Delen via

Stap 1 Plan de Basic DirectAccess-infrastructuur

De eerste stap voor een eenvoudige DirectAccess-implementatie op één server is het plannen van de infrastructuur die nodig is voor de implementatie. In dit onderwerp worden de planningsstappen voor de infrastructuur beschreven:

Task Description
Netwerktopologie en -instellingen plannen Bepaal waar u de DirectAccess-server (aan de rand of achter een NAT-apparaat of firewall) wilt plaatsen en plan IP-adressering en routering.
Firewallvereisten plannen Plan het toestaan van DirectAccess via edge-firewalls.
Certificaatvereisten plannen DirectAccess kan Kerberos of certificaten gebruiken voor clientverificatie. In deze eenvoudige DirectAccess-implementatie wordt automatisch een Kerberos-proxy geconfigureerd en wordt verificatie uitgevoerd met behulp van Active Directory-referenties.
DNS-vereisten plannen Plan DNS-instellingen voor de DirectAccess-server, infrastructuurservers en clientconnectiviteit.
Active Directory plannen Plan uw domeincontrollers en Active Directory-vereisten.
Groepsbeleidsobjecten plannen Bepaal welke groepsbeleidsobjecten vereist zijn in uw organisatie en hoe u de groepsbeleidsobjecten maakt of bewerkt.

De planningstaken hoeven niet in een specifieke volgorde te worden uitgevoerd.

Netwerktopologie en -instellingen plannen

Plan netwerkadapters en IP-adressering

  1. Identificeer de netwerkadaptertopologie die u wilt gebruiken. DirectAccess kan worden ingesteld met een van de volgende opties:

    • Met twee netwerkadapters: aan de rand met één netwerkadapter die is verbonden met internet en de andere met het interne netwerk, of achter een NAT-, firewall- of routerapparaat, met één netwerkadapter die is verbonden met een perimeternetwerk en de andere met het interne netwerk.

    • Achter een NAT-apparaat met één netwerkadapter: de DirectAccess-server wordt geïnstalleerd achter een NAT-apparaat en de enkele netwerkadapter is verbonden met het interne netwerk.

  2. Identiteit van uw IP-adresseringsvereisten:

    DirectAccess maakt gebruik van IPv6 met IPsec om een beveiligde verbinding te maken tussen DirectAccess-clientcomputers en het interne bedrijfsnetwerk. DirectAccess vereist echter geen verbinding met het IPv6-internet of systeemeigen IPv6-ondersteuning op interne netwerken. In plaats daarvan worden IPv6-overgangstechnologieën automatisch geconfigureerd en gebruikt om IPv6-verkeer via het IPv4-internet (6to4, Teredo, IP-HTTPS) en via uw intranet met IPv4(NAT64 of ISATAP) te tunnelen. Zie de volgende bronnen voor een overzicht van deze overgangstechnologieën:

  3. Configureer de vereiste adapters en adressering volgens de volgende tabel. Voor implementaties achter een NAT-apparaat met één netwerkadapter configureert u uw IP-adressen met alleen de kolom Interne netwerkadapter .

    Description Externe netwerkadapter Interne netwerkadapter1 Routeringsvereisten
    IPv4-intranet en IPv4-internet Configureer het volgende:

    - Eén statisch openbaar IPv4-adres met het juiste subnetmasker.
    - Een standaard-gateway-IPv4-adres van uw internetfirewall of lokale ISP-router (Internet Service Provider).

    		 Configureer het volgende:

    - Een IPv4-intranetadres met het juiste subnetmasker.
    - Een verbindingsspecifiek DNS-achtervoegsel van uw intranetnaamruimte. Een DNS-server moet ook worden geconfigureerd op de interne interface.
    - Configureer geen standaardgateway op intranetinterfaces.

    		 Ga als volgt te werk om de DirectAccess-server zo te configureren dat alle subnetten in het interne IPv4-netwerk worden bereikt:

    1. Vermeld de IPv4-adresruimten voor alle locaties op uw intranet.
    2. Gebruik de route add -p of netsh interface ipv4 add route-commando's om de IPv4-adresruimten als statische routes toe te voegen in de IPv4-routingtabel van de DirectAccess-server.
    IPv6-internet en IPv6-intranet Configureer het volgende:

    - Gebruik de automatisch geconfigureerde adresconfiguratie van uw internetprovider.
    - Gebruik de opdracht routeafdruk om ervoor te zorgen dat er een standaard-IPv6-route naar de ISP-router bestaat in de IPv6-routeringstabel.
    - Bepaal of de isP- en intranetrouters standaardroutervoorkeuren gebruiken die worden beschreven in RFC 4191, en gebruik een hogere standaardvoorkeur dan uw lokale intranetrouters. Als beide waar zijn, is er geen andere configuratie vereist voor de standaardroute. De hogere voorkeur voor de ISP-router zorgt ervoor dat de actieve standaard-IPv6-route van de DirectAccess-server verwijst naar het IPv6-internet.

    Omdat de DirectAccess-server een IPv6-router is, kan de internetinterface ook de domeincontrollers op het intranet bereiken als u een systeemeigen IPv6-infrastructuur hebt. In dit geval voegt u pakketfilters toe aan de domeincontroller in het perimeternetwerk die connectiviteit met het IPv6-adres van de internetgerichte interface van de DirectAccess-server verhinderen.

    		 Configureer het volgende:

    - Als u geen standaardvoorkeurniveaus gebruikt, configureert u uw intranetinterfaces met de opdracht netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled . Met deze opdracht zorgt u ervoor dat aanvullende standaardroutes die verwijzen naar intranetrouters niet worden toegevoegd aan de IPv6-routeringstabel. U kunt de InterfaceIndex van uw intranetinterfaces verkrijgen door de uitvoer van de opdracht "netsh interface show interface" te bekijken.

    		 Als u een IPv6-intranet hebt, gaat u als volgt te werk om de DirectAccess-server zo te configureren dat alle IPv6-locaties worden bereikt:

    1. Vermeld de IPv6-adresruimten voor alle locaties op uw intranet.
    2. Gebruik het netsh interface ipv6 add route commando om de IPv6-adresruimten toe te voegen als statische routes in de IPv6-routeringstabel van de DirectAccess-server.
    IPv4-internet en IPv6-intranet De DirectAccess-server stuurt standaard IPv6-routeverkeer door met behulp van de Microsoft 6to4-adapterinterface naar een 6to4-relay op het IPv4-internet. U kunt een DirectAccess-server configureren voor het IPv4-adres van de Microsoft 6to4-relay op het IPv4-internet (gebruikt wanneer systeemeigen IPv6 niet wordt geïmplementeerd in het bedrijfsnetwerk) met de volgende opdracht: netsh interface ipv6 6to4 set relay name=192.88.99.1 state=enabled opdracht.

    Note

    Let op het volgende:

    1. Als aan de DirectAccess-client een openbaar IPv4-adres is toegewezen, wordt de 6to4-overgangstechnologie gebruikt om verbinding te maken met het intranet. Als de DirectAccess-client geen verbinding kan maken met de DirectAccess-server met 6to4, wordt IP-HTTPS gebruikt.
    2. Systeemeigen IPv6-clientcomputers kunnen verbinding maken met de DirectAccess-server via systeemeigen IPv6 en er is geen overgangstechnologie vereist.

Firewallvereisten plannen

Als de DirectAccess-server zich achter een randfirewall bevindt, zijn de volgende uitzonderingen vereist voor DirectAccess-verkeer wanneer de DirectAccess-server zich op het IPv4-internet bevindt:

  • 6to4-verkeer - IP Protocol 41 inkomend en uitgaand.

  • IP-HTTPS-Transmission Control Protocol (TCP) bestemmingpoort 443, en TCP-bronpoort 443 uitgaand.

  • Als u DirectAccess met één netwerkadapter implementeert en de netwerklocatieserver op de DirectAccess-server installeert, moet tcp-poort 62000 ook worden uitgesloten.

    Note

    Deze uitzondering bevindt zich op de DirectAccess-server. Alle andere uitzonderingen bevinden zich op de edge-firewall.

De volgende uitzonderingen zijn vereist voor DirectAccess-verkeer wanneer de DirectAccess-server zich op het IPv6-internet bevindt:

  • IP Protocol 50

  • UDP-doelpoort 500 inkomend en UDP-bronpoort 500 uitgaand.

Wanneer u extra firewalls gebruikt, past u de volgende uitzonderingen voor de firewall van het interne netwerk toe voor DirectAccess-verkeer:

  • ISATAP - Protocol 41 inkomend en uitgaand

  • TCP/UDP voor al het IPv4-/IPv6-verkeer

Certificaatvereisten plannen

Certificaatvereisten voor IPsec bevatten een computercertificaat dat wordt gebruikt door DirectAccess-clientcomputers bij het tot stand brengen van de IPsec-verbinding tussen de client en de DirectAccess-server, en een computercertificaat dat door DirectAccess-servers wordt gebruikt om IPsec-verbindingen met DirectAccess-clients tot stand te brengen. Voor DirectAccess in Windows Server 2012 R2 en Windows Server 2012 is het gebruik van deze IPsec-certificaten niet verplicht. Met de wizard Aan de slag configureert u de DirectAccess-server om te fungeren als een Kerberos-proxy om IPsec-verificatie uit te voeren zonder certificaten.

  1. IP-HTTPS server. Wanneer u DirectAccess configureert, wordt de DirectAccess-server automatisch geconfigureerd om te fungeren als de IP-HTTPS weblistener. De IP-HTTPS-site vereist een websitecertificaat en clientcomputers moeten contact kunnen opnemen met de certificaatintrekkingslijstsite (CRL) voor het certificaat. De wizard "DirectAccess inschakelen" probeert het SSTP VPN-certificaat te gebruiken. Als SSTP niet is geconfigureerd, wordt gecontroleerd of er een certificaat voor IP-HTTPS aanwezig is in het persoonlijke archief van de computer. Als er geen beschikbaar is, wordt automatisch een zelfondertekend certificaat gemaakt.

  2. Netwerklocatieserver. De netwerklocatieserver is een website die wordt gebruikt om te detecteren of clientcomputers zich in het bedrijfsnetwerk bevinden. Voor de netwerklocatieserver is een websitecertificaat vereist. DirectAccess-clients moeten contact kunnen opnemen met de CRL-site voor het certificaat. De wizard Externe toegang inschakelen controleert of er een certificaat voor de netwerklocatieserver aanwezig is in het persoonlijke archief van de computer. Als deze niet aanwezig is, wordt automatisch een zelfondertekend certificaat gemaakt.

De certificeringsvereisten voor elk van deze worden samengevat in de volgende tabel:

IPsec-verificatie IP-HTTPS server Netwerklocatieserver
Een interne CA is vereist om computercertificaten uit te geven aan de DirectAccess-server en -clients voor IPsec-verificatie wanneer u de Kerberos-proxy niet gebruikt voor verificatie Openbare CA: het wordt aanbevolen om een openbare CA te gebruiken om het IP-HTTPS-certificaat uit te geven. Dit zorgt ervoor dat het CRL-distributiepunt extern beschikbaar is. Interne CA: u kunt een interne CA gebruiken om het websitecertificaat van de netwerklocatieserver uit te geven. Zorg ervoor dat het CRL-distributiepunt maximaal beschikbaar is vanuit het interne netwerk.
Interne CA: u kunt een interne CA gebruiken om het IP-HTTPS-certificaat uit te geven; U moet er echter voor zorgen dat het CRL-distributiepunt extern beschikbaar is. Zelfondertekend certificaat - U kunt een zelfondertekend certificaat gebruiken voor de website van de netwerklocatieserver; U kunt echter geen zelfondertekend certificaat gebruiken in implementaties voor meerdere locaties.
Zelfondertekend certificaat : u kunt een zelfondertekend certificaat gebruiken voor de IP-HTTPS-server; U moet er echter voor zorgen dat het CRL-distributiepunt extern beschikbaar is. Een zelfondertekend certificaat kan niet worden gebruikt in een implementatie met meerdere locaties.

Certificaten plannen voor IP-HTTPS en netwerklocatieserver

Als u voor deze doeleinden een certificaat wilt inrichten, raadpleegt u Een enkele DirectAccess-server implementeren met geavanceerde instellingen. Als er geen certificaten beschikbaar zijn, maakt de wizard Aan de slag automatisch zelfondertekende certificaten voor deze doeleinden.

Note

Als u certificaten voor IP-HTTPS en de netwerklocatieserver handmatig inricht, moet u ervoor zorgen dat de certificaten een onderwerpnaam hebben. Als het certificaat geen onderwerpnaam heeft, maar wel een alternatieve naam heeft, wordt het niet geaccepteerd door de Wizard DirectAccess.

DNS-vereisten plannen

In een DirectAccess-implementatie is DNS vereist voor het volgende:

  • DirectAccess-clientaanvragen. DNS wordt gebruikt om aanvragen van DirectAccess-clientcomputers op te lossen die zich niet in het interne netwerk bevinden. DirectAccess-clients proberen verbinding te maken met de DirectAccess-netwerklocatieserver om te bepalen of ze zich op internet of op het bedrijfsnetwerk bevinden: als de verbinding is geslaagd, worden clients bepaald dat ze zich op het intranet bevinden en DirectAccess niet worden gebruikt en clientaanvragen worden omgezet met behulp van de DNS-server die is geconfigureerd op de netwerkadapter van de clientcomputer. Als de verbinding niet lukt, wordt ervan uitgegaan dat clients zich op internet bevinden. DirectAccess-clients gebruiken de naamomzettingsbeleidstabel (NRPT) om te bepalen welke DNS-server moet worden gebruikt bij het omzetten van naamaanvragen. U kunt opgeven dat clients DirectAccess DNS64 moeten gebruiken om domeinnamen op te lossen, of om een alternatieve interne DNS-server te gebruiken. Bij het uitvoeren van naamomzetting wordt de NRPT door DirectAccess-clients gebruikt om te bepalen hoe een aanvraag moet worden verwerkt. Clients vragen een FQDN- of naam met één label aan, zoals http://internal. Als een naam met één label wordt aangevraagd, wordt er een DNS-achtervoegsel toegevoegd om een FQDN te maken. Als de DNS-query overeenkomt met een vermelding in de NRPT en DNS4 of een intranet-DNS-server is opgegeven voor de vermelding, wordt de query verzonden voor naamomzetting met behulp van de opgegeven server. Als er een overeenkomst bestaat maar er geen DNS-server is opgegeven, geeft dit een uitzonderingsregel aan en wordt de normale naamomzetting toegepast.

    Wanneer een nieuw achtervoegsel wordt toegevoegd aan de NRPT in de DirectAccess-beheerconsole, kunnen de standaard-DNS-servers voor het achtervoegsel automatisch worden gedetecteerd door op de knop Detecteren te klikken. Automatische detectie werkt als volgt:

    1. Als het bedrijfsnetwerk op IPv4 of zowel IPv4 als IPv6 gebaseerd is, is het standaard adres het DNS64-adres van de interne adapter op de DirectAccess-server.

    2. Als het bedrijfsnetwerk is gebaseerd op IPv6, is het standaardadres het IPv6-adres van DNS-servers in het bedrijfsnetwerk.

Note

Vanaf de Update van Windows 10 mei 2020 registreert een client de IP-adressen niet meer op DNS-servers die zijn geconfigureerd in een NRPT (Name Resolution Policy Table). Als DNS-registratie nodig is, bijvoorbeeld Beheren, kan deze expliciet worden ingeschakeld met deze registersleutel op de client:

Pad: HKLM\System\CurrentControlSet\Services\Dnscache\Parameters
Typ: DWORD
Waardenaam: DisableNRPTForAdapterRegistration
Values:
1 : DNS-registratie is uitgeschakeld (standaard sinds de Windows 10-update van mei 2020)
0 - DNS-registratie ingeschakeld

  • Infrastructuurservers

    1. Netwerklocatieserver. DirectAccess-clients proberen de netwerklocatieserver te bereiken om te bepalen of ze zich in het interne netwerk bevinden. Cliënten in het interne netwerk moeten de naam van de netwerklocatieserver kunnen omzetten, maar moeten worden verhinderd de naam om te zetten wanneer ze zich op internet bevinden. Om ervoor te zorgen dat dit gebeurt, wordt standaard de FQDN-naam van de netwerklocatieserver toegevoegd als een uitzonderingsregel aan de NRPT. Wanneer u DirectAccess configureert, worden bovendien automatisch de volgende regels gemaakt:

      1. Een DNS-achtervoegselregel voor het hoofddomein of de domeinnaam van de DirectAccess-server en de IPv6-adressen die overeenkomen met de intranet-DNS-servers die zijn geconfigureerd op de DirectAccess-server. Als de DirectAccess-server bijvoorbeeld lid is van het corp.contoso.com-domein, wordt er een regel gemaakt voor het corp.contoso.com DNS-achtervoegsel.

      2. Een uitzonderingsregel voor de FQDN van de netwerklocatieserver. Als de URL van de netwerklocatieserver bijvoorbeeld https://nls.corp.contoso.comis, wordt er een uitzonderingsregel gemaakt voor de FQDN nls.corp.contoso.com.

      IP-HTTPS server. De DirectAccess-server fungeert als een IP-HTTPS listener en gebruikt het servercertificaat om te verifiëren bij IP-HTTPS clients. De IP-HTTPS naam moet kunnen worden omgezet door DirectAccess-clients met behulp van openbare DNS-servers.

      Connectiviteitsverificatoren. DirectAccess maakt een standaardwebtest die wordt gebruikt door DirectAccess-clientcomputers om de connectiviteit met het interne netwerk te controleren. Om ervoor te zorgen dat de test werkt zoals verwacht, moeten de volgende namen handmatig worden geregistreerd in DNS:

      1. directaccess-webprobehost moet worden omgezet naar het interne IPv4-adres van de DirectAccess-server, of naar het IPv6-adres in een IPv6-only omgeving.

      2. directaccess-corpconnectivityhost: moet worden omgezet in het localhost-adres (loopback). Een A- en AAAA-record moeten worden gemaakt, een A-record met de waarde 127.0.0.1 en een AAAA-record met een waarde die is samengesteld uit het NAT64-voorvoegsel, waarbij de laatste 32 bits 127.0.0.1 zijn. Het NAT64-voorvoegsel kan worden opgehaald door de cmdlet get-netnattransitionconfiguration uit te voeren.

      U kunt extra connectiviteitsverificatoren maken met behulp van andere webadressen via HTTP of PING. Voor elke connectiviteitsverificator moet er een DNS-vermelding bestaan.

Vereisten voor DNS-server

  • Voor DirectAccess-clients moet u een DNS-server gebruiken met Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 of een DNS-server die IPv6 ondersteunt.

Note

Het wordt niet aanbevolen om DNS-servers met Windows Server 2003 te gebruiken wanneer u DirectAccess implementeert. Hoewel DNS-servers van Windows Server 2003 IPv6-records ondersteunen, wordt Windows Server 2003 niet meer ondersteund door Microsoft. Bovendien moet u DirectAccess niet implementeren als op uw domeincontrollers Windows Server 2003 wordt uitgevoerd vanwege een probleem met de File Replication-service. Zie DirectAccess Niet-ondersteunde configuraties voor meer informatie.

De netwerklocatieserver plannen

De netwerklocatieserver is een website die wordt gebruikt om te detecteren of DirectAccess-clients zich in het bedrijfsnetwerk bevinden. Clients in het bedrijfsnetwerk gebruiken DirectAccess niet om interne resources te bereiken, maar maken in plaats daarvan rechtstreeks verbinding.

De wizard Aan de slag stelt automatisch de netwerklocatieserver in op de DirectAccess-server en de website wordt automatisch gemaakt wanneer u DirectAccess implementeert. Dit maakt een eenvoudige installatie mogelijk zonder gebruik te maken van een certificaatinfrastructuur.

Als u een netwerklocatieserver wilt implementeren en geen zelfondertekende certificaten wilt gebruiken, raadpleegt u Een enkele DirectAccess-server implementeren met geavanceerde instellingen.

Active Directory plannen

DirectAccess maakt als volgt gebruik van Active Directory- en Active Directory-groepsbeleidsobjecten:

  • Authentication. Active Directory wordt gebruikt voor verificatie. De DirectAccess-tunnel maakt gebruik van Kerberos-verificatie voor de gebruiker om toegang te krijgen tot interne resources.

  • Groepsbeleidsobjecten. DirectAccess verzamelt configuratie-instellingen in groepsbeleidsobjecten die worden toegepast op DirectAccess-servers en -clients.

  • Beveiligingsgroepen. DirectAccess maakt gebruik van beveiligingsgroepen om DirectAccess-clientcomputers en DirectAccess-servers samen te verzamelen en te identificeren. Het groepsbeleid wordt toegepast op de vereiste beveiligingsgroep.

Active Directory-vereisten

Bij het plannen van Active Directory voor een DirectAccess-implementatie is het volgende vereist:

  • Ten minste één domeincontroller geïnstalleerd op Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 of Windows Server 2008.

    Als de domeincontroller zich in een perimeternetwerk bevindt (en daarom bereikbaar is vanaf de internetgerichte netwerkadapter van DirectAccess-server) voorkomt u dat de DirectAccess-server deze bereikt door pakketfilters toe te voegen op de domeincontroller, om verbinding met het IP-adres van de internetadapter te voorkomen.

  • De DirectAccess-server moet lid zijn van een domein.

  • DirectAccess-clients moeten domeinleden zijn. Clients kunnen deel uitmaken van:

    • Elk domein in hetzelfde forest als de DirectAccess-server.

    • Elk domein met een tweerichtingsvertrouwensrelatie met het DirectAccess-serverdomein.

    • Elk domein in een forest met een tweerichtingsvertrouwensrelatie met het forest waartoe het DirectAccess-domein behoort.

Note

  • De DirectAccess-server kan geen domeincontroller zijn.
  • De Active Directory-domeincontroller die wordt gebruikt voor DirectAccess mag niet bereikbaar zijn vanaf de externe internetadapter van de DirectAccess-server (de adapter mag zich niet in het domeinprofiel van Windows Firewall bevinden).

Groepsbeleidsobjecten plannen

DirectAccess-instellingen die zijn geconfigureerd wanneer u DirectAccess configureert, worden verzameld in groepsbeleidsobjecten (GPO). Twee verschillende GPO's worden gevuld met DirectAccess-instellingen en worden als volgt gedistribueerd:

  • Groepsbeleidsobject voor DirectAccess-client. Dit Groepsbeleidsobject bevat clientinstellingen, waaronder IPv6-overgangstechnologie-instellingen, NRPT-vermeldingen en Windows Firewall met geavanceerde beveiligingsregels. Het groepsbeleidsobject wordt toegepast op de opgegeven beveiligingsgroepen voor de clientcomputers.

  • DirectAccess-server GPO. Dit groepsbeleidsobject bevat de DirectAccess-configuratie-instellingen die worden toegepast op elke server die is geconfigureerd als een DirectAccess-server in uw implementatie. Het bevat ook Windows Firewall met geavanceerde beveiligingsregels voor verbindingen.

GPO's kunnen op twee manieren worden geconfigureerd:

  1. Automatically. U kunt opgeven dat ze automatisch worden gemaakt. Er wordt een standaardnaam opgegeven voor elk groepsbeleidsobject. GPO's worden automatisch gemaakt door de wizard "Beginnen met starten".

  2. Manually. U kunt GPO's gebruiken die vooraf zijn gedefinieerd door de Active Directory-beheerder.

Zodra DirectAccess is geconfigureerd voor het gebruik van specifieke groepsbeleidsobjecten, kan deze niet worden geconfigureerd voor het gebruik van andere groepsbeleidsobjecten.

Important

Of u nu automatisch of handmatig geconfigureerde GPO's gebruikt, u moet een beleid voor detectie van trage koppelingen toevoegen als uw clients 3G gebruiken. Het pad groepsbeleid voor Beleid: Configureren van Groepsbeleid traag koppelingsdetectie is: Computerconfiguratie / Beleid / Beheersjablonen / Systeem / Groepsbeleid.

Caution

Gebruik de volgende procedure om een back-up te maken van alle DirectAccess-groepsbeleidsobjecten voordat u DirectAccess-cmdlets uitvoert: Back-up maken en DirectAccess-configuratie herstellen

Automatisch gemaakte GPO's

Let op het volgende wanneer u automatisch gemaakte GPO's gebruikt:

Automatisch gemaakte GPOS worden als volgt toegepast op basis van de locatie en koppelingsdoelparameter:

  • Voor het GPO van de DirectAccess-server wijzen zowel de locatie- als de koppelingsparameters naar het domein met de DirectAccess-server.

  • Wanneer client-GPO's worden gemaakt, wordt de locatie vastgesteld op één domein waarin de GPO zal worden gemaakt. De GPO-naam wordt in elk domein opgezocht en ingevuld met DirectAccess-instellingen indien deze bestaat. Het doel van de koppeling is ingesteld op het hoofddomein waarin het groepsbeleidsobject is gemaakt. Er wordt een groepsbeleidsobject gemaakt voor elk domein dat clientcomputers bevat, en het groepsbeleidsobject wordt gekoppeld aan het basisdomein van dat respectieve domein.

Wanneer u automatisch gemaakte groepsbeleidsobjecten gebruikt om DirectAccess-instellingen toe te passen, heeft de DirectAccess-serverbeheerder de volgende machtigingen nodig:

  • GPO maakt machtigingen voor elk domein.

  • Machtigingen voor koppelingen voor alle geselecteerde clientdomeinwortels.

  • Koppelingsmachtigingen voor de rootdomeinen van het server-GPO.

  • Beveiligingsmachtigingen maken, bewerken, verwijderen en wijzigen zijn vereist voor de GPO's.

  • Het wordt aanbevolen dat de DirectAccess-beheerder GPO-leesmachtigingen heeft voor elk vereist domein. Hierdoor kan DirectAccess controleren of er geen GPO's met dubbele namen bestaan bij het aanmaken van GPO's.

Houd er rekening mee dat als de juiste machtigingen voor het koppelen van GPO's niet bestaan, er een waarschuwing wordt uitgegeven. De DirectAccess-bewerking wordt voortgezet, maar er wordt geen koppeling uitgevoerd. Als deze waarschuwing wordt uitgegeven, worden koppelingen niet automatisch gemaakt, zelfs nadat de machtigingen later zijn toegevoegd. In plaats daarvan moet de beheerder de koppelingen handmatig maken.

Handmatig gemaakte GPO's

Let op het volgende wanneer u handmatig gemaakte GPO's gebruikt:

  • De GPO's moeten bestaan voordat u de wizard Aan de slag met externe toegang uitvoert.

  • Wanneer u handmatig gemaakte groepsbeleidsobjecten gebruikt, moet de DirectAccess-beheerder volledige GPO-machtigingen (Bewerken, Verwijderen, Wijzigen) toepassen op de handmatig gemaakte groepsbeleidsobjecten.

  • Wanneer u handmatig gemaakte groepsbeleidsobjecten gebruikt, wordt er in het hele domein gezocht naar een koppeling naar het groepsbeleidsobject. Als het groepsbeleidsobject niet is gekoppeld in het domein, wordt er automatisch een koppeling gemaakt in de domeinroot. Als de vereiste machtigingen voor het maken van de koppeling niet beschikbaar zijn, wordt er een waarschuwing gegeven.

Houd er rekening mee dat als de juiste machtigingen voor het koppelen van GPO's niet bestaan, er een waarschuwing wordt uitgegeven. De DirectAccess-bewerking wordt voortgezet, maar er wordt geen koppeling uitgevoerd. Als deze waarschuwing wordt uitgegeven, worden koppelingen niet automatisch gemaakt, zelfs niet wanneer de machtigingen later worden toegevoegd. In plaats daarvan moet de beheerder de koppelingen handmatig maken.

Herstellen van een verwijderd groepsbeleidsobject

Als een DirectAccess-server, -client of -toepassingsserver GPO per ongeluk is verwijderd en er geen back-up beschikbaar is, moet u de configuratie-instellingen verwijderen en deze opnieuw instellen. Als er een back-up beschikbaar is, kunt u de GPO terugzetten vanuit de back-up.

DirectAccess-beheer geeft het volgende foutbericht weer: GPO GPO-naam <> kan niet worden gevonden. Voer de volgende stappen uit om de configuratie-instellingen te verwijderen:

  1. Voer de PowerShell-cmdlet Uninstall-remoteaccess uit.

  2. Open DirectAccess-beheer opnieuw.

  3. U ziet een foutmelding dat het groepsbeleidsobject niet is gevonden. Klik op Configuratie-instellingen verwijderen. Na voltooiing wordt de server hersteld naar een niet-geconfigureerde status.

  • Last updated on