Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Nadat u de infrastructuur hebt gepland die u wilt gebruiken voor het instellen van uw enkele RAS-server voor extern beheer van DirectAccess-clients, bent u klaar om de instellingen te plannen die door de wizard Ras instellen worden gebruikt.
Opmerking
Voordat u doorgaat met deze taken, raadpleegt u stap 1: De RAS-infrastructuur plannen.
| Opdracht | Beschrijving |
|---|---|
| Een strategie voor clientimplementatie plannen | Bepaal welke beheerde computers worden geconfigureerd als DirectAccess-clients. |
| Een strategie voor de implementatie van een RAS-server plannen | Plan hoe u de RAS-server implementeert. |
| De configuraties van de infrastructuurservers plannen | Plan de infrastructuurservers in uw RAS-implementatie, waaronder de DirectAccess-netwerklocatieserver, DNS-servers en DirectAccess-beheerservers. |
Een strategie voor clientimplementatie plannen
Er zijn drie beslissingen die u moet nemen wanneer u uw clientimplementatie plant:
Is DirectAccess alleen beschikbaar voor mobiele computers of voor elke computer in een opgegeven beveiligingsgroep?
Wanneer u DirectAccess-clients configureert in de wizard Setup van de DirectAccess-client, kunt u ervoor kiezen om alleen mobiele computers in opgegeven beveiligingsgroepen verbinding te laten maken met de server met behulp van DirectAccess. Als u de toegang tot mobiele computers beperkt, configureert Externe toegang automatisch een WMI-filter om ervoor te zorgen dat het GPO van de DirectAccess-client alleen wordt toegepast op mobiele computers in de opgegeven beveiligingsgroepen. De RAS-beheerder vereist machtigingen voor het maken of wijzigen van WMI-filters voor groepsbeleid om deze instelling in te schakelen.
Welke beveiligingsgroepen bevatten de DirectAccess-clientcomputers?
DirectAccess-instellingen bevinden zich in het Groepsbeleidsobject (GPO) van de DirectAccess-client. De GPO wordt toegepast op computers die deel uitmaken van de beveiligingsgroepen die u opgeeft in de DirectAccess-client Setup-wizard. U kunt beveiligingsgroepen opgeven die zijn opgenomen in elk ondersteund domein.
Voordat u Externe toegang configureert, moet u de beveiligingsgroepen maken. Nadat u de implementatie van Extern Toegang hebt voltooid, kunt u computers toevoegen aan de beveiligingsgroep. Als u echter clientcomputers toevoegt die zich in een ander domein bevinden dan de beveiligingsgroep, wordt het groepsbeleidsobject van de client niet toegepast op deze clients. Als u bijvoorbeeld SG1 hebt gemaakt in domein A voor DirectAccess-clients en u later clients van domein B aan deze groep toevoegt, wordt het groepsbeleidsobject van de client niet toegepast op clients in domein B.
U kunt dit probleem voorkomen door een nieuwe clientbeveiligingsgroep te maken voor elk domein dat clientcomputers bevat. Als u geen nieuwe beveiligingsgroep wilt maken, voert u de Windows PowerShell-cmdlet Add-DAClient uit met de naam van het nieuwe groepsbeleidsobject voor het nieuwe domein.
Welke instellingen configureert u voor de DirectAccess-netwerkconnectiviteitsassistent?
De DirectAccess-netwerkconnectiviteitsassistent wordt uitgevoerd op clientcomputers en biedt aanvullende informatie over de DirectAccess-verbinding met eindgebruikers. In de wizard Setup van de DirectAccess-client kunt u het volgende configureren:
Connectiviteitsverificatoren
Er wordt een standaardwebtest gemaakt die clients gebruiken om de connectiviteit met het interne netwerk te valideren. De standaardnaam is
https://directaccess-WebProbeHost.<domain_name>. De naam moet handmatig worden geregistreerd in DNS. U kunt andere connectiviteitsverificatoren maken die gebruikmaken van andere webadressen via HTTP of PING. Voor elke connectiviteitsverificator moet er een DNS-vermelding bestaan.E-mailadres helpdesk
Als eindgebruikers directAccess-connectiviteitsproblemen ondervinden, kunnen ze een e-mailbericht met diagnostische gegevens verzenden naar de RAS-beheerder, die het probleem kan oplossen.
DirectAccess-verbindingsnaam
U kunt een DirectAccess-verbindingsnaam opgeven om eindgebruikers te helpen de DirectAccess-verbinding op hun computer te identificeren.
Sta DirectAccess-clients toe gebruik te maken van lokale naamomzetting
Clients hebben een middel nodig om namen lokaal op te lossen. Als u DirectAccess-clients toestaat om lokale naamomzetting te gebruiken, kunnen eindgebruikers lokale DNS-servers gebruiken om namen op te lossen. Wanneer eindgebruikers ervoor kiezen om lokale DNS-servers te gebruiken voor naamomzetting, verzendt DirectAccess geen omzettingsaanvragen voor namen met één label naar de interne DNS-server van het bedrijf. In plaats daarvan wordt lokale naamomzetting gebruikt (met behulp van de LLMNR-protocollen (Link-Local Multicast Name Resolution) en NetBios via TCP/IP-protocollen.
Een strategie voor de implementatie van een RAS-server plannen
Beslissingen die u moet nemen wanneer u van plan bent om uw RAS-server te implementeren, zijn onder andere:
Netwerktopologie
Er zijn twee topologieën beschikbaar bij het implementeren van een RAS-server:
Twee adapters: Met twee netwerkadapters kan externe toegang worden geconfigureerd met één netwerkadapter die rechtstreeks is verbonden met internet en de andere die is verbonden met het interne netwerk. Of de server wordt geïnstalleerd achter een edge-apparaat, zoals een firewall of router. In deze configuratie is één netwerkadapter verbonden met het perimeternetwerk en de andere is verbonden met het interne netwerk.
Eén netwerkadapter: In deze configuratie wordt de RAS-server geïnstalleerd achter een edge-apparaat, zoals een firewall of router. De netwerkadapter is verbonden met het interne netwerk.
Netwerkadapters
De installatiewizard van de RAS-server detecteert automatisch de netwerkadapters die zijn geconfigureerd op de RAS-server. U moet ervoor zorgen dat de juiste adapters zijn geselecteerd.
IP-HTTPS-certificaat
De installatiewizard van de RAS-server detecteert automatisch een certificaat dat geschikt is voor de IP-HTTPS-verbinding. De onderwerpnaam van het certificaat dat u selecteert, moet overeenkomen met het ConnectTo-adres. Als u zelfondertekende certificaten gebruikt, kunt u ervoor kiezen om een certificaat te gebruiken dat automatisch door de RAS-server wordt gemaakt.
IPv6-voorvoegsels
Als de installatiewizard van de RAS-server detecteert dat IPv6 is geïmplementeerd op de netwerkadapters, worden IPv6-voorvoegsels automatisch ingevuld voor het interne netwerk, een IPv6-voorvoegsel dat moet worden toegewezen aan DirectAccess-clientcomputers en een IPv6-voorvoegsel dat moet worden toegewezen aan VPN-clientcomputers. Als de automatisch gegenereerde voorvoegsels niet juist zijn voor uw systeemeigen IPv6- of ISATAP-infrastructuur, moet u deze handmatig wijzigen.
Verificatie
U kunt een van de volgende methoden kiezen voor het verifiëren van DirectAccess-clients op de RAS-server:
Gebruikersverificatie: u kunt gebruikers in staat stellen zich te verifiëren met Active Directory-referenties of met tweeledige verificatie.
Computerverificatie: U kunt computerverificatie configureren voor het gebruik van certificaten. Of de RAS-server kan fungeren als een proxy voor Kerberos-verificatie zonder certificaten.
Windows 7-clients Clientcomputers met Windows 7 kunnen standaard geen verbinding maken met een RAS-implementatie met Windows Server 2012. Als u clients met Windows 7 in uw organisatie hebt die externe toegang tot interne resources vereisen, kunt u toestaan dat ze verbinding maken. Alle client-computers waaraan u toegang wilt geven tot interne resources, moeten lid zijn van een beveiligingsgroep die u specificeert in de DirectAccess Client Setup Wizard.
Opmerking
Als clients met Windows 7 verbinding kunnen maken met DirectAccess, moet u verificatie van computercertificaten gebruiken.
VPN-configuratie
Voordat u Externe toegang configureert, moet u beslissen of u VPN-toegang wilt verlenen tot externe clients. U moet VPN-toegang bieden als u clientcomputers in uw organisatie hebt die geen ondersteuning bieden voor DirectAccess-connectiviteit (ze zijn bijvoorbeeld niet beheerd of als ze een besturingssysteem uitvoeren waarvoor DirectAccess niet wordt ondersteund). Met de wizard Remote Access Server instellen kunt u configureren hoe IP-adressen worden toegewezen (door het gebruik van DHCP of vanuit een statische adresgroep) en hoe VPN-clients worden geverifieerd (met Active Directory of een RADIUS-server).
De configuraties van de infrastructuurservers plannen
Externe toegang vereist drie typen infrastructuurservers:
netwerklocatieserver
DNS-servers
Beheerservers