Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit onderwerp wordt beschreven hoe u de infrastructuur configureert die is vereist voor een eenvoudige DirectAccess-implementatie met één DirectAccess-server in een gemengde IPv4- en IPv6-omgeving. Voordat u begint met de implementatiestappen, moet u ervoor zorgen dat u de planningsstappen hebt voltooid die worden beschreven in Een Eenvoudige DirectAccess-implementatie plannen.
| Opdracht | Beschrijving |
|---|---|
| Servernetwerkinstellingen configureren | Configureer de servernetwerkinstellingen op de DirectAccess-server. |
| Routering configureren in het bedrijfsnetwerk | Configureer routering in het bedrijfsnetwerk om ervoor te zorgen dat verkeer op de juiste wijze wordt gerouteerd. |
| Firewalls configureren | Configureer indien nodig extra firewalls. |
| De DNS-server configureren | Configureer DNS-instellingen voor de DirectAccess-server. |
| Active Directory configureren | Voeg clientcomputers en de DirectAccess-server toe aan het Active Directory-domein. |
| GPOs configureren | Configureer GPO's voor de implementatie, indien nodig. |
| Beveiliginggroepen configureren | Configureer beveiligingsgroepen die DirectAccess-clientcomputers bevatten en eventuele andere beveiligingsgroepen die vereist zijn in de implementatie. |
Opmerking
Dit onderwerp bevat voorbeelden van Windows PowerShell-cmdlets die u kunt gebruiken om een aantal van de beschreven procedures te automatiseren. Voor meer informatie, zie Cmdlets gebruiken.
Servernetwerkinstellingen configureren
De volgende netwerkinterface-instellingen zijn vereist voor één serverimplementatie in een omgeving met IPv4 en IPv6. Alle IP-adressen worden geconfigureerd met behulp van Adapterinstellingen wijzigen in het Windows-netwerk- en deelcentrum.
Edge-topologie
Een naar internet gericht openbaar statisch IPv4- of IPv6-adres.
Opmerking
Er zijn twee opeenvolgende openbare IPv4-adressen vereist voor Teredo. Als u Teredo niet gebruikt, kunt u één openbaar statisch IPv4-adres configureren.
Eén intern statisch IPv4- of IPv6-adres.
Achter NAT-apparaat (twee netwerkadapters)
Eén intern op het netwerk gericht statisch IPv4- of IPv6-adres.
Een statisch IPv4- of IPv6-adres dat naar het perimeternetwerk kijkt.
Achter NAT-apparaat (één netwerkadapter)
- Eén statisch IPv4- of IPv6-adres.
Opmerking
Als de DirectAccess-server twee of meer netwerkadapters heeft (één die is geclassificeerd in het domeinprofiel en de andere in een openbaar/privéprofiel), maar u één NIC-topologie wilt gebruiken, zijn de aanbevelingen:
Zorg ervoor dat de tweede NIC en eventuele extra NIC's ook worden geclassificeerd in het domeinprofiel.
Als de tweede NIC om welke reden dan ook niet kan worden geconfigureerd voor het domeinprofiel, moet het Beleid voor DirectAccess IPsec handmatig worden ingesteld op alle profielen met behulp van de volgende Windows PowerShell-opdrachten:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionDe namen van het IPsec-beleid zijn DirectAccess-DaServerToInfra en DirectAccess-DaServerToCorp.
Routering configureren in het bedrijfsnetwerk
Configureer routering in het bedrijfsnetwerk als volgt:
Wanneer systeemeigen IPv6 wordt geïmplementeerd in de organisatie, voegt u een route toe zodat de routers op het interne netwerk IPv6-verkeer terugsturen via de RAS-server.
Configureer organisatie-IPv4- en IPv6-routes handmatig op de RAS-servers. Voeg een gepubliceerde route toe zodat al het verkeer met een organisatie (/48) IPv6-voorvoegsel wordt doorgestuurd naar het interne netwerk. Daarnaast voegt u voor IPv4-verkeer expliciete routes toe, zodat IPv4-verkeer wordt doorgestuurd naar het interne netwerk.
Firewalls configureren
Wanneer u extra firewalls in uw implementatie gebruikt, past u de volgende internetgerichte firewall-uitzonderingen toe voor RAS-verkeer wanneer de RAS-server zich op het IPv4-internet bevindt:
6to4-verkeer -IP Protocol 41 binnenkomend en uitgaand.
IP-HTTPS -Transmission TCP-doelpoort (Control Protocol) 443 en TCP-bronpoort 443 uitgaand. Wanneer de RAS-server één netwerkadapter heeft en de netwerklocatieserver zich op de RAS-server bevindt, is tcp-poort 62000 ook vereist.
Opmerking
Deze uitzondering moet worden geconfigureerd op de server voor externe toegang. Alle andere uitzonderingen moeten worden geconfigureerd op de edge-firewall.
Opmerking
Voor Teredo- en 6to4-verkeer moeten deze uitzonderingen worden toegepast op beide internetgerichte opeenvolgende openbare IPv4-adressen op de RAS-server. Voor IP-HTTPS hoeven de uitzonderingen alleen te worden toegepast op het adres waarop de externe naam van de server wordt omgezet.
Wanneer u extra firewalls gebruikt, past u de volgende internetgerichte firewall-uitzonderingen toe voor RAS-verkeer wanneer de RAS-server zich op het IPv6-internet bevindt:
IP Protocol 50
UDP-doelpoort 500 inkomend en UDP-bronpoort 500 uitgaand.
Wanneer u extra firewalls gebruikt, past u de volgende uitzonderingen voor de firewall van het interne netwerk toe voor RAS-verkeer:
ISATAP -Protocol 41 binnenkomend en uitgaand
TCP/UDP voor al het IPv4-/IPv6-verkeer
De DNS-server configureren
U moet handmatig een DNS-invoer configureren voor de website van de netwerklocatieserver voor het interne netwerk binnen uw implementatie.
Om de netwerkplaatsserver en NCSI-probe-DNS-records aan te maken
Voer op de DNS-server van het interne netwerk dnsmgmt.msc uit en druk op Enter.
Vouw in het linkerdeelvenster van de DNS Manager--console de zone voor forward lookup voor uw domein uit. Klik met de rechtermuisknop op het domein en klik op
Nieuwe host (A of AAAA).> Voer in het dialoogvenster Nieuwe host in het vak Naam (maakt gebruik van bovenliggende domeinnaam indien leeg) de DNS-naam in voor de website van de netwerklocatieserver (dit is de naam die de DirectAccess-clients gebruiken om verbinding te maken met de netwerklocatieserver). Voer in het IP-adresvak het IPv4-adres van de netwerklocatieserver in en klik vervolgens op Host toevoegen. Klik in het dialoogvenster DNS op OK.
Voer in het dialoogvenster Nieuwe host in het vak Naam (gebruikt bovenliggende domeinnaam indien leeg) de DNS-naam voor de webtest in (de naam voor de standaardwebtest is directaccess-webprobehost). Voer in het IP-adresvak het IPv4-adres van de webtest in en klik vervolgens op Host toevoegen. Herhaal dit proces voor directaccess-corpconnectivityhost en eventuele handmatig gemaakte connectiviteitsverificatoren. Klik in het dialoogvenster DNS op OK.
Klik op Gereed.
windows PowerShell-equivalente opdrachten
De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
U moet ook DNS-vermeldingen configureren voor het volgende:
De IP-HTTPS-server -DirectAccess-clients moeten de DNS-naam van de server voor externe toegang vanaf het internet kunnen oplossen.
CRL-intrekkingscontrole -DirectAccess maakt gebruik van certificaatintrekkingscontrole voor de IP-HTTPS verbinding tussen DirectAccess-clients en de RAS-server, en voor de HTTPS-gebaseerde verbinding tussen de DirectAccess-client en de netwerklocatieserver. In beide gevallen moeten DirectAccess-clients de locatie van het CRL-distributiepunt kunnen adresseren en benaderen.
Active Directory configureren
De RAS-server en alle DirectAccess-clientcomputers moeten lid zijn van een Active Directory-domein. DirectAccess-clientcomputers moeten lid zijn van een van de volgende domeintypen:
Domeinen die deel uitmaken van hetzelfde forest als de RAS-server.
Domeinen die deel uitmaken van forests met een tweerichtingsvertrouwensrelatie met het RAS-serverforest.
Domeinen met een tweerichtingsdomeinvertrouwensrelatie met het RAS-serverdomein.
De Remote Access-server toevoegen aan een domein
Klik in Serverbeheer op lokale server. Klik in het detailvenster op de koppeling naast Computernaam.
Klik in het dialoogvenster Systeemeigenschappen op het tabblad Computernaam . Klik op het tabblad Computernaam op Wijzigen.
Typ in Computernaamde naam van de computer als u ook de computernaam wijzigt bij het toevoegen van de server aan het domein. Klik onder Lid van op Domein en typ vervolgens de naam van het domein waaraan u de server wilt toevoegen; Klik bijvoorbeeld corp.contoso.com en klik vervolgens op OK.
Wanneer u wordt gevraagd om een gebruikersnaam en wachtwoord, voert u de gebruikersnaam en het wachtwoord van een gebruiker in met rechten om computers aan het domein toe te voegen en klikt u vervolgens op OK.
Wanneer u een dialoogvenster ziet waarin u wordt verwelkomd bij het domein, klikt u op OK.
Wanneer u wordt gevraagd of u de computer opnieuw moet opstarten, klikt u op OK.
Klik in het dialoogvenster Systeemeigenschappen op Sluiten.
Wanneer u wordt gevraagd de computer opnieuw op te starten, klikt u op Nu opnieuw opstarten.
Clientcomputers toevoegen aan het domein
Voer explorer.exeuit.
Klik met de rechtermuisknop op het computerpictogram en klik vervolgens op Eigenschappen.
Klik op de pagina System op Geavanceerde systeeminstellingen.
Klik in het dialoogvenster Systeemeigenschappen op het tabblad Computernaam op Wijzigen.
Typ in Computernaamde naam van de computer als u ook de computernaam wijzigt bij het toevoegen van de server aan het domein. Klik onder Lid van op Domein en typ vervolgens de naam van het domein waaraan u de server wilt toevoegen; Klik bijvoorbeeld corp.contoso.com en klik vervolgens op OK.
Wanneer u wordt gevraagd om een gebruikersnaam en wachtwoord, voert u de gebruikersnaam en het wachtwoord van een gebruiker in met rechten om computers aan het domein toe te voegen en klikt u vervolgens op OK.
Wanneer u een dialoogvenster ziet waarin u wordt verwelkomd bij het domein, klikt u op OK.
Wanneer u wordt gevraagd of u de computer opnieuw moet opstarten, klikt u op OK.
Klik in het dialoogvenster Systeemeigenschappen op Sluiten. Klik op Nu opnieuw opstarten wanneer u hierom wordt gevraagd.
windows PowerShell-equivalente opdrachten
De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.
Houd er rekening mee dat u domeinreferenties moet opgeven nadat u de onderstaande Add-Computer opdracht hebt ingevoerd.
Add-Computer -DomainName <domain_name>
Restart-Computer
GPOs configureren
Als u Externe toegang wilt implementeren, hebt u minimaal twee groepsbeleidsobjecten nodig: één groepsbeleidsobject bevat instellingen voor de RAS-server en één bevat instellingen voor DirectAccess-clientcomputers. Wanneer u Externe toegang configureert, maakt de wizard automatisch het vereiste groepsbeleidsobject. Als uw organisatie echter een naamconventie afdwingt of als u niet over de vereiste machtigingen beschikt om groepsbeleidsobjecten te maken of bewerken, moeten ze worden gemaakt voordat u externe toegang configureert.
Zie Een groepsbeleidsobject maken en bewerken als u een groepsbeleidsobject wilt maken.
Belangrijk
De beheerder kan het DirectAccess-groepsbeleidsobject handmatig koppelen aan een organisatie-eenheid met behulp van deze stappen:
- Voordat u DirectAccess configureert, koppelt u de gemaakte GPO's aan de respectieve organisatie-eenheden.
- Configureer DirectAccess, waarbij u een beveiligingsgroep voor de clientcomputers opgeeft.
- De beheerder heeft al dan niet machtigingen om de groepsbeleidsobjecten aan het domein te koppelen. In beide gevallen worden de groepsbeleidsobjecten automatisch geconfigureerd. Als de groepsbeleidsobjecten al zijn gekoppeld aan een organisatie-eenheid, worden de koppelingen niet verwijderd. De GPO's worden ook niet gekoppeld aan het domein. Voor de server-GPO moet de OU het serverobject bevatten, anders wordt de GPO gekoppeld aan de wortel van het domein.
- Als de koppeling naar organisatie-eenheid nog niet is uitgevoerd voordat de Wizard DirectAccess wordt uitgevoerd, kan de beheerder, nadat de configuratie is voltooid, de DirectAccess-groepsbeleidsobjecten koppelen aan de vereiste organisatie-eenheden. De koppeling naar het domein kan worden verwijderd. Stappen voor het koppelen van een groepsbeleidsobject aan een organisatie-eenheid vindt u hier
Opmerking
Als een groepsbeleidsobject handmatig is gemaakt, is het mogelijk tijdens de DirectAccess-configuratie dat het groepsbeleidsobject niet beschikbaar is. Het groepsbeleidsobject is mogelijk niet gerepliceerd naar de dichtstbijzijnde domeincontroller naar de beheercomputer. In dit geval kan de beheerder wachten tot de replicatie is voltooid of de replicatie afdwingen.
Waarschuwing
Het gebruik van een andere methode dan de wizard DirectAccess-installatie om DirectAccess te configureren, zoals het rechtstreeks wijzigen van DirectAccess-groepsbeleidsobjecten of het handmatig wijzigen van de standaardbeleidsinstellingen op de server of client, wordt niet ondersteund.
Beveiliginggroepen configureren
De DirectAccess-instellingen in de groepsbeleidsobjecten van de clientcomputer worden alleen toegepast op computers die lid zijn van de beveiligingsgroepen die u opgeeft bij het configureren van externe toegang.
Een beveiligingsgroep maken voor DirectAccess-clients
Voer dsa.msc uit. Vouw in de Active Directory: gebruikers en computers-console in het linkerdeelvenster het domein uit dat de beveiligingsgroep bevat, klik met de rechtermuisknop op Gebruikers, wijs Nieuweaan en klik vervolgens op Groep.
Voer in het dialoogvenster Nieuw object - Groep , onder Groepsnaam, de naam voor de beveiligingsgroep in.
Klik onder Groepsbereik op Globaal, klik onder Groepstype op Beveiliging en klik vervolgens op OK.
Dubbelklik op de beveiligingsgroep voor DirectAccess-clientcomputers en klik in het dialoogvenster Eigenschappen op het tabblad Leden .
Klik op het tabblad Leden op Toevoegen.
Selecteer in het dialoogvenster Gebruikers, Contactpersonen, Computers of Serviceaccounts de clientcomputers die u voor DirectAccess wilt inschakelen en klik op OK.
gelijkwaardige Windows PowerShell-opdrachten
De volgende Windows PowerShell-cmdlets of cmdlets voeren dezelfde functie uit als de voorgaande procedure. Voer elke cmdlet op één regel in, ook al kunnen ze hier vanwege opmaakbeperkingen over meerdere regels worden weergegeven.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>