infrastructuurservers, opties voor lokale naamomzetting en clientconnectiviteit. |
| 1.5 De netwerklocatieserver plannen | De netwerklocatieserver wordt gebruikt door DirectAccess-clients om te bepalen of ze zich in het interne netwerk bevinden. Bepaal waar u de website van de netwerklocatieserver in uw organisatie wilt plaatsen (op de DirectAccess-server of een alternatieve server) en plan de certificaatvereisten als de netwerklocatieserver zich op de DirectAccess-server bevindt. |
| 1.6 Planbeheerservers | U kunt directAccess-clientcomputers die zich buiten het bedrijfsnetwerk op internet bevinden, extern beheren. Plan voor beheerservers (zoals updateservers) die worden gebruikt tijdens extern clientbeheer. |
| 1.7 Plannen van Active Directory Domain Services | Plan uw domeincontrollers, uw Active Directory-vereisten, clientverificatie en meerdere domeinen. |
| 1.8 Groepsbeleidsobjecten plannen | Bepaal welke groepsbeleidsobjecten vereist zijn in uw organisatie en hoe u de groepsbeleidsobjecten maakt of bewerkt. |
1.1 Netwerktopologie en -instellingen plannen
In deze sectie wordt uitgelegd hoe u uw netwerk kunt plannen, waaronder:
1.1.1 Netwerkadapters en IP-adressering plannen
Identificeer de netwerkadaptertopologie die u wilt gebruiken. DirectAccess kan worden ingesteld met behulp van een van de volgende topologieën:
Twee netwerkadapters. De DirectAccess-server kan aan de rand worden geïnstalleerd met één netwerkadapter die is verbonden met internet en het andere met het interne netwerk, of kan worden geïnstalleerd achter een NAT-, firewall- of routerapparaat, met één netwerkadapter die is verbonden met een perimeternetwerk en de andere met het interne netwerk.
één netwerkadapter. De DirectAccess-server wordt geïnstalleerd achter een NAT-apparaat en de enkele netwerkadapter is verbonden met het interne netwerk.
Identificeer uw IP-adresseringsvereisten:
DirectAccess maakt gebruik van IPv6 met IPsec om een beveiligde verbinding te maken tussen DirectAccess-clientcomputers en het interne bedrijfsnetwerk. DirectAccess vereist echter geen verbinding met het IPv6-internet of systeemeigen IPv6-ondersteuning op interne netwerken. In plaats daarvan worden IPv6-overgangstechnologieën automatisch geconfigureerd en gebruikt om IPv6-verkeer via het IPv4-internet te tunnelen (met behulp van 6to4, Teredo of IP-HTTPS) en via uw intranet met IPv4 (met behulp van NAT64 of ISATAP). Zie de volgende bronnen voor een overzicht van deze overgangstechnologieën:
Configureer de vereiste adapters en adressen volgens de volgende tabel. Voor implementaties die één netwerkadapter gebruiken en zich achter een NAT-apparaat bevinden, configureert u uw IP-adressen met behulp van alleen de interne netwerkadapter kolom.
Beschrijving Externe netwerkadapter Interne netwerkadapter Routeringsvereisten IPv4 Internet en IPv4-intranet Configureer twee statische opeenvolgende openbare IPv4-adressen met de juiste subnetmaskers (alleen vereist voor Teredo).
Configureer ook het IPv4-standaardadres van uw internetfirewall of lokale ISP-router (Internet Service Provider). Opmerking: De DirectAccess-server vereist twee opeenvolgende openbare IPv4-adressen, zodat deze kan fungeren als een Teredo-server en Windows-clients de DirectAccess-server kunnen gebruiken om het type NAT-apparaat te detecteren dat ze achter zich hebben.Configureer het volgende:
- Een IPv4-intranetadres met het juiste subnetmasker.
- Het verbindingsspecifieke DNS-achtervoegsel van uw intranetnaamruimte. Er moet ook een DNS-server worden geconfigureerd op de interne interface. Waarschuwing: configureer geen standaardgateway op intranetinterfaces.Ga als volgt te werk om de DirectAccess-server zo te configureren dat alle subnetten op het interne IPv4-netwerk worden bereikt:
- Vermeld de IPv4-adresruimten voor alle locaties op uw intranet.
- Gebruik de route add -p of de netsh interface ipv4 add route opdracht om de IPv4-adresruimten toe te voegen als statische routes in de IPv4-routeringstabel van de DirectAccess-server.IPv6-internet en IPv6-intranet Configureer het volgende:
- Gebruik de adresconfiguratie die wordt geleverd door uw internetprovider.
- Gebruik de opdracht Route Print om ervoor te zorgen dat er een standaard-IPv6-route bestaat en deze verwijst naar de internetprovider-router in de IPv6-routeringstabel.
- Bepaal of de internetprovider en intranetrouters gebruikmaken van de standaardroutervoorkeuren die worden beschreven in RFC 4191 en gebruik maken van een hogere standaardvoorkeur dan uw lokale intranetrouters.
Als beide waar zijn, is er geen andere configuratie vereist voor de standaardroute. De hogere voorkeur voor de ISP-router zorgt ervoor dat de actieve standaard-IPv6-route van de DirectAccess-server verwijst naar het IPv6-internet.
Omdat de DirectAccess-server een IPv6-router is, kan de internetinterface ook de domeincontrollers op het intranet bereiken als u een systeemeigen IPv6-infrastructuur hebt. In dit geval voegt u pakketfilters toe aan de domeincontroller in het perimeternetwerk die connectiviteit met het IPv6-adres van de internetgerichte interface van de DirectAccess-server verhinderen.Configureer het volgende:
- Als u niet de standaardvoorkeurniveaus gebruikt, kunt u uw intranetinterfaces configureren met behulp van de volgende opdrachtnetsh interface ipv6 InterfaceIndex ignoredefaultroutes=enabled.
Met deze opdracht zorgt u ervoor dat aanvullende standaardroutes die naar intranetrouters verwijzen, niet worden toegevoegd aan de IPv6-routeringstabel. U kunt de interface-index van uw intranetinterfaces verkrijgen met behulp van de volgende opdracht: netsh interface ipv6 show interface.Als u een IPv6-intranet hebt, gaat u als volgt te werk om de DirectAccess-server zo te configureren dat alle IPv6-locaties worden bereikt:
- Vermeld de IPv6-adresruimten voor alle locaties op uw intranet.
- Gebruik de opdracht netsh interface ipv6 add route opdracht om de IPv6-adresruimten toe te voegen als statische routes in de IPv6-routeringstabel van de DirectAccess-server.IPv4-internet en IPv6-intranet De DirectAccess-server stuurt standaard IPv6-verkeer via de Microsoft 6to4-adapter door naar een 6to4-relay op het IPv4-internet. U kunt een DirectAccess-server configureren voor het IPv4-adres van de Microsoft 6to4-adapter met behulp van de volgende opdracht: netsh interface ipv6 6to4 set relay name=<ipaddress> state=enabled.Notitie
- Als aan de DirectAccess-client een openbaar IPv4-adres is toegewezen, wordt de 6to4-overgangstechnologie gebruikt om verbinding te maken met het intranet. Als er een privé-IPv4-adres is toegewezen, wordt Teredo gebruikt. Als de DirectAccess-client geen verbinding kan maken met de DirectAccess-server met 6to4 of Teredo, wordt IP-HTTPS gebruikt.
- Als u Teredo wilt gebruiken, moet u twee opeenvolgende IP-adressen configureren op de externe netwerkadapter.
- U kunt Teredo niet gebruiken als de DirectAccess-server slechts één netwerkadapter heeft.
- Systeemeigen IPv6-clientcomputers kunnen verbinding maken met de DirectAccess-server via systeemeigen IPv6 en er is geen overgangstechnologie vereist.
1.1.2 IPv6-intranetconnectiviteit plannen
Voor het beheren van externe DirectAccess-clients is IPv6 vereist. Met IPv6 kunnen DirectAccess-beheerservers verbinding maken met DirectAccess-clients die zich op internet bevinden voor extern beheer.
Notitie
- Het gebruik van IPv6 op uw netwerk is niet vereist om verbindingen te ondersteunen die door DirectAccess-clientcomputers worden geïnitieerd met IPv4-resources in uw organisatienetwerk. NAT64/DNS64 wordt voor dit doel gebruikt.
- Als u geen externe DirectAccess-clients beheert, hoeft u IPv6 niet te implementeren.
- Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) wordt niet ondersteund in DirectAccess-implementaties.
- Wanneer u IPv6 gebruikt, kunt u IPv6-hostbronrecordquery's (AAAA) voor DNS64 inschakelen met behulp van de volgende Windows PowerShell-opdracht: Set-NetDnsTransitionConfiguration -OnlySendAQuery $false.
1.1.3 Plannen voor geforceerde tunneling
Met IPv6 en de NRPT (Name Resolution Policy Table) scheiden DirectAccess-clients standaard hun intranet- en internetverkeer als volgt:
DNS-naamquery's voor volledig gekwalificeerde intranetdomeinnamen (FQDN's) en al het intranetverkeer wordt uitgewisseld via de tunnels die zijn gemaakt met de DirectAccess-server of rechtstreeks met intranetservers. Intranetverkeer van DirectAccess-clients is IPv6-verkeer.
DNS-naamquery's voor FQDN's die overeenkomen met uitzonderingsregels of die niet overeenkomen met de intranetnaamruimte, en al het verkeer naar internetservers, wordt uitgewisseld via de fysieke interface die is verbonden met internet. Internetverkeer van DirectAccess-clients is doorgaans IPv4-verkeer.
Sommige VPN-implementaties (Virtual Private Network) voor externe toegang, inclusief de VPN-client, verzenden daarentegen standaard al het intranet- en internetverkeer via de VPN-verbinding voor externe toegang. Internetverkeer wordt door de VPN-server doorgestuurd naar intranet-IPv4-webproxyservers voor toegang tot IPv4-internetbronnen. Het is mogelijk om het intranet- en internetverkeer voor VPN-clients voor externe toegang te scheiden met behulp van split tunneling. Dit omvat het configureren van de routeringstabel internetprotocol (IP) op VPN-clients, zodat verkeer naar intranetlocaties wordt verzonden via de VPN-verbinding en verkeer naar alle andere locaties wordt verzonden met behulp van de fysieke interface die is verbonden met internet.
U kunt DirectAccess-clients configureren om al hun verkeer via de tunnels naar de DirectAccess-server te verzenden met geforceerde tunneling. Wanneer geforceerde tunneling is geconfigureerd, detecteren DirectAccess-clients dat ze zich op internet bevinden en verwijderen ze hun standaard-IPv4-route. Met uitzondering van lokaal subnetverkeer is al het verkeer dat door de DirectAccess-client wordt verzonden IPv6-verkeer dat via tunnels naar de DirectAccess-server gaat.
Belangrijk
Als u van plan bent geforceerde tunneling te gebruiken of als u deze in de toekomst wilt toevoegen, moet u een configuratie van twee tunnels implementeren. Vanwege beveiligingsoverwegingen wordt geforceerde tunneling in één tunnelconfiguratie niet ondersteund.
Het inschakelen van geforceerde tunneling heeft de volgende gevolgen:
DirectAccess-clients gebruiken alleen Internet Protocol via Secure Hypertext Transfer Protocol (IP-HTTPS) om IPv6-connectiviteit met de DirectAccess-server via het IPv4-internet te verkrijgen.
De enige locaties die een DirectAccess-client standaard kan bereiken met IPv4-verkeer, zijn de locaties in het lokale subnet. Al het andere verkeer dat wordt verzonden door toepassingen en services die worden uitgevoerd op de DirectAccess-client, is IPv6-verkeer dat via de DirectAccess-verbinding wordt verzonden. Daarom kunnen IPv4-toepassingen op de DirectAccess-client niet worden gebruikt om internetbronnen te bereiken, behalve die in het lokale subnet.
Belangrijk
Voor geforceerde tunneling via DNS64 en NAT64 moet IPv6-internetverbinding worden geïmplementeerd. Een manier om dit te bereiken is door het IP-HTTPS voorvoegsel globaal routeerbaar te maken, zodat ipv6.msftncsi.com bereikbaar is via IPv6 en het antwoord van de internetserver naar de IP-HTTPS-clients kan terugkeren via de DirectAccess-server.
Omdat dit in de meeste gevallen niet haalbaar is, is de beste optie om virtuele NCSI-servers in het bedrijfsnetwerk als volgt te maken:
- Voeg een NRPT-vermelding voor ipv6.msftncsi.com toe en los deze op tegen DNS64 op een interne website (dit kan een IPv4-website zijn).
- Voeg een NRPT-vermelding toe voor dns.msftncsi.com en los deze op tegen een dns-server van het bedrijf om de IPv6-hostbronrecord fd3e:4f5a:5b81::1 te retourneren. (Het gebruik van DNS64 om alleen host (A) resourcerecordquery's voor deze FQDN uit te voeren, werkt mogelijk niet omdat het alleen is geconfigureerd in IPv4-implementaties. Daarom moet u het zo configureren dat het rechtstreeks wordt opgelost met de bedrijfs-DNS.)
1.2 Firewallvereisten plannen
Als de DirectAccess-server zich achter een randfirewall bevindt, zijn de volgende uitzonderingen vereist voor RAS-verkeer wanneer de DirectAccess-server zich op het IPv4-internet bevindt:
Teredo traffic-User Datagram Protocol (UDP) doelpoort 3544 inkomend en UDP-bronpoort 3544 uitgaand.
6to4-verkeer-IP Protocol 41 inkomend en uitgaand.
IP-HTTPS-Transmission Control Protocol (TCP) bestemmingpoort 443, en TCP-bronpoort 443 uitgaand.
Als u Externe toegang met één netwerkadapter implementeert en de netwerklocatieserver op de DirectAccess-server installeert, moet tcp-poort 62000 ook worden uitgesloten.
Notitie
Deze uitzondering bevindt zich op de DirectAccess-server en alle andere uitzonderingen bevinden zich op de randfirewall.
Voor Teredo- en 6to4-verkeer moeten deze uitzonderingen worden toegepast op beide internetgerichte opeenvolgende openbare IPv4-adressen op de DirectAccess-server. Voor IP-HTTPS moeten de uitzonderingen worden toegepast op het adres dat is geregistreerd op de openbare DNS-server.
De volgende uitzonderingen zijn vereist voor RAS-verkeer wanneer de DirectAccess-server zich op het IPv6-internet bevindt:
IP-protocol-ID 50
UDP-doelpoort 500 inkomend en UDP-bronpoort 500 uitgaand
Inkomend en uitgaand ICMPv6-verkeer (alleen bij gebruik van Teredo)
Wanneer u extra firewalls gebruikt, past u de volgende uitzonderingen voor de firewall van het interne netwerk toe voor RAS-verkeer:
ISATAP-Protocol 41 inkomend en uitgaand
TCP/UDP voor alle IPv4- en IPv6-verkeer
ICMP voor al het IPv4- en IPv6-verkeer (alleen bij gebruik van Teredo)
1.3 Certificaatvereisten plannen
Er zijn drie scenario's die certificaten vereisen wanneer u één DirectAccess-server implementeert:
- stap 1 De geavanceerde DirectAccess-infrastructuur plannen
De certificeringsinstantievereisten (CA) voor elk scenario worden samengevat in de volgende tabel.
| IPsec-verificatie | IP-HTTPS server | Netwerklocatieserver |
|---|---|---|
| Een interne CA is vereist om computercertificaten uit te geven aan de DirectAccess-server en -clients voor IPsec-verificatie wanneer u de Kerberos-proxy niet gebruikt voor verificatie | Interne CA: U kunt een interne CA gebruiken om het IP-HTTPS-certificaat uit te geven; U moet er echter voor zorgen dat het CRL-distributiepunt extern beschikbaar is. |
Interne CA: U kunt een interne CA gebruiken om het websitecertificaat van de netwerklocatieserver uit te geven. Zorg ervoor dat het CRL-distributiepunt hoge beschikbaarheid van het interne netwerk heeft. |
| Zelfondertekend certificaat: U kunt een zelfondertekend certificaat gebruiken voor de IP-HTTPS-server; U moet er echter voor zorgen dat het CRL-distributiepunt extern beschikbaar is. Een zelfondertekend certificaat kan niet worden gebruikt in implementaties met meerdere locaties. |
Zelfondertekend certificaat: U kunt een zelfondertekend certificaat gebruiken voor de website van de netwerklocatieserver. Een zelfondertekend certificaat kan niet worden gebruikt in implementaties met meerdere locaties. |
|
|
Aanbevolen Openbare CA: Het is raadzaam om een openbare CA te gebruiken om het IP-HTTPS-certificaat uit te geven. Dit zorgt ervoor dat het CRL-distributiepunt extern beschikbaar is. |
1.3.1 Computercertificaten plannen voor IPsec-verificatie
Als u IPsec-verificatie op basis van certificaten gebruikt, zijn de DirectAccess-server en -clients vereist om een computercertificaat te verkrijgen. De eenvoudigste manier om de certificaten te installeren, is door op groepsbeleid gebaseerde automatische inschrijving voor computercertificaten te configureren. Dit zorgt ervoor dat alle domeinleden een certificaat van een ca voor ondernemingen verkrijgen. Zie Active Directory Certificate Services-als u geen ondernemings-CA hebt ingesteld in uw organisatie.
Dit certificaat heeft de volgende vereisten:
Het certificaat moet een uitgebreid sleutelgebruik (EKU) voor clientauthenticatie hebben.
Het clientcertificaat en het servercertificaat moeten worden gekoppeld aan hetzelfde basiscertificaat. Dit basiscertificaat moet worden geselecteerd in de Configuratie-instellingen van DirectAccess.
1.3.2 Certificaten plannen voor IP-HTTPS
De DirectAccess-server fungeert als een IP-HTTPS-listener en u moet handmatig een HTTPS-websitecertificaat op de server installeren. Houd rekening met het volgende wanneer u van plan bent:
Het gebruik van een openbare CA wordt aanbevolen, zodat certificaatintrekkingslijsten (CRL's) direct beschikbaar zijn.
Geef in het veld Onderwerp het IPv4-adres op van de internetadapter van de DirectAccess-server of de FQDN-naam van de IP-HTTPS-URL (het ConnectTo-adres). Als de DirectAccess-server zich achter een NAT-apparaat bevindt, moet de openbare naam of het adres van het NAT-apparaat worden opgegeven.
De algemene naam van het certificaat moet overeenkomen met de naam van de IP-HTTPS-site.
Gebruik voor het veld Enhanced Key Usage de OID (Server Authentication Object Identifier).
Geef voor het veld CRL-distributiepunten een CRL-distributiepunt op dat toegankelijk is voor DirectAccess-clients die zijn verbonden met internet.
Het IP-HTTPS-certificaat moet een persoonlijke sleutel hebben.
Het IP-HTTPS-certificaat moet rechtstreeks in de persoonlijke store worden geïmporteerd.
IP-HTTPS certificaten kunnen jokertekens bevatten in de naam.
Als u van plan bent IP-HTTPS te gebruiken op een niet-standaardpoort, voert u de volgende stappen uit op de DirectAccess-server:
Verwijder de bestaande certificaatbinding voor 0.0.0.0:443 en vervang deze door een certificaatbinding voor de door u gekozen poort. In dit voorbeeld wordt poort 44500 gebruikt. Voordat u de certificaatbinding verwijdert, moet u de appidweergeven en kopiëren.
Als u de certificaatbinding wilt verwijderen, voert u het volgende in:
netsh http delete ssl ipport=0.0.0.0:443Als u de nieuwe certificaatbinding wilt toevoegen, voert u het volgende in:
netsh http add ssl ipport=0.0.0.0:44500 certhash=<use the thumbprint from the DirectAccess server SSL cert> appid=<use the appid from the binding that was deleted>
Als u de IP-HTTPS-URL op de server wilt wijzigen, voert u het volgende in:
Netsh int http set int url=https://<DirectAccess server name (for example server.contoso.com)>:44500/IPHTTPSNet stop iphlpsvc & net start iphlpsvcWijzig de URL-reservering voor kdcproxy.
Als u de bestaande URL-reservering wilt verwijderen, voert u het volgende in:
netsh http del urlacl url=https://+:443/KdcProxy/Als u een nieuwe URL-reservering wilt toevoegen, voert u het volgende in:
netsh http add urlacl url=https://+:44500/KdcProxy/ sddl=D:(A;;GX;;;NS)
Voeg de instelling toe om kppsvc te laten luisteren op een niet-standaardpoort. Voer het volgende in om de registervermelding toe te voegen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KPSSVC\Settings /v HttpsUrlGroup /t REG_MULTI_SZ /d +:44500 /fAls u de kdcproxy-service opnieuw wilt starten op de domeincontroller, voert u het volgende in:
net stop kpssvc & net start kpssvc
Als u IP-HTTPS wilt gebruiken op een niet-standaardpoort, voert u de volgende stappen uit op de domeincontroller:
Wijzig de IP-HTTPS-instelling in het groepsbeleidsobject van de client.
Open de groepsbeleid-editor.
Navigeer naar Computerconfiguratie=>Policies=>Beheersjablonen=> Network=>TCPIP-instellingen =>IPv6-overgangstechnologieën.
Open de IP-HTTPS statusinstelling en wijzig de URL in https://<DirectAccess-servernaam (bijvoorbeeld server.contoso.com)>:44500/IPHTTPS-.
Klik op Toepassen.
Wijzig de Kerberos-proxyclientinstellingen in het groepsbeleidsobject van de client.
Navigeer in de groepsbeleidseditor naar Computerconfiguratie=>Policies=>Administrative Templates=> System=>Kerberos => Geef de KDC-proxyservers voor Kerberos-clients op.
Open de instelling IPHTTPS-status en wijzig de URL in https://<DirectAccess-servernaam (bijvoorbeeld server.contoso.com)>:44500/IPHTTPS-.
Klik op Toepassen.
Wijzig de client-IPsec-beleidsinstellingen om ComputerKerb en UserKerb te gebruiken.
Navigeer in de editor groepsbeleid naar Computerconfiguratie =>Beleid => Windows-instellingen => Beveiligingsinstellingen => Windows Firewall met geavanceerde beveiliging.
Klik op beveiligingsregels voor verbindingenen dubbelklik vervolgens op IPsec-regel.
Klik op het tabblad Authentication op Advanced.
Voor Auth1: Verwijder de bestaande verificatiemethode en vervang deze door ComputerKerb. Voor Auth2: verwijder de bestaande verificatiemethode en vervang deze door UserKerb.
Klik op toepassen en OK.
Als u het handmatige proces voor het gebruik van een IP-HTTPS niet-standaardpoort wilt voltooien, voert u gpupdate /force uit op de clientcomputers en de DirectAccess-server.
1.3.3 Websitecertificaten plannen voor de netwerklocatieserver
Houd rekening met het volgende wanneer u de website van de netwerklocatieserver plant:
Geef in het veld Onderwerp het IP-adres op van de intranetinterface van de netwerklocatieserver of de FQDN-naam van de netwerklocatie-URL.
Gebruik in het veld Uitgebreid sleutelgebruik de serververificatie-OID.
Gebruik in het veld CRL-distributiepunten een CRL-distributiepunt dat toegankelijk is voor DirectAccess-clients die zijn verbonden met het intranet. Dit CRL-distributiepunt mag niet toegankelijk zijn van buiten het interne netwerk.
Als u later van plan bent om een implementatie met meerdere locaties of clusters te configureren, moet de naam van het certificaat niet overeenkomen met de interne naam van een DirectAccess-server die wordt toegevoegd aan de implementatie.
Notitie
Zorg ervoor dat de certificaten voor IP-HTTPS en de netwerklocatieserver een onderwerpnaam hebben. Als het certificaat geen onderwerpnaamheeft, maar wel een alternatieve naam heeft, wordt het niet geaccepteerd door de wizard Externe toegang.
1.4 DNS-vereisten plannen
In deze sectie worden de DNS-vereisten voor DirectAccess-clientaanvragen en infrastructuurservers in een RAS-implementatie uitgelegd. Het bevat de volgende subsecties:
DirectAccess-clientaanvragen
DNS wordt gebruikt om aanvragen van DirectAccess-clientcomputers op te lossen die zich niet in het interne (of bedrijfsnetwerk) bevinden. DirectAccess-clients proberen verbinding te maken met de DirectAccess-netwerklocatieserver om te bepalen of ze zich op internet of op het interne netwerk bevinden.
Als de verbinding is geslaagd, worden clients geïdentificeerd als zich in het interne netwerk bevinden, wordt DirectAccess niet gebruikt en worden clientaanvragen omgezet met behulp van de DNS-server die is geconfigureerd op de netwerkadapter van de clientcomputer.
Als de verbinding niet lukt, wordt ervan uitgegaan dat clients zich op internet bevinden en DirectAccess-clients de NRPT (Name Resolution Policy Table) gebruiken om te bepalen welke DNS-server moet worden gebruikt bij het omzetten van naamaanvragen.
U kunt specificeren dat clients DirectAccess DNS64 gebruiken om namen op te lossen, of een alternatieve interne DNS-server gebruiken. Bij het uitvoeren van naamomzetting wordt de NRPT door DirectAccess-clients gebruikt om te bepalen hoe een aanvraag moet worden verwerkt. Clients vragen een FQDN- of naam met één label aan, zoals https://internal. Als er een naam met één label wordt aangevraagd, wordt er een DNS-achtervoegsel toegevoegd om een FQDN te maken. Als de DNS-query overeenkomt met een vermelding in de NRPT en DNS64 of een DNS-server in het interne netwerk is opgegeven voor de vermelding, wordt de query verzonden voor naamomzetting met behulp van de opgegeven server. Als er een overeenkomst bestaat, maar er geen DNS-server is opgegeven, geeft dit een uitzonderingsregel aan en wordt de normale naamresolutie toegepast.
Notitie
Houd er rekening mee dat wanneer een nieuw achtervoegsel wordt toegevoegd aan de NRPT in de beheerconsole voor externe toegang, de standaard-DNS-servers voor het achtervoegsel automatisch kunnen worden gedetecteerd door te klikken op Detecteren.
Automatische detectie werkt als volgt:
Als het bedrijfsnetwerk IPv4 is of IPv4 en IPv6 gebruikt, is het standaardadres het DNS64-adres van de interne adapter op de DirectAccess-server.
Als het bedrijfsnetwerk is gebaseerd op IPv6, is het standaardadres het IPv6-adres van DNS-servers in het bedrijfsnetwerk.
Notitie
Vanaf de Update van Windows 10 mei 2020 registreert een client de IP-adressen niet meer op DNS-servers die zijn geconfigureerd in een NRPT (Name Resolution Policy Table). Als DNS-registratie nodig is, bijvoorbeeld Manage Out, kan dit expliciet worden ingeschakeld met deze registersleutel op de client:
Pad: HKLM\System\CurrentControlSet\Services\Dnscache\Parameters
Typ: DWORD
Waardenaam: DisableNRPTForAdapterRegistration
Waarden:
1 : DNS-registratie is uitgeschakeld (standaard sinds de Windows 10-update van mei 2020)
0 - DNS-registratie ingeschakeld
Infrastructuurservers
netwerklocatieserver
DirectAccess-clients proberen de netwerklocatieserver te bereiken om te bepalen of ze zich in het interne netwerk bevinden. Clients in het interne netwerk moeten de naam van de netwerklocatieserver kunnen omzetten, maar ze moeten worden verhinderd om de naam om te zetten wanneer ze zich op het Internet bevinden. Om ervoor te zorgen dat dit gebeurt, wordt standaard de FQDN-naam van de netwerklocatieserver toegevoegd als een uitzonderingsregel aan de NRPT. Wanneer u Externe toegang configureert, worden bovendien automatisch de volgende regels gemaakt:
Een DNS-achtervoegselregel voor het hoofddomein of de domeinnaam van de DirectAccess-server en de IPv6-adressen die overeenkomen met het DNS64-adres. In IPv6-bedrijfsnetwerken worden de intranet-DNS-servers geconfigureerd op de DirectAccess-server. Als de DirectAccess-server bijvoorbeeld lid is van het corp.contoso.com-domein, wordt er een regel gemaakt voor het corp.contoso.com DNS-achtervoegsel.
Een uitzonderingsregel voor de FQDN van de netwerklocatieserver. Als de URL van de netwerklocatieserver bijvoorbeeld https://nls.corp.contoso.comis, wordt er een uitzonderingsregel gemaakt voor de FQDN nls.corp.contoso.com.
IP-HTTPS server
De DirectAccess-server fungeert als een IP-HTTPS-listener en gebruikt het servercertificaat om te verifiëren bij IP-HTTPS clients. De IP-HTTPS naam moet kunnen worden omgezet door DirectAccess-clients die gebruikmaken van openbare DNS-servers.
Controle van intrekking van CRL
DirectAccess gebruikt certificaatintrekkingscontrole voor de IP-HTTPS verbinding tussen DirectAccess-clients en de DirectAccess-server, en voor de HTTPS-gebaseerde verbinding tussen de DirectAccess-client en de netwerklocatieserver. In beide gevallen moeten DirectAccess-clients de locatie van het CRL-distributiepunt kunnen adresseren en benaderen.
ISATAP-
MET ISATAP kunnen bedrijfscomputers een IPv6-adres verkrijgen en worden IPv6-pakketten in een IPv4-header ingekapseld. Deze wordt gebruikt door de DirectAccess-server om IPv6-connectiviteit te bieden met ISATAP-hosts in een intranet. In een niet-systeemeigen IPv6-netwerkomgeving configureert de DirectAccess-server zichzelf automatisch als een ISATAP-router.
Omdat ISATAP niet meer wordt ondersteund in DirectAccess, moet u ervoor zorgen dat uw DNS-servers niet zijn geconfigureerd om te reageren op ISATAP-query's. De DNS Server-service blokkeert standaard naamomzetting voor de ISATAP-naam via de dns Global Query Block List. Verwijder de ISATAP-naam niet uit de algemene lijst met queryblokkeringen.
Connectiviteitsverificatoren
Externe toegang maakt een standaard webprobe die door DirectAccess-clientcomputers wordt gebruikt om de verbinding met het interne netwerk te controleren. Om ervoor te zorgen dat de test werkt zoals verwacht, moeten de volgende namen handmatig worden geregistreerd in DNS:
directaccess-webprobehost-Moet verwijzen naar het interne IPv4-adres van de DirectAccess-server, of naar het IPv6-adres in een IPv6-only omgeving.
directaccess-corpconnectivityhost-Moet worden omgezet in het adres van de lokale host (loopback). De volgende hostbronrecords (A) en (AAAA) moeten worden gemaakt: een hostresourcerecord (A) met de waarde 127.0.0.1 en een hostresourcerecord (AAAA) met een waarde die is samengesteld uit het NAT64-voorvoegsel met de laatste 32 bits als 127.0.0.1. Het NAT64-voorvoegsel kan worden opgehaald door de Windows PowerShell-opdracht uit te voeren get-netnattransitionconfiguration.
Notitie
Dit is alleen geldig in een IPv4-omgeving. In een IPv4 plus IPv6- of een IPv6-omgeving moet alleen een hostresourcerecord (AAAA) worden gemaakt met het loopback-IP-adres ::1.
U kunt extra connectiviteitsverificatoren maken met behulp van andere webadressen via HTTP of door ping-te gebruiken. Voor elke connectiviteitsverificator moet er een DNS-vermelding bestaan.
1.4.1 Plannen voor vereisten voor DNS-servers
Hieronder vindt u de vereisten voor DNS wanneer u DirectAccess implementeert.
Voor DirectAccess-clients moet u een DNS-server gebruiken met Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 of een andere DNS-server die IPv6 ondersteunt.
Notitie
Het wordt niet aanbevolen om DNS-servers met Windows Server 2003 te gebruiken wanneer u DirectAccess implementeert. Hoewel DNS-servers van Windows Server 2003 IPv6-records ondersteunen, wordt Windows Server 2003 niet meer ondersteund door Microsoft. Bovendien moet u DirectAccess niet implementeren als op uw domeincontrollers Windows Server 2003 wordt uitgevoerd vanwege een probleem met de File Replication-service. Zie DirectAccess Niet-ondersteunde configuratiesvoor meer informatie.
Gebruik een DNS-server die dynamische updates ondersteunt. U kunt DNS-servers gebruiken die geen dynamische updates ondersteunen, maar u moet vermeldingen op deze servers handmatig bijwerken.
De FQDN voor uw via internet toegankelijke CRL-distributiepunten moet kunnen worden omgezet met behulp van Internet DNS-servers. Als de URL https://crl.contoso.com/crld/corp-DC1-CA.crl zich bijvoorbeeld in het veld CRL-distributiepunten van het certificaat IP-HTTPS van de DirectAccess-server bevindt, moet u ervoor zorgen dat de FQDN crld.contoso.com kan worden opgelost met behulp van Internet-DNS-servers.
1.4.2 Plannen voor lokale naamomzetting
Houd rekening met de volgende problemen wanneer u lokale naamomzetting plant:
NRPT-
Mogelijk moet u in de volgende gevallen aanvullende NRPT-regels maken:
Als u meer DNS-achtervoegsels wilt toevoegen voor uw intranetnaamruimte.
Als de FQDN(Fully Qualified Domain Name) van uw CRL-distributiepunten zijn gebaseerd op uw intranetnaamruimte, moet u uitzonderingsregels toevoegen voor de FQDN's van de CRL-distributiepunten.
Als u een split-brain DNS-omgeving hebt, moet u uitzonderingsregels toevoegen voor de namen van resources waarvoor u DirectAccess-clients op internet toegang wilt geven tot de internetversie in plaats van de intranetversie.
Als u verkeer omleidt naar een externe website via uw intranetwebproxyservers, is de externe website alleen beschikbaar via het intranet en worden de adressen van uw webproxyservers gebruikt om binnenkomende aanvragen toe te staan. In dit geval voegt u een uitzonderingsregel toe voor de FQDN van de externe website en geeft u op dat de regel uw intranetwebproxyserver gebruikt in plaats van de IPv6-adressen van intranet-DNS-servers.
Als u bijvoorbeeld een externe website test met de naam test.contoso.com, kan deze naam niet worden omgezet via internet-DNS-servers, maar weet de Contoso-webproxyserver hoe de naam moet worden omgezet en om aanvragen voor de website naar de externe webserver te leiden. Om te voorkomen dat gebruikers die zich niet op het Intranet van Contoso bevinden toegang hebben tot de site, staat de externe website aanvragen alleen toe via het IPv4-internetadres van de Contoso-webproxy. Intranetgebruikers hebben dus toegang tot de website omdat ze de Contoso-webproxy gebruiken, maar DirectAccess-gebruikers hebben er geen toegang toe omdat ze de Contoso-webproxy niet gebruiken. Door een NRPT-uitzonderingsregel te configureren voor test.contoso.com die gebruikmaakt van de Contoso-webproxy, worden webpaginaaanvragen voor test.contoso.com doorgestuurd naar de intranetwebproxyserver via het IPv4-internet.
enkelvoudige labelnamen
Namen van één label, zoals https://paycheck, worden soms gebruikt voor intranetservers. Als er één labelnaam wordt aangevraagd en er een zoeklijst voor DNS-achtervoegsels is geconfigureerd, worden de DNS-achtervoegsels in de lijst toegevoegd aan de naam van één label. Wanneer een gebruiker op een computer die lid is van het corp.contoso.com-domein https://paycheck in de webbrowser typt, wordt de FQDN die wordt samengesteld, paycheck.corp.contoso.com. Standaard is het toegevoegde achtervoegsel gebaseerd op het primaire DNS-achtervoegsel van de clientcomputer.
Notitie
In een scenario met niet-aaneengesloten naamruimte (waarbij een of meer domeincomputers een DNS-achtervoegsel hebben dat niet overeenkomt met het Active Directory-domein waartoe de computers behoren), moet u ervoor zorgen dat de zoeklijst is aangepast om alle vereiste achtervoegsels op te nemen. Standaard configureert de wizard Externe toegang de DNS-naam van Active Directory als het primaire DNS-achtervoegsel op de client. Zorg ervoor dat u het DNS-achtervoegsel toevoegt dat door clients wordt gebruikt voor naamsresolutie.
Als er meerdere domeinen en WINDOWS Internet Name Service (WINS) in uw organisatie worden geïmplementeerd en u op afstand verbinding maakt, kunnen enkelvoudige namen als volgt worden omgezet:
Implementeer een WINS-zone voor forward lookup in de DNS. Wanneer u computername.dns.zone1.corp.contoso.com probeert op te lossen, wordt de aanvraag omgeleid naar de WINS-server die alleen computernaam gebruikt. De client denkt dat het een reguliere DNS-hostbronrecord (A) uitgeeft, maar het is eigenlijk een NetBIOS-aanvraag. Zie Een forward lookup-zone beheren voor meer informatie.
Voeg een DNS-achtervoegsel toe, bijvoorbeeld dns.zone1.corp.contoso.com, aan het GPO van het standaarddomeinbeleid.
Split-brain DNS
Split-brain DNS is het gebruik van hetzelfde DNS-domein voor internet- en intranetnaamomzetting.
Voor split-brain DNS-implementaties moet u de FQDN's vermelden die zowel op het internet als op het intranet worden gedupliceerd. U moet beslissen welke versie van de resources – de intranet- of de internetversie – de DirectAccess-client moet benaderen. Voor elke naam die overeenkomt met een resource waarvoor DirectAccess-clients de internetversie moeten bereiken, moet u de bijbehorende FQDN als uitzonderingsregel toevoegen aan de NRPT voor uw DirectAccess-clients.
Als u in een split-brain DNS-omgeving wilt dat beide versies van de resource beschikbaar zijn, configureert u uw intranetresources met alternatieve namen, die geen duplicaten zijn van de namen die op internet worden gebruikt en geeft u uw gebruikers de opdracht om de alternatieve naam te gebruiken op het intranet. Configureer bijvoorbeeld de alternatieve naam www.internal.contoso.com voor de interne naam www.contoso.com.
In een niet-split-brain DNS-omgeving verschilt de internetnaamruimte van de intranetnaamruimte. Contoso Corporation gebruikt bijvoorbeeld contoso.com op internet en corp.contoso.com op het intranet. Omdat alle intranetbronnen gebruikmaken van het corp.contoso.com DNS-achtervoegsel, stuurt de NRPT-regel voor corp.contoso.com alle DNS-naamquery's voor intranetbronnen naar intranet-DNS-servers. DNS-naamquery's voor namen met het achtervoegsel contoso.com komen niet overeen met de corp.contoso.com intranetnaamruimteregel in de NRPT en worden verzonden naar internet-DNS-servers. Met een niet-split-brain DNS-implementatie, omdat er geen duplicatie van FQDN's voor intranet- en internetbronnen is, is er geen extra configuratie nodig voor de NRPT. DirectAccess-clients hebben toegang tot zowel internet- als intranetbronnen voor de organisatie.
Lokale naamomzettingsgedrag voor DirectAccess-clients
Als een naam niet kan worden omgezet met DNS, kan de DNS-clientservice in Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 en Windows 7 de naam oplossen op het lokale subnet door gebruik te maken van lokale naamomzetting, met de protocollen Link-Local Multicast Name Resolution (LLMNR) en NetBIOS via TCP/IP.
Lokale naamomzetting is doorgaans nodig voor peer-to-peer-connectiviteit wanneer de computer zich op privénetwerken bevindt, zoals één subnet-thuisnetwerken. Wanneer de DNS-clientservice lokale naamomzetting uitvoert voor intranetservernamen en de computer is verbonden met een gedeeld subnet op internet, kunnen kwaadwillende gebruikers LLMNR- en NetBIOS-berichten vastleggen via TCP/IP-berichten om intranetservernamen te bepalen. Op de DNS-pagina van de wizard voor het instellen van de infrastructuurserver configureert u het gedrag voor lokale naamomzetting op basis van de ontvangen antwoordtypen van intranet-DNS-servers. De volgende opties zijn beschikbaar:
Lokale naamomzetting gebruiken als de naam niet bestaat in DNS-. Deze optie is het veiligst omdat de DirectAccess-client alleen lokale naamomzetting uitvoert voor servernamen die niet kunnen worden omgezet door intranet-DNS-servers. Als de intranet-DNS-servers kunnen worden bereikt, worden de namen van intranetservers omgezet. Als de intranet-DNS-servers niet kunnen worden bereikt of als er andere typen DNS-fouten zijn, worden de namen van de intranetservers niet via lokale naamomzetting naar het subnet gelekt.
Lokale naamomzetting gebruiken als de naam niet bestaat in DNS- of DNS-servers niet bereikbaar zijn wanneer de clientcomputer zich in een particulier netwerk bevindt (aanbevolen). Deze optie wordt aanbevolen omdat het gebruik van lokale naamomzetting op een privénetwerk alleen is toegestaan wanneer de intranet-DNS-servers niet bereikbaar zijn.
Lokale naamomzetting gebruiken voor elk type DNS-omzettingsfout (minst veilig). Dit is de minst veilige optie omdat de namen van intranetnetwerkservers via lokale naamomzetting naar het lokale subnet kunnen worden gelekt.
1.5 Plan de netwerklocatieserver
De netwerklocatieserver is een website die wordt gebruikt om te detecteren of DirectAccess-clients zich in het bedrijfsnetwerk bevinden. Clients in het bedrijfsnetwerk gebruiken DirectAccess niet om interne resources te bereiken, maar maken in plaats daarvan rechtstreeks verbinding.
De website van de netwerklocatieserver kan worden gehost op de DirectAccess-server of op een andere server in uw organisatie. Als u de netwerklocatieserver op de DirectAccess-server host, wordt de website automatisch gemaakt wanneer u de RAS-serverfunctie installeert. Als u de netwerklocatieserver host op een andere server in uw organisatie waarop een Windows-besturingssysteem wordt uitgevoerd, moet u ervoor zorgen dat Internet Information Services (IIS) op die server is geïnstalleerd en dat de website wordt gemaakt. DirectAccess configureert geen instellingen op een externe netwerklocatieserver.
Zorg ervoor dat de website van de netwerklocatieserver voldoet aan de volgende vereisten:
Het is een website met een HTTPS-servercertificaat.
DirectAccess-clientcomputers moeten de CA vertrouwen die het servercertificaat heeft uitgegeven aan de website van de netwerklocatieserver.
DirectAccess-clientcomputers in het interne netwerk moeten de naam van de serversite van de netwerklocatie kunnen oplossen.
De site van de netwerklocatieserver moet hoge beschikbaarheid hebben voor computers in het interne netwerk.
De netwerklocatieserver mag niet toegankelijk zijn voor DirectAccess-clientcomputers op internet.
Het servercertificaat moet worden gecontroleerd op basis van een CRL.
1.5.1 Certificaten plannen voor de netwerklocatieserver
Houd rekening met het volgende wanneer u het websitecertificaat voor gebruik voor de netwerklocatieserver verkrijgt:
Geef in het veld Onderwerp een IP-adres op van de intranetinterface van de netwerklocatieserver of de FQDN-naam van de NETWERKlocatie-URL.
Gebruik in het veld Uitgebreid sleutelgebruik de serververificatie-OID.
Gebruik in het veld CRL-distributiepunten een CRL-distributiepunt dat toegankelijk is voor DirectAccess-clients die zijn verbonden met het intranet. Dit CRL-distributiepunt mag niet toegankelijk zijn van buiten het interne netwerk.
1.5.2 DNS plannen voor de netwerklocatieserver
DirectAccess-clients proberen de netwerklocatieserver te bereiken om te bepalen of ze zich in het interne netwerk bevinden. Clients op het interne netwerk moeten de naam van de netwerklocatieserver kunnen omzetten, maar de naam mag niet worden omgezet wanneer zij zich op het Internet bevinden. Om ervoor te zorgen dat dit gebeurt, wordt standaard de FQDN-naam van de netwerklocatieserver toegevoegd als een uitzonderingsregel aan de NRPT.
1.6 Beheerservers plannen
DirectAccess-clients starten communicatie met beheerservers die services bieden zoals Windows Update en antivirusupdates. DirectAccess-clients gebruiken ook het Kerberos-protocol om contact op te maken met domeincontrollers om te verifiëren voordat ze toegang krijgen tot het interne netwerk. Tijdens extern beheer van DirectAccess-clients communiceren beheerservers met clientcomputers om beheerfuncties zoals software- of hardware-inventarisevaluaties uit te voeren. Externe toegang kan automatisch bepaalde beheerservers detecteren, waaronder:
Domeincontrollers- Automatische detectie van domeincontrollers wordt uitgevoerd voor alle domeinen in hetzelfde forest als de DirectAccess-server en clientcomputers.
Microsoft Endpoint Configuration Manager-servers: automatische detectie van Configuration Manager-servers wordt uitgevoerd voor alle domeinen in hetzelfde forest als de DirectAccess-server en -clientcomputers.
Domeincontrollers en Configuration Manager-servers worden automatisch gedetecteerd wanneer DirectAccess voor het eerst is geconfigureerd. Gedetecteerde domeincontrollers worden niet weergegeven in de console, maar instellingen kunnen worden opgehaald met behulp van de Windows PowerShell-cmdlet Get-DAMgmtServer -Type Alle. Als de domeincontroller of de Configuration Manager-servers zijn gewijzigd, kunt u op Beheerservers vernieuwen klikken in de beheerconsole voor externe toegang om de lijst met beheerservers te vernieuwen.
vereisten voor beheerservers
Beheerservers moeten toegankelijk zijn via de eerste (infrastructuur)-tunnel. Wanneer u Externe toegang configureert, maakt het toevoegen van servers aan de lijst met beheerservers deze automatisch toegankelijk via deze tunnel.
Beheerservers die verbindingen met DirectAccess-clients initiëren, moeten IPv6 volledig ondersteunen door middel van een systeemeigen IPv6-adres of met behulp van een adres dat is toegewezen door ISATAP.
1.7 Planning van Active Directory-domeindiensten
In deze sectie wordt uitgelegd hoe DirectAccess gebruikmaakt van Active Directory Domain Services (AD DS) en bevat de volgende subsecties:
DirectAccess maakt als volgt gebruik van AD DS- en Active Directory-groepsbeleidsobjecten (GPO's):
verificatie
AD DS wordt gebruikt voor verificatie. De infrastructuurtunnel maakt gebruik van NTLMv2-verificatie voor het computeraccount dat verbinding maakt met de DirectAccess-server en het account moet worden vermeld in een Active Directory-domein. De intranettunnel maakt gebruik van Kerberos-verificatie voor de gebruiker om de tweede tunnel te maken.
groepsbeleidsobjecten
DirectAccess verzamelt configuratie-instellingen in groepsbeleidsobjecten die worden toegepast op DirectAccess-servers, -clients en interne toepassingsservers.
Beveiligingsgroepen
DirectAccess maakt gebruik van beveiligingsgroepen om DirectAccess-clientcomputers te verzamelen en te identificeren. De groepsbeleidsobjecten worden toegepast op de vereiste beveiligingsgroep.
uitgebreide IPsec-beleidsregels
DirectAccess kan IPsec-verificatie en -versleuteling tussen clients en de DirectAccess-server gebruiken. U kunt IPsec-verificatie en -versleuteling van de client uitbreiden naar de opgegeven interne toepassingsservers. Hiervoor voegt u de vereiste toepassingsservers toe aan een beveiligingsgroep.
AD DS-vereisten
Houd rekening met de volgende vereisten wanneer u AD DS plant voor een DirectAccess-implementatie:
Ten minste één domeincontroller moet worden geïnstalleerd met het besturingssysteem Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 of Windows Server 2008.
Als de domeincontroller zich in een perimeternetwerk bevindt (en daarom bereikbaar is vanaf de internetgerichte netwerkadapter van de DirectAccess-server), moet u voorkomen dat de DirectAccess-server deze bereikt door pakketfilters toe te voegen op de domeincontroller om verbinding met het IP-adres van de internetadapter te voorkomen.
De DirectAccess-server moet lid zijn van een domein.
DirectAccess-clients moeten domeinleden zijn. Clients kunnen deel uitmaken van:
Elk domein in hetzelfde forest als de DirectAccess-server.
Elk domein met een tweerichtingsvertrouwensrelatie met het DirectAccess-serverdomein.
Elk domein in een forest met een tweerichtingsvertrouwensrelatie met het forest waartoe het DirectAccess-domein behoort.
Notitie
- De DirectAccess-server kan geen domeincontroller zijn.
- De AD DS-domeincontroller die wordt gebruikt voor DirectAccess mag niet bereikbaar zijn vanaf de externe internetadapter van de DirectAccess-server (de adapter mag zich dus niet in het domeinprofiel van Windows Firewall bevinden).
1.7.1 Clientverificatie plannen
Met DirectAccess kunt u kiezen tussen het gebruik van certificaten voor IPsec-computerverificatie of een ingebouwde Kerberos-proxy die wordt geverifieerd met behulp van gebruikersnamen en wachtwoorden.
Bij het gebruik van Ad DS-referenties voor verificatie gebruikt DirectAccess één beveiligingstunnel die Computer Kerberos gebruikt voor de eerste verificatie en Gebruiker Kerberos voor de tweede verificatie. Wanneer u deze modus gebruikt voor verificatie, gebruikt DirectAccess één beveiligingstunnel die toegang biedt tot de DNS-server, de domeincontroller en andere servers in het interne netwerk.
Bij het gebruik van tweeledige verificatie of Netwerktoegangsbeveiliging gebruikt DirectAccess twee beveiligingstunnels. Met de wizard Externe toegang instellen configureert u Windows Firewall met geavanceerde beveiliging door verbindingsbeveiligingsregels te specificeren die het gebruik van de volgende typen aanmeldgegevens opgeven bij het onderhandelen over de IPsec-beveiligingsassociaties voor de tunnels naar de DirectAccess-server:
De infrastructuurtunnel maakt gebruik van Computer Kerberos-referenties voor de eerste verificatie en Gebruiker Kerberos voor de tweede verificatie.
De intranettunnel gebruikt computercertificaatreferenties voor de eerste verificatie en Gebruikers kerberos voor de tweede verificatie.
Wanneer DirectAccess ervoor kiest om toegang te verlenen tot clients met Windows 7 of in een implementatie met meerdere locaties, worden er twee beveiligingstunnels gebruikt. Met de wizard Externe toegang instellen configureert u Windows Firewall met geavanceerde beveiligingsregels voor de verbinding die het gebruik van de volgende typen referenties opgeven bij het onderhandelen over de IPsec-beveiligingskoppelingen voor de tunnels naar de DirectAccess-server:
De infrastructuurtunnel gebruikt computercertificaatreferenties voor de eerste verificatie en NTLMv2 voor de tweede verificatie. NTLMv2-referenties dwingen het gebruik van Geverifieerd Internet Protocol (AuthIP) af en ze bieden toegang tot een DNS-server en domeincontroller voordat de DirectAccess-client Kerberos-referenties voor de intranettunnel kan gebruiken.
De intranettunnel gebruikt computercertificaatreferenties voor de eerste verificatie en Gebruikers kerberos voor de tweede verificatie.
1.7.2 Meerdere domeinen plannen
De lijst met beheerservers moet domeincontrollers bevatten uit alle domeinen die beveiligingsgroepen bevatten die DirectAccess-clientcomputers bevatten. Het moet alle domeinen bevatten die gebruikersaccounts bevatten die computers kunnen gebruiken die zijn geconfigureerd als DirectAccess-clients. Dit zorgt ervoor dat gebruikers die zich niet in hetzelfde domein bevinden als de clientcomputer die ze gebruiken, worden geverifieerd met een domeincontroller in het gebruikersdomein. Dit gebeurt automatisch als domeinen zich in hetzelfde forest bevinden.
Notitie
Als er computers in de beveiligingsgroepen zijn die worden gebruikt voor clientcomputers of toepassingsservers in verschillende forests, worden de domeincontrollers van deze forests niet automatisch gedetecteerd. U kunt de taak uitvoeren Beheerservers vernieuwen in de beheerconsole voor externe toegang om deze domeincontrollers te detecteren.
Indien mogelijk moeten algemene domeinnaamachtervoegsels worden toegevoegd aan de NRPT (Name Resolution Policy Table) tijdens de implementatie van externe toegang. Als u bijvoorbeeld twee domeinen hebt, domain1.corp.contoso.com en domain2.corp.contoso.com, in plaats van twee vermeldingen toe te voegen aan de NRPT, kunt u een gemeenschappelijke VERMELDING voor DNS-achtervoegsel toevoegen, waarbij het achtervoegsel van de domeinnaam corp.contoso.com is. Dit gebeurt automatisch voor domeinen in dezelfde hoofdmap, maar domeinen die zich niet in dezelfde hoofdmap bevinden, moeten handmatig worden toegevoegd.
Als Windows Internet Name Service (WINS) is geïmplementeerd in een omgeving met meerdere domeinen, moet u een WINS-zone voor forward lookup implementeren in DNS. Voor meer informatie, zie namen van één label in de sectie 1.4.2 Plan voor lokale naamresolutie eerder in dit document.
1.8 Groepsbeleidsobjecten plannen
In deze sectie wordt de rol van groepsbeleidsobjecten (GPO's) in uw RAS-infrastructuur uitgelegd en bevat deze de volgende subsecties:
1.8.3 Groepsbeleidsobjecten beheren in een omgeving met meerdere domeincontrollers
1.8.4 GPO's voor externe toegang beheren met beperkte machtigingen
DirectAccess-instellingen die zijn geconfigureerd wanneer u Externe toegang configureert, worden verzameld in GPO's. De volgende soorten Group Policy Objects (GPO's) worden gevuld met DirectAccess-instellingen, en ze worden als volgt verspreid:
groepsbeleidsobject voor DirectAccess-client
Dit Groepsbeleidsobject bevat clientinstellingen, waaronder IPv6-overgangstechnologie-instellingen, NRPT-vermeldingen en Windows Firewall met geavanceerde beveiligingsregels. Het groepsbeleidsobject wordt toegepast op de beveiligingsgroepen die zijn opgegeven voor de clientcomputers.
groepsbeleidsobject voor DirectAccess-server
Dit groepsbeleidsobject bevat de DirectAccess-configuratie-instellingen die worden toegepast op elke server die is geconfigureerd als een DirectAccess-server in uw implementatie. Het bevat ook Windows Firewall met geavanceerde beveiligingsregels voor verbindingen.
groepsbeleidsobject voor toepassingsservers
Dit groepsbeleidsobject bevat instellingen voor geselecteerde toepassingsservers waarnaar u optioneel verificatie en versleuteling van DirectAccess-clients kunt uitbreiden. Als verificatie en versleuteling niet worden uitgebreid, wordt dit GPO niet gebruikt.
GPO's kunnen op twee manieren worden geconfigureerd:
Automatisch- U kunt opgeven dat ze automatisch worden gemaakt. Er wordt een standaardnaam opgegeven voor elk groepsbeleidsobject.
handmatig- U kunt GPO's gebruiken die vooraf zijn gedefinieerd door de Active Directory-beheerder.
Notitie
Nadat DirectAccess is geconfigureerd voor het gebruik van specifieke GPO's, kan het niet worden geconfigureerd voor het gebruik van verschillende GPO's.
Of u nu automatisch of handmatig geconfigureerde GPO's gebruikt, moet u een beleid voor detectie van langzame koppelingen toevoegen als uw clients gebruikmaken van 3G-netwerken. Het pad voor Beleid: Groepsbeleid configureren voor detectie van langzame koppelingen is: Computerconfiguratie/Beleid/Beheersjablonen/Systeem/Groepsbeleid.
Waarschuwing
Volg de volgende procedure om een back-up te maken van alle Remote Access GPO's voordat u DirectAccess-cmdlets uitvoert: Back-up en herstel van de configuratie van externe toegang.
Als de juiste machtigingen (die worden vermeld in de volgende secties) voor het koppelen van GPO's niet bestaan, wordt er een waarschuwing gegeven. De bewerking voor toegang op afstand wordt voortgezet, maar er wordt geen koppeling uitgevoerd. Als deze waarschuwing wordt weergegeven, worden koppelingen niet automatisch gemaakt, zelfs niet wanneer de machtigingen later worden toegevoegd. In plaats daarvan moet de beheerder de koppelingen handmatig maken.
1.8.1 Automatisch gemaakte GPO's configureren
Houd rekening met het volgende wanneer u automatisch gemaakte GPO's gebruikt.
Automatisch gemaakte GPO's worden als volgt toegepast op basis van de locatie- en koppelingsdoelparameter:
Voor het GPO van de DirectAccess-server verwijzen de locatieparameter en de koppelingsparameter naar het domein dat de DirectAccess-server bevat.
Wanneer groepsbeleidsobjecten voor client- en toepassingsservers worden gemaakt, wordt de locatie ingesteld op één domein waarin het groepsbeleidsobject wordt gemaakt. De GPO-naam wordt in elk domein opgezocht en wordt gevuld met DirectAccess-instellingen als het bestaat. Het doel van de koppeling is ingesteld op het hoofddomein waarin het groepsbeleidsobject is gemaakt. Er wordt een groepsbeleidsobject aangemaakt voor elk domein dat clientcomputers of toepassingsservers bevat, en dit groepsbeleidsobject is gekoppeld aan de hoofdstructuur van zijn respectieve domein.
Wanneer u automatisch gemaakte GPO's gebruikt om DirectAccess-instellingen toe te passen, heeft de beheerder van externe toegang de volgende machtigingen nodig:
GPO machtigingen maken voor elk domein
Toestemmingen voor koppelingen voor alle geselecteerde clientdomeinwortels
Machtigingen voor koppelingen van de roots van het server-GPO-domein
Daarnaast zijn de volgende machtigingen nodig:
Er zijn machtigingen voor maken, bewerken, verwijderen en wijzigen vereist voor de groepsbeleidsobjecten (GPO's).
Wij raden aan dat de RAS-beheerder GPO-leesrechten heeft voor elk vereist domein. Met deze mogelijkheid kan de externe toegang controleren of er geen GPO's met dubbele namen bestaan bij het aanmaken van GPO's.
1.8.2 Handmatig gemaakte GPO's configureren
Houd rekening met het volgende wanneer u handmatig gemaakte GPO's gebruikt:
De GPO's moeten bestaan voordat u de wizard voor het instellen van externe toegang uitvoert.
Om DirectAccess-instellingen toe te passen, vereist de beheerder voor externe toegang volledige GPO-machtigingen (Bewerken, Verwijderen, Beveiligingsmachtigingen wijzigen) op de handmatig gemaakte groepsbeleidsobjecten.
In het gehele domein wordt gezocht naar een koppeling met het groepsbeleidsobject. Als het groepsbeleidsobject niet is gekoppeld in het domein, wordt er automatisch een koppeling gemaakt in de domeinroot. Als de vereiste machtigingen voor het maken van de koppeling niet beschikbaar zijn, wordt er een waarschuwing weergegeven.
1.8.3 Groepsbeleidsobjecten beheren in een omgeving met meerdere domeincontrollers
Elk groepsbeleidsobject wordt als volgt beheerd door een specifieke domeincontroller:
Het groepsbeleidsobject voor de server wordt beheerd door een van de domeincontrollers op de Active Directory-site die is gekoppeld aan de server. Als domeincontrollers op die site alleen-lezen zijn, wordt het groepsbeleidsobject van de server beheerd door de domeincontroller met schrijffuncties die zich het dichtst bij de DirectAccess-server bevinden.
Groepsbeleidsobjecten voor client- en toepassingsservers worden beheerd door de domeincontroller die fungeert als primaire domeincontroller (PDC).
Als u de GPO-instellingen handmatig wilt wijzigen, kunt u het volgende overwegen:
Voor de server GPO, om te bepalen welke domeincontroller is gekoppeld aan de DirectAccess-server, voer vanuit een opdrachtprompt met verhoogde bevoegdheid op de DirectAccess-server nltest /dsgetdc: /writableuit.
Wanneer u wijzigingen aanbrengt met Windows PowerShell-cmdlets voor netwerken of als u wijzigingen aanbrengt vanuit de console Groepsbeleidsbeheer, wordt de domeincontroller die fungeert als de PDC gebruikt.
Als u bovendien instellingen wijzigt op een domeincontroller die niet de domeincontroller is die is gekoppeld aan de DirectAccess-server (voor het groepsbeleidsobject van de server) of de PDC (voor groepsbeleidsobjecten voor client- en toepassingsserver), moet u rekening houden met het volgende:
Zorg ervoor dat de domeincontroller is gerepliceerd met een up-to-date groepsbeleidsobject. Vergeet niet om een back-up te maken van uw groepsbeleidsobjectinstellingen voordat u de instellingen wijzigt. Zie voor meer informatie Back-up maken en configuratie van externe toegang herstellen. Als het groepsbeleidsobject niet wordt bijgewerkt, kunnen samenvoegconflicten tijdens de replicatie optreden, wat kan leiden tot een beschadigde RAS-configuratie.
Nadat u de instellingen hebt gewijzigd, moet u wachten tot wijzigingen worden gerepliceerd naar de domeincontrollers die zijn gekoppeld aan de groepsbeleidsobjecten. Breng geen aanvullende wijzigingen aan met behulp van de beheerconsole voor externe toegang of PowerShell-cmdlets voor externe toegang totdat de replicatie is voltooid. Als een groepsbeleidsobject op twee domeincontrollers wordt bewerkt voordat de replicatie is voltooid, kunnen er samenvoegconflicten optreden, wat kan leiden tot een corrupte Externe Toegang-configuratie.
U kunt de standaardinstelling ook wijzigen met behulp van het dialoogvenster Domeincontroller wijzigen in de console Groepsbeleidsbeheer of met de Windows PowerShell-cmdlet Open-NetGPO-, zodat de wijzigingen gebruikmaken van de domeincontroller die u opgeeft.
Als u dit wilt doen in de console Groepsbeleidsbeheer, klikt u met de rechtermuisknop op de domein- of sitescontainer en klikt u op domeincontroller wijzigen.
Als u dit wilt doen in Windows PowerShell, geeft u de parameter DomainController op voor de cmdlet Open-NetGPO-. Als u bijvoorbeeld de persoonlijke en openbare profielen in Windows Firewall wilt inschakelen op een groepsbeleidsobject met de naam domein1\DA_Server_GPO _Europe met behulp van een domeincontroller met de naam europe-dc.corp.contoso.com, voert u het volgende in:
$gpoSession = Open-NetGPO -PolicyStore "domain1\DA_Server_GPO _Europe" -DomainController "europe-dc.corp.contoso.com" Set-NetFirewallProfile -GpoSession $gpoSession -Name @("Private","Public") -Enabled True Save-NetGPO -GpoSession $gpoSession
1.8.4 Groepsbeleidsobjecten voor externe toegang beheren met beperkte machtigingen
Voor het beheren van een RAS-implementatie vereist de RAS-beheerder volledige GPO-machtigingen (lees-, bewerkings-, verwijder- en wijzigingsmachtigingen) voor de GPO's die in de implementatie worden gebruikt. Dit komt doordat de beheerconsole voor externe toegang en de PowerShell-modules voor externe toegang de configuratie lezen uit en schrijven naar de groepsbeleidsobjecten voor externe toegang, dat wil zeggen, de client-, server- en toepassingsserver-groepsbeleidsobjecten.
In veel organisaties is de domeinbeheerder die verantwoordelijk is voor GPO-bewerkingen niet dezelfde persoon als de RAS-beheerder die verantwoordelijk is voor de RAS-configuratie. Deze organisaties hebben mogelijk beleidsregels waarmee de RAS-beheerder geen volledige machtigingen heeft voor GPO's in het domein. De domeinbeheerder kan ook vereist zijn om de beleidsconfiguratie te controleren voordat deze wordt toegepast op een computer in het domein.
Om aan deze vereisten te voldoen, moet de domeinbeheerder twee kopieën van elk groepsbeleidsobject maken: fasering en productie. De Remote Access-beheerder krijgt volledige machtigingen voor de implementatie-GPO's. De beheerder van externe toegang specificeert de voorbereidingsgroepsbeleidsobjecten in de beheerconsole voor externe toegang en in Windows PowerShell-cmdlets als de groepsbeleidsobjecten die worden gebruikt voor de implementatie van externe toegang. Hierdoor kan de beheerder van Remote Access de configuratie van Remote Access lezen en wijzigen indien nodig.
De domeinbeheerder moet ervoor zorgen dat de GPO's voor testen niet zijn gekoppeld aan een beheersscope in het domein en dat de beheerder externe toegang geen GPO-koppelingsmachtigingen in het domein heeft. Dit zorgt ervoor dat wijzigingen die zijn aangebracht door de RAS-beheerder voor de faserings-GPO's geen effect hebben op computers in het domein.
De domeinbeheerder koppelt de productie-GPO's aan het vereiste beheerbereik en past de juiste beveiligingsfilters toe. Dit zorgt ervoor dat wijzigingen in deze groepsbeleidsobjecten worden toegepast op de computers in het domein (clientcomputers, DirectAccess-servers en toepassingsservers). De Remote Access-beheerder heeft geen machtigingen voor de productie-GPO's.
Wanneer er wijzigingen worden aangebracht in de groepsbeleidsobjecten voor fasering, kan de domeinbeheerder de beleidsconfiguratie in deze groepsbeleidsobjecten controleren om ervoor te zorgen dat deze voldoet aan de beveiligingsvereisten in de organisatie. De domeinbeheerder exporteert vervolgens de instellingen van de faserings-GPO's met behulp van de back-upfunctie en importeert de instellingen naar de bijbehorende productie-GPO's, die worden toegepast op de computers in het domein.
In het volgende diagram ziet u deze configuratie.
1.8.5 Herstellen van een verwijderd groepsbeleidsobject
Als een GPO (groepsbeleidsobject) voor een client, DirectAccess-server of toepassingsserver per ongeluk is verwijderd en er geen back-up beschikbaar is, moet u de configuratie verwijderen en opnieuw configureren. Als er een back-up beschikbaar is, kunt u de GPO terugzetten vanuit de back-up.
In de beheerconsole voor externe toegang wordt het volgende foutbericht weergegeven: GPO (GPO name) kan niet worden gevonden. Voer de volgende stappen uit om de configuratie-instellingen te verwijderen:
Voer de Windows PowerShell-cmdlet Uninstall-remoteaccess-uit.
Open de beheerconsole voor externe toegang.
U ziet een foutmelding dat het groepsbeleidsobject niet is gevonden. Klik op Configuratie-instellingen verwijderen. Na voltooiing wordt de server hersteld naar een niet-geconfigureerde status.