Share via

DirectAccess 不受支持的配置

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

在启动部署之前,请查看以下不受支持的 DirectAccess 配置列表,以避免再次启动部署。

组策略对象的文件复制服务 (FRS) 分发(SYSVOL 复制)

不要在域控制器运行文件复制服务 (FRS) 以分发组策略对象(SYSVOL 复制)的环境中部署 DirectAccess。 使用 FRS 时不支持部署 DirectAccess。

如果你有运行 Windows Server 2003 或 Windows Server 2003 R2 的域控制器,则使用 FRS。 此外,如果你以前使用 Windows 2000 Server 或 Windows Server 2003 域控制器,并且从未将 SYSVOL 复制从 FRS 迁移到分布式文件系统复制 (DFS-R),则可能会使用 FRS。

如果使用 FRS SYSVOL 复制部署 DirectAccess,则可能会意外删除包含 DirectAccess 服务器和客户端配置信息的 DirectAccess 组策略对象。 如果删除这些对象,DirectAccess 部署将中断,并且使用 DirectAccess 的客户端计算机将无法连接到网络。

如果计划部署 DirectAccess,则必须使用运行高于 Windows Server 2003 R2 的操作系统的域控制器,并且必须使用 DFS-R.

有关从 FRS 迁移到 DFS-R 的信息,请参阅 SYSVOL 复制迁移指南:FRS 到 DFS 复制

DirectAccess 客户端的网络访问保护

网络访问保护 (NAP) 用于在授予远程客户端计算机访问公司网络的权限之前,确定它们是否符合 IT 策略。 NAP 在 Windows Server 2012 R2 中已弃用,并且未包含在 Windows Server 2016 中。 因此,不建议启动 DirectAccess 与 NAP 的新部署。 建议使用不同的终结点控制方法来确保 DirectAccess 客户端的安全性。

对 Windows 7 客户端的多站点支持

在多站点部署中配置 DirectAccess 时,Windows 10®、Windows®8.1 和 Windows®8 客户端能够连接到最近的站点。 Windows 7® 客户端计算机没有相同的功能。 Windows 7 客户端的站点选择在策略配置时设置为特定站点,并且这些客户端将始终连接到该指定站点,无论其位置如何。

基于用户的访问控制

DirectAccess 策略基于计算机,而不是基于用户。 不支持指定 DirectAccess 用户策略来控制对公司网络的访问。

自定义 DirectAccess 策略

可以使用 DirectAccess 安装向导、远程访问管理控制台或远程访问 Windows PowerShell cmdlet 来配置 DirectAccess. 不支持使用 DirectAccess 安装向导以外的任何方式配置 DirectAccess,例如直接修改 DirectAccess 组策略对象或手动修改服务器或客户端上的默认策略设置。 这些修改可能导致无法使用的配置。

KerbProxy 身份验证

使用入门向导配置 DirectAccess 服务器时,DirectAccess 服务器将自动配置为使用 KerbProxy 身份验证进行计算机和用户身份验证。 因此,只能对部署了 Windows 10®、Windows 8.1 或 Windows 8 客户端的单站点部署使用入门向导。

此外,以下功能不应与 KerbProxy 身份验证一起使用:

  • 使用外部负载平衡器或 Windows 负载平衡器进行负载平衡

  • 需要智能卡或一次性密码 (OTP) 的双因素身份验证

如果启用 KerbProxy 身份验证,则不支持以下部署计划:

  • 多站点。

  • Windows 7 客户端的 DirectAccess 支持。

  • 强制隧道。 要确保在使用强制隧道时不启用 KerbProxy 身份验证,请在运行向导时配置以下项目:

    • 启用强制隧道

    • 为 Windows 7 客户端启用 DirectAccess

注意

对于以前的部署,你应该使用高级配置向导,该向导使用基于证书的计算机和用户身份验证的双通道配置。 有关详细信息,请参阅使用高级设置部署单个 DirectAccess 服务器

使用 ISATAP

ISATAP 是一种过渡技术,可在仅使用 IPv4 的企业网络中提供 IPv6 连接。 此技术仅限于具有单个 DirectAccess 服务器部署的中小型组织,并允许远程管理 DirectAccess 客户端。 如果在多站点、负载平衡或多域环境中部署了 ISATAP,则必须先将其删除或转换为 IPv6 部署,然后才能配置 DirectAccess。

IPHTTPS 和一次性密码 (OTP) 终结点配置

使用 IPHTTPS 时,IPHTTPS 连接必须在 DirectAccess 服务器上终止,而不是在任何其他设备(如负载平衡器)上终止。 同样,在一次性密码 (OTP) 身份验证期间创建的带外安全套接字层 (SSL) 连接必须在 DirectAccess 服务器上终止。 这些连接的终结点之间的所有设备都必须配置为直通模式。

使用 OTP 身份验证的强制隧道

不要使用具有 OTP 和强制隧道的双因素身份验证部署 DirectAccess 服务器,否则 OTP 身份验证将失败。 DirectAccess 服务器和 DirectAccess 客户端之间需要带外安全套接字层 (SSL) 连接。 此连接需要豁免才能将流量发送到 DirectAccess 隧道之外。 在强制隧道配置中,所有流量都必须流经 DirectAccess 隧道,并且在隧道建立后不允许例外。 因此,不支持在强制隧道配置中进行 OTP 身份验证。

使用只读域控制器部署 DirectAccess

DirectAccess 服务器必须能够访问读写域控制器,并且不能与只读域控制器 (RODC) 一起正常工作。

需要读/写域控制器的原因有很多,包括以下几种:

  • 在 DirectAccess 服务器上,需要读写域控制器才能打开远程访问 Microsoft 管理控制台 (MMC)。

  • DirectAccess 服务器必须读取和写入 DirectAccess 客户端和 DirectAccess 服务器组策略对象 (GPO)。

  • DirectAccess 服务器专门从主域控制器仿真器 (PDCe) 读取和写入客户端 GPO。

由于这些要求,请不要使用 RODC 部署 DirectAccess。