注意:Windows Server 2012 將 DirectAccess 與「路由及遠端存取服務」(RRAS) 整合成一個遠端存取角色。
本主題說明如何針對在混合了 IPv4 和 IPv6 的環境中使用單一遠端存取伺服器的進階遠端存取部署,設定所需的基礎結構。 開始部署步驟之前,請確保已完成步驟 1:規劃遠端存取基礎結構中所述的規劃步驟。
| 任務 | 描述 |
|---|---|
| 設定伺服器網路設定 | 在遠端存取伺服器上設定伺服器網路設定。 |
| 設定公司網路中的路由 | 設定公司網路中的路由,確保適當地路由流量。 |
| 設定防火牆 | 如有必要,設定其他防火牆。 |
| 設定 CA 和憑證 | 視需要設定憑證授權單位 (CA),以及部署中所需的任何其他憑證範本。 |
| 設定 DNS 伺服器 | 設定遠端存取伺服器的 DNS 設定。 |
| 設定 Active Directory | 將用戶端電腦和遠端存取伺服器加入 Active Directory 網域。 |
| 設定 GPO | 如有需要,設定群組原則物件 (GPO) 以進行部署。 |
| 設定安全性群組 | 設定將包含 DirectAccess 用戶端電腦的安全性群組,以及部署中所需的任何其他安全性群組。 |
| 設定網路位置伺服器 | 設定網路位置伺服器,包括安裝網路位置伺服器網站憑證。 |
注意
本主題包含可讓您用來將部分所述的程序自動化的 Windows PowerShell Cmdlet 範例。 如需詳細資訊,請參閱使用 Cmdlet.
設定伺服器網路設定
根據您決定將遠端存取伺服器放在邊緣或網路位址轉譯 (NAT) 裝置後方而定,在具有 IPv4 和 IPv6 的環境中,單一伺服器部署需要下列網路介面位址設定。 您可以使用 [Windows 網路和共用中心] 中的 [變更介面卡設定] 來設定所有 IP 位址。
邊緣拓撲:
需要下列各項:
兩個面向網際網路的相鄰公用靜態 IPv4 或 IPv6 位址。
注意
Teredo 需要兩個連續的公用 IPv4 位址。 如果您不是使用 Teredo,則可以設定單一公用靜態 IPv4 位址。
單一內部靜態 IPv4 或 IPv6 位址。
位於 NAT 裝置後面 (兩張網路介面卡):
需要一個單一的內部網路對向靜態 IPv4 或 IPv6 位址。
位於 NAT 裝置後面 (一張網路介面卡):
需要單一靜態 IPv4 或 IPv6 位址。
如果遠端存取伺服器有兩張網路介面卡 (一個用於網域設定檔,另一個用於公用或私人設定檔),但您使用單一網路介面卡拓撲,則建議如下:
確保第二張網路介面卡也分類在網域設定檔中。
如果第二張網路介面卡因任何原因無法設定為網域設定檔,則必須使用下列 Windows PowerShell 命令手動將 DirectAccess IPsec 原則擴大到所有設定檔:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposession要在此命令中使用的 IPsec 原則的名稱是 DirectAccess-DaServerToInfra 和 DirectAccess-DaServerToCorp。
設定公司網路中的路由
設定公司網路中的路由,如下所示:
在組織中部署原生 IPv6 時,請新增路由,讓內部網路的路由器透過遠端存取伺服器將 IPv6 流量路由回來。
在遠端存取伺服器上手動設定組織 IPv4 和 IPv6 的路由。 新增一個已發佈的路由,以便將所有含有 (/48) IPv6 首碼的流量轉送到內部網路。 此外,如果是 IPv4 流量,則新增明確的路由,讓 IPv4 流量轉送到內部網路。
設定防火牆
根據您選擇的網路設定,當您在部署中使用其他防火牆時,請針對遠端存取流量套用下列防火牆例外狀況:
IPv4 網際網路上的遠端存取伺服器
如果遠端存取伺服器位於 IPv4 網際網路,請為遠端存取流量套用下列網際網路對向的防火牆例外:
Teredo 流量
使用者資料包通訊協定 (UDP) 目的地連接埠 3544 輸入,及 UDP 來源連接埠 3544 輸出。 針對遠端存取伺服器上的兩個網際網路對向連續公用 IPv4 位址套用此豁免。
6to4 流量
IP 協定 41 入站和出站。 針對遠端存取伺服器上的兩個網際網路對向連續公用 IPv4 位址套用此豁免。
IP-HTTPS 流量
傳輸控制通訊協定 (TCP) 目的地連接埠 443,及 TCP 來源連接埠 443 輸出。 當遠端存取伺服器具有單一網路介面卡,且網路位置伺服器位於遠端存取伺服器上時,則還需要 TCP 連接埠 62000。 這些豁免僅適用於伺服器外部名稱所解析的地址。
注意
此豁免會在遠端存取伺服器上設定。 所有其他豁免則必須在邊緣防火牆上設定。
IPv6 網際網路上的遠端存取伺服器
如果遠端存取伺服器位於 IPv6 網際網路,請為遠端存取流量套用下列網際網路對向的防火牆例外:
IP 通訊協定 50
UDP 目的地連接埠 500 輸入,及 UDP 來源連接埠 500 輸出。
IPv6 的網際網路控制訊息通訊協定 (ICMPv6) 流量輸入和輸出 - 僅適用 Teredo 實作。
遠端存取流量
針對遠端存取流量套用下列內部網路防火牆例外:
ISATAP:通訊協定 41 輸入和輸出
TCP/UDP 用於所有 IPv4 或 IPv6 流量
所有 IPv4 或 IPv6 流量的 ICMP
設定 CA 和憑證
使用 Windows Server 2012 中的遠端存取,您會選擇使用憑證來進行電腦驗證,或使用使用者名稱和密碼的內建 Kerberos 驗證。 您也必須在遠端存取伺服器上設定 IP-HTTPS 憑證。 本節說明如何設定這些憑證。
如需設定公開金鑰基礎結構 (PKI) 的相關資訊,請參閱 Active Directory 憑證服務。
設定 IPsec 驗證
遠端存取伺服器和所有 DirectAccess 用戶端都需要憑證,才能夠使用 IPsec 驗證。 憑證必須由內部憑證授權單位 (CA) 核發。 遠端存取伺服器和 DirectAccess 用戶端必須信任核發根憑證和中繼憑證的 CA。
設定 IPsec 驗證
在內部 CA 上,決定您是要使用預設的電腦憑證範本,還是要依建立憑證範本中所述建立新憑證範本。
注意
如果您建立新的範本,則必須設定它以進行用戶端驗證。
視需要部署憑證範本。 如需詳細資訊,請參閱部署憑證範本。
如果需要,請設定自動註冊的範本。
視需要設定憑證自動註冊。 如需詳細資訊,請參閱設定憑證自動註冊。
設定憑證範本
使用內部 CA 來簽發憑證時,您必須為 IP-HTTPS 憑證和網路位置伺服器網站憑證設定憑證範本。
設定憑證範本
準備範本之後,您可以使用它們來設定憑證。 如需詳細資訊,請參閱下列程序:
設定 IP-HTTPS 憑證
遠端存取需要 IP-HTTPS 憑證來驗證遠端存取伺服器的 IP-HTTPS 連線。 有三種 IP-HTTPS 憑證的憑證選項:
公開
由第三方提供。
私用
憑證是以在設定憑證範本中建立的憑證範本為基礎。 它需要一個可以從可公開解析的完全限定域名 (FQDN) 存取的憑證撤銷清單 (CRL) 發佈點。
自我簽署
此憑證需要一個能從公用可解析的「完整網域名稱」(FQDN)存取的 CRL 發佈點。
注意
自我簽署憑證無法在多站台部署中使用。
請確定用於 IP-HTTPS 驗證的網站憑證符合下列需求:
憑證主體名稱應該是僅用於遠端存取伺服器 IP-HTTPS 連線的 IP-HTTPS URL (ConnectTo 位址) 的可外部解析完整網域名稱 (FQDN)。
憑證的一般名稱必須符合 IP-HTTPS 站台的名稱。
在 [主體] 欄位中指定遠端存取伺服器之外部對向介面卡的 IPv4 位址,或是 IP-HTTPS URL 的 FQDN。
針對 [增強金鑰使用方法] 欄位,使用伺服器驗證物件識別碼 (OID)。
在 [CRL 發佈點] 欄位中,指定連線到網際網路的 DirectAccess 用戶端可存取的 CRL 發佈點。
IP-HTTPS 憑證必須具有私密金鑰。
IP-HTTPS 憑證必須直接匯入到個人存放區。
IP-HTTPS 憑證的名稱中可以包含萬用字元。
從內部 CA 安裝 IP-HTTPS 憑證
在遠端存取伺服器上:在 [開始] 畫面上,輸入mmc.exe,然後按 ENTER。
在 MMC 主控台的 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,依序按一下 [憑證]、[新增]、[電腦帳戶]、[下一步]、[本機電腦]、[完成],然後按一下 [確定]。
在 [憑證] 嵌入式管理單元的主控台樹狀目錄中,開啟 [憑證 (本機電腦)\個人\憑證]。
在 [憑證] 上按一下滑鼠右鍵,指向 [所有工作],按一下 [要求新憑證],然後按 [下一步] 兩次。
在 [要求憑證] 頁面上,選取設定憑證範本中建立的憑證範本的核取方塊,如果需要,按一下 [需要更多資訊才能註冊此憑證]。
在 [憑證內容] 對話方塊的 [主體] 索引標籤上,在 [主體名稱] 區域的 [類型] 中,選取 [一般名稱]。
在 [值] 中,指定遠端存取伺服器之外部對向介面卡的 IPv4 位址或 IP-HTTPS URL 的 FQDN,然後按一下 [新增]。
在 [別名] 區域的 [類型] 中,選取 [DNS]。
在 [值] 中,指定遠端存取伺服器之外部對向介面卡的 IPv4 位址或 IP-HTTPS URL 的 FQDN,然後按一下 [新增]。
在 [一般] 索引標籤的 [易記名稱] 中,您可以輸入可協助您識別憑證的名稱。
在 [擴充功能] 索引標籤的 [擴充金鑰使用方法] 旁邊,按一下箭號,確認伺服器驗證在 [選取的選項] 清單中。
按一下 [確定],按一下 [註冊],然後按一下 [完成]。
在 [憑證] 嵌入式管理單元的詳細資料窗格中,確認已登錄的新憑證,其目的是用於伺服器驗證。
設定 DNS 伺服器
您必須為部署中內部網路的網路位置伺服器網站手動設定 DNS 記錄。
新增網路定位伺服器和網路探測器
在內部網路 DNS 伺服器上:在 [開始] 畫面上,輸入 dnsmgmt.msc,然後按 ENTER。
在 [DNS 管理員] 主控台的左窗格中,展開您網域的正向查詢區域。 以滑鼠右鍵按一下網域,然後按一下 [新增主機 (A 或 AAAA)]。
在 [新增主機] 對話方塊的 [名稱 (如果空白則使用父系網域名稱)] 方塊中,輸入網路位置伺服器網站的 DNS 名稱 (這是 DirectAccess 用戶端用來連線至網路位置伺服器的名稱)。 在 [IP 位址] 方塊中,輸入網路位置伺服器的 IPv4 位址,並按一下 [新增主機],然後按一下 [確定]。
在 [新增主機] 對話方塊的 [名稱 (如果空白則使用父系網域名稱)] 方塊中,輸入 Web 探查的 DNS 名稱 (預設 Web 探查的名稱是 directaccess-webprobehost)。 在 [IP 位址] 方塊中,輸入 Web 探查的 IPv4 位址,然後按一下 [新增主機]。
為 directaccess-corpconnectivityhost 和任何手動創建的連通性驗證器執行此程序以重複操作。 在 [DNS] 對話方塊上,按一下 [確定]。
按一下完成。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 請將每個 cmdlet 輸入在單一行中,即使因為格式限制,它們可能在此顯示為多行自動換行。
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
您也必須設定下列各項的 DNS 項目:
IP-HTTPS 伺服器
DirectAccess 用戶端必須能夠從網際網路解析遠端存取伺服器的 DNS 名稱。
CRL 撤銷驗證
DirectAccess 會針對遠端存取用戶端與遠端存取伺服器之間的 IP-HTTPS 連線,以及 DirectAccess 用戶端與網路位置伺服器之間的 HTTPS 型連線,使用憑證撤銷檢查。 在這兩種情況下,DirectAccess 用戶端都必須要能夠解析和存取 CRL 發佈點位置。
ISATAP
內部網站自動通道定址通訊協定 (ISATAP) 會使用通道讓 DirectAccess 用戶端透過 IPv4 網際網路 (將 IPv6 封包封裝在 IPv4 標頭內) 連線到遠端存取伺服器。 「遠端存取」會使用它,在內部網路中提供對 ISATAP 主機的 IPv6 連接。 在非原生 IPv6 網路環境中,遠端存取伺服器會自動將自己設定為 ISATAP 路由器。 需要 ISATAP 名稱的解析支援。
設定 Active Directory
遠端存取伺服器和所有 DirectAccess 用戶端電腦都必須加入 Active Directory 網域。 DirectAccess 用戶端電腦必須是下列其中一種網域類型的成員:
與遠端存取伺服器屬於相同樹系的網域。
屬於與遠端存取伺服器樹系具有雙向信任關係之樹系的網域。
與遠端存取伺服器網域具有雙向網域信任關係的網域。
將遠端存取伺服器加入網域
在 [伺服器管理員] 中,按一下 [本機伺服器]。 在詳細資料窗格中,按一下 [電腦名稱] 旁邊的連結。
在 [系統內容] 對話方塊中,按一下 [電腦名稱] 索引標籤,然後按一下 [變更]。
在 [電腦名稱] 方塊中,如果您將伺服器加入網域時也要變更電腦名稱,請輸入該電腦名稱。 在 [隸屬於] 下面,按一下 [網域],然後輸入要加入伺服器的網域名稱,例如,corp.contoso.com,然後按一下 [確定]。
提示您輸入使用者名稱和密碼時,輸入有權將電腦加入至網域的使用者名稱及密碼,然後按一下 [確定]。
當您看到顯示歡迎訊息的對話方塊時,按一下 確定。
當提示您必須重新啟動電腦時,按一下 [確定]。
在 [系統內容] 對話方塊中,按一下 [關閉]。
當提示您重新啟動電腦時,請按一下 [立即重新啟動]。
將用戶端電腦加入網域
在 [開始] 畫面上,輸入 explorer.exe,然後按 ENTER。
在 [電腦] 圖示上按一下滑鼠右鍵,然後按一下 [內容]。
在 [系統] 頁面上,按一下 [進階系統設定]。
在 [系統內容] 對話方塊中的 [電腦名稱] 索引標籤上,按一下 [變更] 。
在 [電腦名稱] 方塊中,如果您將伺服器加入網域時也要變更電腦名稱,請輸入該電腦名稱。 在 [隸屬於] 下面,按一下 [網域],然後輸入要加入伺服器的網域名稱,例如,corp.contoso.com,然後按一下 [確定]。
提示您輸入使用者名稱和密碼時,輸入有權將電腦加入至網域的使用者名稱及密碼,然後按一下 [確定]。
當您看到歡迎進入網域的對話方塊時,按一下 確定。
當提示您必須重新啟動電腦時,按一下 [確定]。
在 [系統內容] 對話方塊中,按一下 [關閉]。
出現提示時,按一下 [立即重新啟動]。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單行中輸入每個 Cmdlet,即使由於格式限制,這些指令看起來可能會在這裡被分成多行。
注意
輸入下列命令之後,您必須提供網域認證。
Add-Computer -DomainName <domain_name>
Restart-Computer
設定 GPO
要部署遠端存取,您至少需要兩個群組原則物件。 一個群組原則物件包含遠端存取伺服器的設定,另一個包含 DirectAccess 用戶端電腦的設定。 當您設定遠端存取時,精靈會自動建立必要的群組原則物件。 不過,如果您的組織強制執行命名慣例,或者您沒有建立或編輯群組原則物件所需的權限,則必須在設定遠端存取之前建立權限。
若要建立群組原則物件,請參閱建立和編輯群組原則物件。
系統管理員可以手動將 DirectAccess 群組原則物件連結至組織單位 (OU)。 請考量下列各項:
設定 DirectAccess 之前,請先將已建立的 GPO 連結到個別的 OU。
設定 DirectAccess 時,請指定用戶端電腦的安全性群組。
不論系統管理員是否有權將 GPO 連結到網域,GPO 都會自動設定。
如果 GPO 已經連結至 OU,則不會移除連結,但不會連結至網域。
以伺服器 GPO 來說,OU 必須包含伺服器電腦物件,否則 GPO 就會被連結到網域的根目錄。
如果先前未透過執行 DirectAccess 安裝精靈來連結 OU,在設定完成之後,系統管理員可以將 DirectAccess GPO 連結至所需的 OU,並移除網域的連結。
如需詳細資訊,請參閱連結群組原則物件。
注意
如果群組原則物件是手動建立的,則在進行 DirectAccess 設定時,群組原則物件可能會無法使用。 群組原則物件可能尚未複寫至最接近管理電腦的網域控制站。 系統管理員可以等候複寫完成,或強制複寫。
設定安全性群組
用戶端電腦群組原則物件中包含的 DirectAccess 設定只會套用到您設定遠端存取時所指定的安全性群組的成員電腦。
建立 DirectAccess 用戶端的安全性群組
在 [開始] 畫面上,輸入 dsa.msc,然後按 ENTER。
在 [Active Directory 使用者和電腦] 主控台的左窗格中,展開將包含安全性群組的網域,在 [使用者] 上按一下滑鼠右鍵,指向 [新增],然後按一下 [群組]。
在 [新增物件 - 群組] 對話方塊的 [群組名稱] 底下,輸入安全性群組的名稱。
在 [群組領域] 底下,按一下 [全域],在 [群組類型] 底下,按一下 [安全性],然後按一下 [確定]。
按兩下 DirectAccess 用戶端電腦安全性群組,然後在 [內容] 對話方塊中,按一下 [成員] 索引標籤。
在 [成員] 索引標籤上,按一下 [新增] 。
在 [選取使用者、連絡人、電腦或服務帳戶] 對話方塊中,選取您想要啟用 DirectAccess 的用戶端電腦,然後按一下 [確定]。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 輸入各個 cmdlet 時,請在單一行中輸入,即使在這裡因格式限制可能會顯示為多行。
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
設定網路位置伺服器
網路位置伺服器應該是具有高可用性的伺服器,而且需要受 DirectAccess 用戶端信任的有效 安全通訊端層 (SSL) 憑證。
注意
如果網路位置伺服器網站位於遠端存取伺服器,當您設定遠端存取且繫結到您所提供的伺服器憑證時,將自動建立網站。
有兩種網路位置伺服器憑證的憑證選項:
私用
注意
憑證是以在設定憑證範本中建立的憑證範本為基礎。
自我簽署
注意
自我簽署憑證無法在多站台部署中使用。
無論您使用私人憑證還是自我簽署憑證,都需要下列項目:
用於網路位置伺服器的網站憑證。 憑證主體必須是網路位置伺服器的 URL。
在內部網路上具有高可用性的 CRL 發佈點。
從內部 CA 安裝網路位置伺服器憑證
在將裝載網路位置伺服器網站的伺服器上:於 [開始] 畫面上,輸入 mmc.exe,然後按 ENTER。
在 MMC 主控台的 [檔案] 功能表上,按一下 [新增/移除嵌入式管理單元]。
在 [新增或移除嵌入式管理單元] 對話方塊中,依序按一下 [憑證]、[新增]、[電腦帳戶]、[下一步]、[本機電腦]、[完成],然後按一下 [確定]。
在憑證嵌入式管理單元的主控台樹狀目錄中,開啟 [憑證 (本機電腦)\個人\憑證]。
在 [憑證] 上按一下滑鼠右鍵,指向 [所有工作],按一下 [要求新憑證],然後按 [下一步] 兩次。
在 [要求憑證] 頁面上,選取設定憑證範本中建立的憑證範本的核取方塊,如果需要,按一下 [需要更多資訊才能註冊此憑證]。
在 [憑證內容] 對話方塊的 [主體] 索引標籤上,在 [主體名稱] 區域的 [類型] 中,選取 [一般名稱]。
在 [值] 中,輸入網路位置伺服器網站的 FQDN,然後按一下 [新增]。
在 [別名] 區域的 [類型] 中,選取 [DNS]。
在 [值] 中,輸入網路位置伺服器網站的 FQDN,然後按一下 [新增]。
在 [一般] 索引標籤的 [易記名稱] 中,您可以輸入可協助您識別憑證的名稱。
按一下 [確定],按一下 [註冊],然後按一下 [完成]。
在 [憑證] 嵌入式管理單元的詳細資料窗格中,驗證是否已註冊新的憑證並且其使用目的為伺服器驗證。
配置網路位置伺服器
在高可用性伺服器上設定網站。 這個網站不需要任何內容,但是進行測試時,您可以定義一個在用戶端連線時提供訊息的預設網頁。
如果網路位置伺服器網站裝載在遠端存取伺服器上,則不需要此步驟。
將 HTTPS 伺服器憑證繫結到網站。 憑證的一般名稱應該與網路位置伺服器站台的名稱相符。 確定 DirectAccess 用戶端信任簽發 CA。
如果網路位置伺服器網站裝載在遠端存取伺服器上,則不需要此步驟。
在內部網路上設定高可用性的 CRL 站台。
存取 CRL 發佈點時可以透過:
使用 HTTP 型 URL 的網頁伺服器,例如:https://crl.corp.contoso.com/crld/corp-APP1-CA.crl
透過通用命名慣例 (UNC) 路徑 (例如 \\crl.corp.contoso.com\crld\corp-APP1-CA.crl) 存取的檔案伺服器
如果內部 CRL 發佈點只能透過 IPv6 連線,您必須設定具有進階安全性連線安全性規則的 Windows 防火牆。 這會豁免從您的內部網路 IPv6 位址空間到您 CRL 發佈點 IPv6 位址的 IPsec 保護。
確保內部網路上的 DirectAccess 用戶端可以解析網路位置伺服器的名稱,且網際網路上的 DirectAccess 用戶端無法解析該名稱。