Not
Åtkomst till denna sida kräver auktorisation. Du kan prova att logga in eller byta katalog.
Åtkomst till denna sida kräver auktorisation. Du kan prova att byta katalog.
Granska följande lista över DirectAccess-konfigurationer som inte stöds innan du startar distributionen för att undvika att behöva starta distributionen igen.
Filreplikeringstjänstens (FRS) distribution av grupprincipobjekt (SYSVOL-replikering)
Distribuera inte DirectAccess i miljöer där domänkontrollanterna kör tjänsten File Replication (FRS) för distribution av grupprincipobjekt (SYSVOL-replikering). Distribution av DirectAccess stöds inte när du använder FRS.
Du använder FRS om du har domänkontrollanter som kör Windows Server 2003 eller Windows Server 2003 R2. Dessutom kan du använda FRS om du tidigare använde Windows 2000 Server- eller Windows Server 2003-domänkontrollanter och aldrig migrerade SYSVOL-replikering från FRS till distribuerad filsystemreplikering (DFS-R).
Om du distribuerar DirectAccess med FRS SYSVOL-replikering riskerar du oavsiktlig borttagning av DirectAccess-grupprincipobjekt som innehåller information om DirectAccess-servern och klientkonfigurationen. Om dessa objekt tas bort drabbas DirectAccess-distributionen av ett avbrott och klientdatorer som använder DirectAccess kommer inte att kunna ansluta till nätverket.
Om du planerar att distribuera DirectAccess måste du använda domänkontrollanter som kör operativsystem senare än Windows Server 2003 R2 och du måste använda DFS-R.
Information om hur du migrerar från FRS till DFS-R finns i migreringsguiden för SYSVOL Replication: FRS till DFS Replication.
Network Access Protection för DirectAccess-klienter
Network Access Protection (NAP) används för att avgöra om fjärrklientdatorer uppfyller IT-principer innan de beviljas åtkomst till företagsnätverket. NAP var inaktuell i Windows Server 2012 R2 och ingår inte i Windows Server 2016. Därför rekommenderas inte att du startar en ny distribution av DirectAccess med NAP. En annan metod för slutpunktskontroll för säkerheten för DirectAccess-klienter rekommenderas.
Stöd för flera platser för Windows 7-klienter
När DirectAccess har konfigurerats i en distribution på flera platser har Windows 10®-, Windows® 8.1- och Windows® 8-klienter möjlighet att ansluta till närmaste plats. Windows 7-klientdatorer® har inte samma funktion. Platsval för Windows 7-klienter är inställt på en viss plats vid tidpunkten för principkonfigurationen, och dessa klienter ansluter alltid till den avsedda platsen, oavsett plats.
Användarbaserad åtkomstkontroll
DirectAccess-principer är datorbaserade, inte användarbaserade. Det går inte att ange DirectAccess-användarprinciper för att styra åtkomsten till företagsnätverket.
Anpassning av DirectAccess-policy
DirectAccess kan konfigureras med hjälp av installationsguiden för DirectAccess, konsolen för hantering av fjärråtkomst eller Windows PowerShell-cmdletar för fjärråtkomst. Det går inte att använda andra metoder än installationsguiden för DirectAccess för att konfigurera DirectAccess, till exempel att ändra DirectAccess-grupprincipobjekt direkt eller manuellt ändra standardprincipinställningarna på servern eller klienten. Dessa ändringar kan resultera i en oanvändbar konfiguration.
KerbProxy-autentisering
När du konfigurerar en DirectAccess-server med guiden Komma igång konfigureras DirectAccess-servern automatiskt att använda KerbProxy-autentisering för dator- och användarautentisering. Därför bör du bara använda guiden Komma igång för distributioner på en enda plats där endast Windows 10®-, Windows 8.1- eller Windows 8-klienter distribueras.
Dessutom bör följande funktioner inte användas med KerbProxy-autentisering:
Belastningsutjämning med hjälp av antingen en extern lastbalanserare eller Windows Load Balancer
Tvåfaktorsautentisering där smartkort eller ett engångslösenord (OTP) krävs
Följande distributionsplaner stöds inte om du aktiverar KerbProxy-autentisering:
Multisite.
DirectAccess-stöd för Windows 7-klienter.
Tvinga tunneltrafik. För att säkerställa att KerbProxy-autentisering inte är aktiverat när du använder tvingad tunneltrafik konfigurerar du följande objekt när du kör guiden:
Aktivera tvingad tunneltrafik
Aktivera DirectAccess för Windows 7-klienter
Note
För tidigare distributioner bör du använda guiden Avancerad konfiguration, som använder en konfiguration med två tunnlar med en certifikatbaserad dator och användarautentisering. Mer information finns i Distribuera en enskild DirectAccess-server med avancerade inställningar.
Använda ISATAP
ISATAP är en övergångsteknik som tillhandahåller IPv6-anslutning i företagsnätverk med endast IPv4. Den är begränsad till små och medelstora organisationer med en enda DirectAccess-serverdistribution och möjliggör fjärrhantering av DirectAccess-klienter. Om ISATAP distribueras i en miljö med flera platser, belastningsutjämning eller flera domäner måste du ta bort den eller flytta den till en intern IPv6-distribution innan du konfigurerar DirectAccess.
Konfiguration av IPHTTPS och engångslösenord (OTP) slutpunktskonfiguration
När du använder IPHTTPS måste IPHTTPS-anslutningen avslutas på DirectAccess-servern, inte på någon annan enhet, till exempel en lastbalanserare. På samma sätt måste den out-of-band Secure Sockets Layer-anslutning (SSL) som skapas under en engångslösenordautentisering (OTP) avslutas på DirectAccess-servern. Alla enheter mellan slutpunkterna för dessa anslutningar måste konfigureras i genomgångsläge.
Tvångstunnling med OTP-autentisering
Distribuera inte en DirectAccess-server med tvåfaktorautentisering med OTP och Force Tunneling, annars misslyckas OTP-autentiseringen. En utom-bandet SSL-anslutning (Secure Sockets Layer) krävs mellan DirectAccess-servern och DirectAccess-klienten. Den här anslutningen kräver ett undantag för att skicka trafiken utanför DirectAccess-tunneln. I en Force Tunnel-konfiguration måste all trafik flöda genom en DirectAccess-tunnel och inget undantag tillåts efter att tunneln har upprättats. Därför stöds det inte att ha OTP-autentisering i en konfiguration av tvingad tunnel.
Distribuera DirectAccess med en Read-Only domänkontrollant
DirectAccess-servrar måste ha åtkomst till en skriv- och läsbar domänkontrollant och fungerar inte korrekt med en Read-Only domänkontrollant (RODC).
En skriv- och läsbar domänkontrollant krävs av många orsaker, inklusive följande:
På DirectAccess-servern krävs en läs- och skrivskyddad domänkontrollant för att öppna Microsoft Management Console för fjärråtkomst (MMC).
DirectAccess-servern måste både läsa och skriva till DirectAccess-klienten och DirectAccess-serverns grupprincipobjekt (GPO).
DirectAccess-servern läser och skriver till klient-GPO:et specifikt från emulatorn för den Primära Domänkontrollanten (PDCe).
På grund av dessa krav ska du inte distribuera DirectAccess med en RODC.