步驟 1 規劃遠端存取基礎結構

適用于:Windows Server 2022、Windows Server 2019、Windows Server 2016

注意

Windows Server 2016會將 DirectAccess 和 Routing and Remote Access Service (RRAS) 結合成單一遠端存取角色。

本主題描述規劃可用來設定單一遠端存取服務器以進行 DirectAccess 用戶端遠端系統管理之基礎結構的步驟。 下表列出這些步驟,但這些規劃工作不需要以特定順序完成。

Task 描述
規劃網路拓撲和伺服器設定 決定將遠端存取服務器 (放在邊緣或網路位址轉譯後方的位置, (NAT) 裝置或防火牆) ,以及規劃 IP 位址和路由。
規劃防火牆需求 規劃透過邊緣防火牆允許遠端存取。
規劃憑證需求 決定您是否將使用 Kerberos 通訊協定或憑證進行用戶端驗證,並規劃您的網站憑證。

IP-HTTPS 是 DirectAccess 用戶端透過 IPv4 網路建立 IPv6 流量通道時所使用的轉換通訊協定。 決定要使用憑證授權單位單位 (CA) 發行的憑證,或使用遠端存取服務器自動發行的自我簽署憑證,來驗證服務器的 IP-HTTPS。
規劃 DNS 需求 規劃遠端存取服務器、基礎結構伺服器、本機名稱解析選項和用戶端連線的網域名稱系統 (DNS) 設定。
規劃網路位置伺服器設定 決定將網路位置伺服器網站放在您的組織中 (遠端存取服務器或替代伺服器) 的位置,並在網路位置伺服器位於遠端存取服務器上時規劃憑證需求。 注意: DirectAccess 用戶端會使用網路位置伺服器來判斷它們是否位於內部網路上。
規劃管理伺服器的設定 計劃遠端管理用戶端時,會用到的管理伺服器 (例如更新伺服器)。 注意: 系統管理員可以使用網際網路,從遠端系統管理位於公司網路外部的 DirectAccess 用戶端電腦。
規劃 Active Directory 需求 規劃網域控制站、Active Directory 需求、用戶端驗證和多個網域結構。
規劃群組原則物件建立 決定組織中需要哪些 GPO,以及如何建立和編輯 GPO。

規劃網路拓撲與設定

當您規劃網路時,必須考慮網路介面卡拓撲、IP 定址的設定,以及 ISATAP 的需求。

規劃網路介面卡和 IP 位址

  1. 識別您想要使用的網路介面卡拓撲。 您可以使用下列任一拓撲來設定遠端存取:

    • 使用兩張網路介面卡:遠端存取服務器會安裝在邊緣,其中一張網路介面卡連線到網際網路,另一張網路介面卡則安裝到內部網路。

    • 使用兩張網路介面卡:遠端存取服務器會安裝在 NAT 裝置、防火牆或路由器後方,其中一張網路介面卡連線到周邊網路,另一張網路介面卡則安裝到內部網路。

    • 使用一張網路介面卡:遠端存取服務器會安裝在 NAT 裝置後方,而單一網路介面卡會連線到內部網路。

  2. 識別您的 IP 位址指定需求:

    DirectAccess 使用 IPv6 搭配 IPsec 在 DirectAccess 用戶端電腦與公司內部網路之間建立安全連線。 不過,DirectAccess 不一定需要 IPv6 網際網路的連線能力,或內部網路的原生 IPv6 支援。 相反地,它會自動設定並使用 IPv6 轉換技術,跨 IPv4 網際網路 (6to4、Teredo 或 IP-HTTPS) ,以及跨僅限 IPv4 的內部網路 (NAT64 或 ISATAP) 通道 IPv6 流量。 如需這些轉換技術的概觀,請參閱下列資源:

  3. 根據下表設定所需的介面卡和位址指定。 針對使用單一網路介面卡的 NAT 裝置後方部署,請只使用 [內部網路介面卡 ] 資料行來設定您的 IP 位址。

    描述 外部網路介面卡 內部網路介面卡 1,以上 路由需求
    IPv4 網際網路和 IPv4 內部網路 設定下列各項:

    - 兩個靜態連續的公用 IPv4 位址,其中只有 Teredo) 才需要適當的子網路遮罩 (。
    - 網際網路防火牆或本機網際網路服務提供者的預設閘道 IPv4 位址, (ISP) 路由器。 注意:遠端存取服務器需要兩個連續的公用 IPv4 位址,使其可作為 Teredo 伺服器,而以 Windows 為基礎的 Teredo 用戶端可以使用遠端存取服務器來偵測 NAT 裝置的類型。
    設定下列各項:

    - 具有適當子網路遮罩的 IPv4 內部網路位址。
    - 內部網路命名空間的連線特定 DNS 尾碼。 此外,也應該在內部介面上設定 DNS 伺服器。 謹慎: 請勿在任何內部網路介面上設定預設閘道。
    若要將遠端存取服務器設定為連線到內部 IPv4 網路上的所有子網,請執行下列動作:

    - 列出內部網路上所有位置的 IPv4 位址空間。
    - 使用 route add -pnetsh interface ipv4 add route 命令,將 IPv4 位址空間新增為遠端存取服務器的 IPv4 路由表中的靜態路由。
    IPv6 網際網路與 IPv6 內部網路 設定下列各項:

    - 使用 ISP 所提供的自動設定位址組態。
    - 使用 route print 命令來確保指向 ISP 路由器的預設 IPv6 路由存在於 IPv6 路由表中。
    - 判斷 ISP 和內部網路路由器是否使用預設路由器喜好設定,如 RFC 4191 中所述,以及是否使用比本機內部網路路由器更高的預設喜好設定。 如果這兩項都是肯定的,預設路由就不需要其他設定。 ISP 路由器較高的喜好設定可確保遠端存取伺服器使用中的預設 IPv6 路由指向 IPv6 網際網路。

    因為遠端存取伺服器是 IPv6 路由器,如果您有原生的 IPv6 基礎結構,網際網路介面也可以連線到內部網路的網域控制站。 在此情況下,請將封包篩選新增至周邊網路中網域控制站,以防止連線到遠端存取服務器網際網路介面的 IPv6 位址。
    設定下列各項:

    如果您未使用預設喜好設定層級,請使用 netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled 命令來設定內部網路介面。 這個命令可確保指向內部網路路由器的其他預設路由將不會新增到 IPv6 路由表。 您可以從命令的顯示中取得內部網路介面的 netsh interface show interface InterfaceIndex。
    如果您有 IPv6 內部網路,要設定遠端存取伺服器以連線到所有 IPv6 位置,請執行下列動作:

    - 列出內部網路上所有位置的 IPv6 位址空間。
    - 使用 netsh interface ipv6 add route 命令將 IPv6 位址空間新增為遠端存取服務器的 IPv6 路由表中的靜態路由。
    IPv4 網際網路和 IPv6 內部網路 遠端存取服務器會使用 Microsoft 6to4 配接器介面將預設 IPv6 路由流量轉送至 IPv4 網際網路上的 6to4 轉送。 在公司網路中未部署原生 IPv6 時,您可以使用下列命令,在 IPv4 網際網路上為 Microsoft 6to4 轉寄的 IPv4 位址設定遠端存取服務器: netsh interface ipv6 6to4 set relay name=<ipaddress> state=enabled

    注意

    • 如果 DirectAccess 用戶端已獲指派公用 IPv4 位址,則會使用 6to4 轉寄技術來連線到內部網路。 如果用戶端獲指派私人 IPv4 位址,則會使用 Teredo。 如果 DirectAccess 用戶端無法使用 6to4 或 Teredo 連線到 DirectAccess 伺服器,則會使用 IP-HTTPS。
    • 若要使用 Teredo,您必須在對外網路介面卡上設定兩個連續的 IP 位址。
    • 如果遠端存取服務器只有一張網路介面卡,您就無法使用 Teredo。
    • 原生 IPv6 用戶端電腦可以透過原生 IPv6 連線到遠端存取伺服器,不需要轉換技術。

規劃 ISATAP 需求

需要 ISATAP 才能遠端系統管理 DirectAccessclients,讓 DirectAccess 管理伺服器可以連線到位於網際網路上的 DirectAccess 用戶端。 ISATAP 不需要支援 DirectAccess 用戶端電腦對公司網路上 IPv4 資源的連線。 針對這個目的,會使用 NAT64/DNS64。 如果您的部署需要 ISATAP,請使用下表來識別您的需求。

ISATAP 部署案例 規格需求
現有的原生 IPv6 內部網路 (不需要 ISATAP) 使用現有的原生 IPv6 基礎結構,您可以在遠端存取部署期間指定組織的前置詞,而遠端存取服務器不會將本身設定為 ISATAP 路由器。 執行下列動作:

1. 若要確保 DirectAccess 用戶端可從內部網路連線,您必須修改 IPv6 路由,讓預設路由流量轉送至遠端存取服務器。 如果您的內部網路 IPv6 位址空間使用單一 48 位 IPv6 位址首碼以外的位址,您必須在部署期間指定相關的組織 IPv6 前置詞。
2.如果您目前已連線到 IPv6 網際網路,您必須設定預設路由流量,使其轉送至遠端存取服務器,然後在遠端存取服務器上設定適當的連線和路由,讓預設路由流量轉送到連線到 IPv6 網際網路的裝置。
現有的 ISATAP 部署 如果您有現有的 ISATAP 基礎結構,在部署期間,系統會提示您輸入組織的 48 位前置詞,而遠端存取服務器不會將本身設定為 ISATAP 路由器。 若要確保 DirectAccess 用戶端可從內部網路連線,您必須修改 IPv6 路由基礎結構,讓預設路由流量轉送至遠端存取服務器。 這項變更必須在內部網路用戶端必須已轉送預設流量的現有 ISATAP 路由器上完成。
沒有現有的 IPv6 連線能力 當遠端存取安裝精靈偵測到伺服器沒有原生或 ISATAP 型 IPv6 連線時,它會自動衍生內部網路的 6to4 型 48 位前置詞,並將遠端存取服務器設定為 ISATAP 路由器,以提供跨內部網路的 ISATAP 主機的 IPv6 連線能力。 (只有在伺服器具有公用位址時,才會使用以 6to4 為基礎的前置詞,否則會從唯一的本機位址範圍自動產生前置詞。)

若要使用 ISATAP,請執行下列動作:

1.針對您想要啟用 ISATAP 型連線的每個網域,在 DNS 伺服器上註冊 ISATAP 名稱,讓內部 DNS 伺服器可解析 ISATAP 名稱至遠端存取服務器的內部 IPv4 位址。
2.根據預設,執行 Windows Server 2012 、Windows Server 2008 R2、Windows Server 2008 或 Windows SERVER 2003 ISATAP 名稱的 DNS 伺服器使用全域查詢區塊清單解析。 若要啟用 ISATAP,您必須從區塊清單中移除 ISATAP 名稱。 如需詳細資訊,請參閱 從 DNS 全域查詢區塊清單移除 ISATAP

Windows型 ISATAP 主機,可解析 ISATAP 名稱時,會自動使用遠端存取服務器設定位址,如下所示:

1.ISATAP 通道介面上的 ISATAP 型 IPv6 位址
2.提供內部網路上其他 ISATAP 主機連線的 64 位路由
3.指向遠端存取服務器的預設 IPv6 路由。 預設路由可確保內部網路 ISATAP 主機可以連線到 DirectAccess 用戶端

當您的Windows型 ISATAP 主機取得 ISATAP 型 IPv6 位址時,如果目的地也是 ISATAP 主機,他們就會開始使用 ISATAP 封裝的流量進行通訊。 由於 ISATAP 會針對整個內部網路使用單一 64 位子網,因此您的通訊會從分段的 IPv4 通訊模型到具有 IPv6 的單一子網通訊模型。 這可能會影響依賴 Active Directory 月臺和服務設定的某些Active Directory 網域服務 (AD DS) 和應用程式的行為。 例如,如果您使用 Active Directory 月臺和服務嵌入式管理單元來設定月臺、IPv4 型子網和月臺間傳輸,以便將要求轉送至月臺內的伺服器,ISATAP 主機不會使用此設定。

  1. 若要為 ISATAP 主機的月臺內轉送設定 Active Directory 月臺和服務,針對每個 IPv4 子網物件,您必須設定對等的 IPv6 子網物件,其中子網的 IPv6 位址前置詞會表示與 IPv4 子網相同的 ISATAP 主機位址範圍。 例如,針對 IPv4 子網 192.168.99.0/24 和 64 位 ISATAP 位址首碼 2002:836b:1:8000::/64, IPv6 子網物件的對等 IPv6 位址首碼是 2002:836b:1:8000:0:5efe:192.168.99.0/120。 針對範例中的任意 IPv4 前置長度 (設定為 24) ,您可以從公式 96 + IPv4PrefixLength 判斷對應的 IPv6 前置長度。
  2. 針對 DirectAccess 用戶端的 IPv6 位址,新增下列內容:

    • 針對 Teredo 型 DirectAccess 用戶端:2001:0:WWXX:YYZZ::/64 範圍的 IPv6 子網,其中 WWXX:YYZZ 是遠端存取服務器第一個網際網路對應 IPv4 位址的冒號十六進位版本。 .
    • 針對以 IP-HTTPS 為基礎的 DirectAccess 用戶端:2002:WWXX:YYZZ:8100::/56 範圍的 IPv6 子網,其中 WWXX:YYZZ 是第一個網際網路對向 IPv4 位址的冒號十六進位版本, (w.x.y.z) 遠端存取服務器。 .
    • 針對以 6to4 為基礎的 DirectAccess 用戶端:一系列的 6to4 型 IPv6 前置詞,開頭為 2002:,並代表由網際網路指派號碼授權單位所管理的區域性公用 IPv4 位址首碼, (IANA) 和區域登錄。 公用 IPv4 位址首碼 w.x.y.z/n 的 6to4 型前置詞是 2002:WWXX:YYZZ::/[16+n],其中 WWXX:YYZZ 是 w.x.y.z 的冒號十六進位版本。

      例如,7.0.0.0/8 範圍是由適用于網際網路號碼的美國登錄 (ARIN) 管理北美洲。 此公用 IPv6 位址範圍的對應 6to4 前置詞為 2002:700::/24。 如需 IPv4 公用位址空間的相關資訊,請參閱 IANA IPv4 位址空間登錄。 .

重要

請確定您在 DirectAccess 伺服器的內部介面上沒有公用 IP 位址。 如果您在內部介面上有公用 IP 位址,則透過 ISATAP 的連線可能會失敗。

規劃防火牆需求

如果遠端存取伺服器位於邊緣防火牆後面,當遠端存取伺服器位於 IPv4 網際網路時,遠端存取流量就會需要下列例外狀況:

  • 針對 IP-HTTPS:傳輸控制通訊協定 (TCP) 目的地埠 443 和 TCP 來源埠 443 輸出。

  • 針對 Teredo 流量:使用者資料包通訊協定 (UDP) 目的地埠 3544 輸入,以及 UDP 來源埠 3544 輸出。

  • 針對 6to4 流量:IP 通訊協定 41 輸入和輸出。

    注意

    若為 Teredo 和 6to4 流量,則必須針對遠端存取伺服器上的網際網路對向連續公用 IPv4 位址套用這些例外。

    若為 IP-HTTPS,則必須在公用 DNS 伺服器上註冊的位址上套用例外狀況。

  • 如果您要使用單一網路介面卡部署遠端存取,並在遠端存取服務器上安裝網路位置伺服器,TCP 埠 62000。

    注意

    此豁免位於遠端存取服務器上,先前的豁免位於邊緣防火牆上。

當遠端存取服務器位於 IPv6 網際網路上時,遠端存取流量需要下列例外狀況:

  • IP 通訊協定 50

  • UDP 目的地連接埠 500 輸入,及 UDP 來源連接埠 500 輸出。

  • 只有在使用 Teredo) 時,ICMPv6 流量才會輸入和輸出 (。

當您使用其他防火牆時,請針對遠端存取流量套用下列內部網路防火牆例外狀況:

  • 針對 ISATAP:通訊協定 41 輸入和輸出

  • 針對所有 IPv4/IPv6 流量:TCP/UD

  • 針對 Teredo:所有 IPv4/IPv6 流量的 ICMP

規劃憑證需求

當您部署單一遠端存取服務器時,有三種需要憑證的案例。

  • IPsec 驗證:IPsec的憑證需求包括當 DirectAccess 用戶端電腦與遠端存取服務器建立 IPsec 連線時所使用的電腦憑證,以及遠端存取服務器用來建立與 DirectAccess 用戶端的 IPsec 連線的電腦憑證。

    若為 Windows Server 2012 中的 DirectAccess,則不需要使用這些 IPsec 憑證。 或者,遠端存取服務器可以做為 Kerberos 驗證的 Proxy,而不需要憑證。 如果使用 Kerberos 驗證,它會透過 SSL 運作,而 Kerberos 通訊協定會使用針對 IP-HTTPS 設定的憑證。 某些企業案例 (包括多月臺部署和單次密碼用戶端驗證) 需要使用憑證驗證,而不是 Kerberos 驗證。

  • IP-HTTPS 伺服器:當您設定遠端存取時,遠端存取服務器會自動設定為做為 IP-HTTPS Web 接聽程式。 IP-HTTPS 站台需要有網站憑證,而用戶端電腦必須要能夠連線到憑證撤銷清單 (CRL) 站台來查看該憑證是否在清單中。

  • 網路位置伺服器:網路位置伺服器是用來偵測用戶端電腦是否位於公司網路的網站。 網路位置伺服器需要網站憑證。 DirectAccess 用戶端必須要能夠連線到 CRL 站台來查看該憑證是否在清單中。

下表摘要說明憑證授權單位單位 (CA) 每個案例的需求。

IPsec 驗證 IP-HTTPS 伺服器 網路位置伺服器
當您不使用 Kerberos 通訊協定進行驗證時,需要內部 CA 才能將電腦憑證發行給遠端存取服務器和用戶端以進行 IPsec 驗證。 內部 CA:您可以使用內部 CA 發出 IP-HTTPS 憑證;不過,您必須確定 CRL 發佈點可在外部使用。 內部 CA:您可以使用內部 CA 來發行網路位置伺服器網站證書。 請確定 CRL 發佈點在內部網路具有高可用性。
自我簽署憑證:您可以使用 IP-HTTPS 伺服器的自我簽署憑證。 自我簽署憑證無法在多站台部署中使用。 自我簽署憑證:您可以針對網路位置伺服器網站使用自我簽署憑證;不過,您無法在多月臺部署中使用自我簽署憑證。
公用 CA:建議您使用公用 CA 發出 IP-HTTPS 憑證,這可確保 CRL 發佈點可在外部使用。

規劃用於 IPsec 驗證的電腦憑證

如果您使用憑證型 IPsec 驗證,則需要遠端存取服務器和用戶端才能取得電腦憑證。 安裝憑證最簡單的方式是使用群組原則來設定電腦憑證的自動註冊。 這可確保所有網域成員都會從企業 CA 取得憑證。 如果您的組織中並未設定企業 CA,請參閱 Active Directory 憑證服務

這個憑證具有下列需求:

  • 憑證應該具有用戶端驗證延伸金鑰使用方式, (EKU) 。

  • 用戶端和伺服器憑證應該與相同的根憑證相關。 在 DirectAccess 組態設定中必須選取這個根憑證。

規劃 IP-HTTPS 的憑證

遠端存取伺服器要做為 IP-HTTPS 接聽程式,而且您必須手動在伺服器上安裝 HTTPS 網站憑證。 規劃時,請考量下列各項:

  • 建議使用公用 CA,以便隨時可用 CRL。

  • 在 [主旨] 欄位中,指定遠端存取服務器的網際網路介面卡 IPv4 位址,或 (ConnectTo 位址) IP-HTTPS URL 的 FQDN。 如果遠端存取伺服器位於 NAT 裝置後面,必須指定 NAT 裝置的公用名稱或位址。

  • 憑證的一般名稱必須符合 IP-HTTPS 站台的名稱。

  • 針對 [增強金鑰使用方式 ] 欄位,請使用 [伺服器驗證] 物件識別碼 (OID) 。

  • 在 [CRL 發佈點] 欄位中,指定連線到網際網路的 DirectAccess 用戶端可存取的 CRL 發佈點。

    注意

    只有執行 Windows 7 的用戶端才需要此專案。

  • IP-HTTPS 憑證必須具有私密金鑰。

  • IP-HTTPS 憑證必須直接匯入到個人存放區。

  • IP-HTTPS 憑證的名稱中可以包含萬用字元。

規劃網路位置伺服器的網站憑證

當您規劃網路位置伺服器網站時,請考慮下列事項:

  • 在 [主體] 欄位中,指定網路位置伺服器之內部網路介面的 IP 位址,或網路位置 URL 的 FQDN。

  • 針對 [ 增強金鑰使用方式 ] 欄位,請使用 [伺服器驗證 OID]。

  • 針對 [CRL 發佈點 ] 欄位,請使用連線到內部網路的 DirectAccess 用戶端可存取的 CRL 發佈點。 這個 CRL 發佈點應該要無法從內部網路之外存取。

注意

確定 IP-HTTPS 和網路位置伺服器的憑證具有主體名稱。 如果憑證使用替代名稱,遠端存取精靈將不會接受它。

規劃 DNS 需求

本節說明遠端存取部署中用戶端和伺服器的 DNS 需求。

DirectAccess 用戶端要求

DNS 會被用來解析來自不位於內部網路上的 DirectAccess 用戶端電腦的要求。 DirectAccess 用戶端會嘗試連線到 DirectAccess 網路位置伺服器,以判斷它們位於網際網路或公司網路上。

  • 如果連線成功,用戶端會判斷為位於內部網路、不使用 DirectAccess,而且用戶端要求是使用用戶端電腦網路介面卡上設定的 DNS 伺服器來解析。

  • 如果連線不成功,用戶端會被認為位於網際網路上。 DirectAccess 用戶端會使用名稱解析原則表格 (NRPT) 來決定解析名稱要求時要使用的 DNS 伺服器。 您可以指定用戶端應使用 DirectAccess DNS64 或替代的內部 DNS 伺服器來解析名稱。

執行名稱解析時,DirectAccess 用戶端會使用 NRPT 來識別如何處理要求。 用戶端要求 FQDN 或單一標籤名稱,例如 <https://internal> 。 如果要求的是單一標籤名稱,系統就會附加 DNS 尾碼來建立 FQDN。 如果 DNS 查詢符合 NRPT 和 DNS4 中的專案,或為專案指定內部網路 DNS 伺服器,則會使用指定的伺服器來傳送查詢以進行名稱解析。 如果相符專案存在,但未指定 DNS 伺服器,則會套用豁免規則和一般名稱解析。

將新的尾碼新增至遠端存取管理主控台中的 NRPT 時,您可以按一下 [ 偵測 ] 按鈕,自動探索尾碼的預設 DNS 伺服器。 自動偵測的運作方式如下:

  • 如果公司網路是以 IPv4 為基礎,或使用 IPv4 和 IPv6,則預設位址是遠端存取服務器上內部介面卡的 DNS64 位址。

  • 如果公司網路是 IPv6 型,預設位址就是公司網路中 DNS 伺服器的 IPv6 位址。

基礎結構伺服器
  • 網路位置伺服器

    DirectAccess 用戶端會嘗試連線到網路位置伺服器,以判斷它們是否位於內部網路上。 內部網路上的用戶端必須能夠解析網路位置伺服器的名稱,而且必須在位於網際網路時防止它們解析名稱。 為了確保這種情況,預設會將網路位置伺服器的 FQDN 新增到 NRPT 中做為豁免規則。 此外,當您設定「遠端存取」時,系統會自動建立下列規則:

    • 根域或遠端存取服務器的功能變數名稱,以及對應至遠端存取服務器上設定的內部網路 DNS 伺服器的 IPv6 位址的 DNS 尾碼規則。 例如,如果遠端存取伺服器是 corp.contoso.com 網域的成員,就會為 corp.contoso.com DNS 尾碼建立規則。

    • 網路位置伺服器之 FQDN 的豁免規則。 例如,如果網路位置伺服器 URL 為 https://nls.corp.contoso.com ,則會針對 FQDN nls.corp.contoso.com 建立豁免規則。

  • IP-HTTPS 伺服器

    遠端存取服務器可作為 IP-HTTPS 接聽程式,並使用其伺服器憑證向 IP-HTTPS 用戶端進行驗證。 IP-HTTPS 名稱必須由使用公用 DNS 伺服器的 DirectAccess 用戶端解析。

連線能力檢查器

「遠端存取」會建立一個預設 Web 探查,供 DirectAccess 用戶端電腦用來確認對內部網路的連線能力。 若要確保探查能夠如預期般運作,必須在 DNS 中手動登錄下列名稱:

  • directaccess-webprobehost 應該解析為遠端存取服務器的內部 IPv4 位址,或解析為僅限 IPv6 環境中的 IPv6 位址。

  • directaccess-corpconnectivityhost 應該解析為本機主機 (回送) 位址。 您應該建立 A 和 AAAA 記錄。 A 記錄的值是 127.0.0.1,而 AAAA 記錄的值是從 NAT64 前置詞建構,最後 32 位為 127.0.0.1。 您可以執行Get-netnatTransitionConfiguration Windows PowerShell Cmdlet 來擷取 NAT64 前置詞。

    注意

    這僅適用于僅限 IPv4 的環境中。 在 IPv4 加上 IPv6 或僅限 IPv6 的環境中,只建立具有回送 IP 位址 ::1 的 AAAA 記錄。

您可以透過 HTTP 或 PING 使用其他網址來建立其他連線驗證程式。 每個連線能力檢查器都必須有一個 DNS 項目。

DNS 伺服器需求
  • 針對 DirectAccess 用戶端,您必須使用執行 Windows Server 2012 、Windows Server 2008 R2 、Windows Server 2008 、Windows Server 2003 的 DNS 伺服器,或任何支援 IPv6 的 DNS 伺服器。

  • 您應該使用支援動態更新的 DNS 伺服器。 您可以使用不支援動態更新的 DNS 伺服器,但必須手動更新專案。

  • CRL 發佈點的 FQDN 必須使用網際網路 DNS 伺服器進行解析。 例如,如果 URL https://crl.contoso.com/crld/corp-DC1-CA.crl 位於遠端存取服務器的 IP-HTTPS 憑證的 CRL 發佈點 欄位中,您必須使用網際網路 DNS 伺服器確定 FQDN crld.contoso.com 可解析。

規劃本機名稱解析

當您規劃本機名稱解析時,請考慮下列事項:

NRPT

在下列情況下,您可能需要建立其他名稱解析原則資料表 (NRPT) 規則:

  • 您需要為內部網路命名空間新增更多 DNS 尾碼。

  • 如果 CRL 發佈點的 FQDN 是以內部網路命名空間為基礎,您必須為 CRL 發佈點的 FQDN 新增豁免規則。

  • 如果您有分割大腦 DNS 環境,您必須針對您想要位於網際網路上的 DirectAccess 用戶端存取網際網路版本的資源名稱新增豁免規則,而不是內部網路版本。

  • 如果您要透過內部網路 Web Proxy 伺服器將流量重新導向至外部網站,則外部網站只能從內部網路使用。 它會使用 Web Proxy 伺服器的位址來允許輸入要求。 在此情況下,新增外部網站的 FQDN 豁免規則,並指定規則使用內部網路 Web Proxy 伺服器,而不是內部網路 DNS 伺服器的 IPv6 位址。

    例如,假設您正在測試名為 test.contoso.com 的外部網站。 此名稱無法透過網際網路 DNS 伺服器解析,但 Contoso Web Proxy 伺服器知道如何解析名稱,以及如何將網站的要求導向外部網頁伺服器。 為了防止不在 Contoso 內部網路的使用者存取站台,該外部網站只會允許來自 Contoso Web Proxy 之 IPv4 網際網路位址的要求。 因此,內部網路使用者可以存取網站,因為它們使用 Contoso Web Proxy,但 DirectAccess 使用者無法存取網站,因為它們不是使用 Contoso Web Proxy。 藉由為使用 Contoso Web Proxy 的 test.contoso.com 設定 NRPT 豁免規則,即可透過 IPv4 網際網路將 test.contoso.com 的網頁要求路由傳送到內部網路 Web Proxy 伺服器。

單一標籤名稱

單一標籤名稱,例如 <https://paycheck> ,有時會用於內部網路伺服器。 如果要求單一標籤名稱,且已設定 DNS 尾碼搜尋清單,則會將清單中的 DNS 尾碼附加至單一標籤名稱。 例如,當使用者在網頁瀏覽器中屬於 corp.contoso.com 網欄位型別的 <https://paycheck> 電腦上,建構為名稱的 FQDN 會 paycheck.corp.contoso.com。 根據預設,附加尾碼是以用戶端電腦的主要 DNS 尾碼為基礎。

注意

在脫離的名稱空間案例中, (其中一或多部網域電腦具有與電腦為成員) 的 Active Directory 網域不符的 DNS 尾碼,您應該確定搜尋清單已自訂為包含所有必要的尾碼。 根據預設,[遠端存取精靈] 會將 Active Directory DNS 名稱設定為用戶端上的主要 DNS 尾碼。 請務必新增用戶端用來進行名稱解析的 DNS 尾碼。

如果在組織中部署多個網域和Windows網際網路名稱服務 (WINS) ,而且您從遠端連線,則可以解析單一名稱,如下所示:

  • 藉由在 DNS 中部署 WINS 正向查閱區域。 嘗試解析 computername.dns.zone1.corp.contoso.com 時,要求會導向至僅使用電腦名稱稱的 WINS 伺服器。 用戶端認為它發出一般 DNS A 記錄要求,但實際上是 NetBIOS 要求。

    如需詳細資訊,請參閱 管理正向查閱區域

  • 例如,將 DNS 尾碼 (新增至預設網域 GPO dns.zone1.corp.contoso.com) 。

拆分式 DNS

分割大腦 DNS 是指標對網際網路和內部網路名稱解析使用相同的 DNS 網域。

針對分割大腦 DNS 部署,您必須列出在網際網路和內部網路上複製的 FQDN,並決定 DirectAccess 用戶端應該觸達內部網路或網際網路版本的資源。 當您想要 DirectAccess 用戶端連線到網際網路版本時,您必須將對應的 FQDN 新增為每個資源的 NRPT 豁免規則。

在分割大腦 DNS 環境中,如果您希望這兩個版本的資源都可供使用,請使用不會重複網際網路上所用名稱的名稱來設定您的內部網路資源。 然後,指示使用者在存取內部網路上的資源時,使用替代名稱。 例如,針對 www.contoso.com 的內部名稱設定 www.internal.contoso.com。

在非拆分式 DNS 環境中,網際網路命名空間會與內部網路命名空間不同。 例如,Contoso 公司在網際網路上使用 contoso.com,在內部網路上使用 corp.contoso.com。 由於所有內部網路資源都使用 corp.contoso.com DNS 尾碼,因此 corp.contoso.com 的 NRPT 規則會將內部網路資源的所有 DNS 名稱查詢都路由傳送到內部網路 DNS 伺服器。 具有 contoso.com 尾碼名稱的 DNS 查詢與 NRPT 中的 corp.contoso.com 內部網路命名空間規則不符,而且會傳送至網際網路 DNS 伺服器。 使用非拆分式 DNS 部署時,由於內部網路和網際網路資源的 FQDN 不會重複,因此不需要為 NRPT 進行任何額外的設定。 DirectAccess 用戶端可以存取其組織的網際網路和內部網路資源。

規劃 DirectAccess 用戶端的本機名稱解析行為

如果無法使用 DNS 解析名稱,Windows Server 2012 、Windows 8、Windows Server 2008 R2 和 Windows 7 中的 DNS 用戶端服務可以使用本機名稱解析,搭配連結本機多播名稱解析 (LLMNR) 和 NetBIOS over TCP/IP 通訊協定解析,以解析本機子網上的名稱。 當電腦位於私人網路 (例如單一子網路的家用網路) 時,通常需要本機名稱解析,才能進行對等連線。

當 DNS 用戶端服務執行內部網路伺服器名稱的本機名稱解析,且電腦連線到網際網路上的共用子網時,惡意使用者可以透過 TCP/IP 訊息擷取 LLMNR 和 NetBIOS,以判斷內部網路伺服器名稱。 在 [基礎結構伺服器安裝精靈] 的 [DNS] 頁面上,您可以根據從內部網路 DNS 伺服器收到的回應類型來設定本機名稱解析行為。 可用選項如下:

  • 如果 DNS 中名稱不存在,請使用本機名稱解析:此選項最安全,因為 DirectAccess 用戶端只會針對內部網路 DNS 伺服器無法解析的伺服器名稱執行本機名稱解析。 如果可以連線到內部網路 DNS 伺服器,就會解析內部網路伺服器的名稱。 如果無法連線到內部網路 DNS 伺服器,或是有其他類型的 DNS 錯誤,也不會透過本機名稱解析將內部網路伺服器名稱遺漏到子網路。

  • 如果 DNS 或 DNS 伺服器中沒有名稱不存在,當用戶端電腦位於私人網路 (建議) 時無法使用本機名稱解析 ,請使用本機名稱解析:因為只有在無法連線到內部網路 DNS 伺服器時,才允許在私人網路上使用本機名稱解析。

  • 針對任何類型 DNS 解析錯誤使用本機名稱解析, (最低安全) :這是最不安全的選項,因為內部網路伺服器的名稱可以透過本機名稱解析外泄至本機子網。

規劃網路位置伺服器組態

網路位置伺服器是一個用來偵測 DirectAccess 用戶端是否位於公司網路中的網站。 公司網路中用戶端不會使用 DirectAccess 連線到內部資源;但相反地,它們會直接連線。

網路位置伺服器網站可以裝載于遠端存取服務器或組織中的另一部伺服器上。 如果您在遠端存取服務器上裝載網路位置伺服器,當您部署遠端存取時,會自動建立網站。 如果您在執行Windows作業系統的另一部伺服器上裝載網路位置伺服器,您必須確定Internet Information Services (IIS) 已安裝在該伺服器上,並建立網站。 遠端存取不會在網路位置伺服器上設定設定。

請確定網路位置伺服器網站符合下列需求:

  • 具有 HTTPS 伺服器憑證。

  • 具有內部網路上電腦的高可用性。

  • 無法存取網際網路上的 DirectAccess 用戶端電腦。

此外,當您設定網路位置伺服器網站時,請考慮用戶端的下列需求:

  • DirectAccess 用戶端電腦必須信任簽發伺服器憑證給網路位置伺服器網站的 CA。

  • 內部網路上的 DirectAccess 用戶端電腦必須能夠解析網路位置伺服器站台的名稱。

規劃網路位置伺服器的憑證

當您取得要用於網路位置伺服器的網站憑證時,請考慮下列事項:

  • 在 [主體] 欄位中,指定網路位置伺服器之內部網路介面的 IP 位址,或網路位置 URL 的 FQDN。

  • 針對 [ 增強金鑰使用方式 ] 欄位,請使用 [伺服器驗證 OID]。

  • 網路位置伺服器憑證必須針對憑證撤銷清單進行檢查, (CRL) 。 針對 [CRL 發佈點 ] 欄位,請使用連線到內部網路的 DirectAccess 用戶端可存取的 CRL 發佈點。 這個 CRL 發佈點應該要無法從內部網路之外存取。

規劃網路位置伺服器的 DNS

DirectAccess 用戶端會嘗試連線到網路位置伺服器,以判斷它們是否位於內部網路上。 內部網路上的用戶端必須能夠解析網路位置伺服器的名稱,但是當它們位於網際網路上時,則必須防止它們解析該伺服器的名稱。 為了確保這種情況,預設會將網路位置伺服器的 FQDN 新增到 NRPT 中做為豁免規則。

規劃管理伺服器的設定

DirectAccess 用戶端會起始與管理伺服器的通訊,以提供Windows Update和防病毒軟體更新等服務。 DirectAccess 用戶端也會使用 Kerberos 通訊協定向網域控制站進行驗證,再存取內部網路。 在進行 DirectAccess 用戶端遠端管理時,管理伺服器會與用戶端電腦進行通訊來執行管理功能 (例如軟體或硬體清查評定)。 「遠端存取」可以自動探索某些管理伺服器,包括:

  • 網域控制站:針對包含用戶端電腦的網域,以及與遠端存取服務器位於相同樹系中的所有網域,執行網域控制站的自動探索。

  • Microsoft Endpoint Configuration Manager伺服器

第一次設定 DirectAccess 時,會自動偵測網域控制站和Configuration Manager伺服器。 偵測到的網域控制站不會顯示在主控台中,但可以使用 Windows PowerShell Cmdlet 來擷取設定。 如果網域控制站或Configuration Manager伺服器遭到修改,請按一下主控台中的 [更新管理伺服器] 會重新整理管理伺服器清單。

管理伺服器需求

  • 管理伺服器必須可透過基礎結構通道存取。 設定「遠端存取」時,只要將伺服器新增到管理伺服器清單中,就會自動將它們設定為可透過這個通道存取。

  • 起始 DirectAccess 用戶端連線的管理伺服器必須透過原生 IPv6 位址或使用 ISATAP 指派的位址,完全支援 IPv6。

規劃 Active Directory 需求

遠端存取使用 Active Directory,如下所示:

  • 驗證:基礎結構通道會針對連線到遠端存取服務器的電腦帳戶使用 NTLMv2 驗證,而且帳戶必須位於 Active Directory 網域中。 內部網路通道會針對使用者使用 Kerberos 驗證來建立內部網路通道。

  • 群組原則物件:遠端存取會將組態設定收集到套用至遠端存取服務器、用戶端和內部應用程式伺服器的 群組原則 Objects (GPO) 。

  • 安全性群組:遠端存取會使用安全性群組來收集和識別 DirectAccess 用戶端電腦。 GPO 會套用至必要的安全性群組。

當您規劃遠端存取部署的 Active Directory 環境時,請考慮下列需求:

  • Windows Server 2012 、Windows Server 2008 R2 Windows Server 2008 或 Windows Server 2003 作業系統上安裝至少一個網域控制站。

    如果網域控制站位於周邊網路 (,因此可從遠端存取服務器的網際網路對向網路介面卡連線) ,請防止遠端存取服務器連線。 您必須在網域控制站上新增封包篩選,以防止連線到網際網路介面卡的 IP 位址。

  • 遠端存取伺服器必須是網域成員。

  • DirectAccess 用戶端必須是網域成員。 用戶端可以屬於:

    • 與遠端存取伺服器位於相同樹系中的任何網域。

    • 與遠端存取伺服器網域具有雙向信任關係的的任何網域。

    • 樹系中的任何網域,其與遠端存取服務器網域的樹系具有雙向信任。

注意

  • 遠端存取伺服器不能是網域控制站。
  • 用於遠端存取的 Active Directory 網域控制站不能從遠端存取服務器的外部網際網路介面卡連線, (介面卡不得位於Windows防火牆) 的網域設定檔中。

規劃用戶端驗證

在 Windows Server 2012 的遠端存取中,您可以選擇使用內建 Kerberos 驗證、使用使用者名稱和密碼,或使用憑證進行 IPsec 電腦驗證。

Kerberos 驗證:當您選擇使用 Active Directory 認證進行驗證時,DirectAccess 會先針對電腦使用 Kerberos 驗證,然後針對使用者使用 Kerberos 驗證。 使用此驗證模式時,DirectAccess 會使用單一安全性通道來存取 DNS 伺服器、網域控制站,以及內部網路上的任何其他伺服器

IPsec 驗證:當您選擇使用雙因素驗證或網路存取保護時,DirectAccess 會使用兩個安全性通道。 [遠端存取安裝精靈] 會在 Windows具有進階安全性的防火牆中設定連線安全性規則。 這些規則會在交涉 IPsec 安全性給遠端存取服務器時指定下列認證:

  • 基礎結構通道會針對第一個驗證使用電腦憑證認證,以及第二個驗證的使用者 (NTLMv2) 認證。 使用者認證會強制使用已驗證的網際網路通訊協定 (AuthIP) ,並在 DirectAccess 用戶端可以針對內部網路通道使用 Kerberos 認證之前,先提供 DNS 伺服器和網域控制站的存取權。

  • 內部網路通道會針對第一個驗證使用電腦憑證認證,以及第二個驗證的使用者 (Kerberos V5) 認證。

規劃多個網域

管理伺服器清單應該包括來自所有含安全性群組之網域的網域控制站,其中這些安全性群組皆包括 DirectAccess 用戶端電腦。 它應該包含所有網域,其中包含可能使用設定為 DirectAccess 用戶端之電腦的使用者帳戶。 這可確保當使用者不是與所使用的用戶端電腦位於相同網域時,系統會以使用者網域中的網域控制站來驗證使用者。

如果網域位於同一個樹系中,則此驗證會自動進行。 如果有安全性群組具有位於不同樹系中的用戶端電腦或應用程式伺服器,則不會自動偵測這些樹系的網域控制站。 也不會自動偵測到樹系。 您可以在遠端存取管理中執行更新管理伺服器工作,以偵測這些網域控制站。

可能的話,在遠端存取部署期間,應該將通用功能變數名稱尾碼新增至 NRPT。 例如,如果您有 domain1.corp.contoso.com 和 domain2.corp.contoso.com 這兩個網域,您可以不用將兩個項目新增到 NRPT 中,而是新增一個通用的 DNS 尾碼項目 (其中網域名稱尾碼為 corp.contoso.com)。 這會自動針對相同根目錄中的網域進行。 不在同一根目錄中的網域必須手動新增。

規劃群組原則物件建立

當您設定遠端存取時,DirectAccess 設定會收集到 群組原則 Objects (GPO) 。 兩個 GPO 會填入 DirectAccess 設定,並依下列方式散發:

  • DirectAccess 用戶端 GPO:此 GPO 包含用戶端設定,包括 IPv6 轉換技術設定、NRPT 專案,以及具有進階安全性之Windows防火牆的連線安全性規則。 這個 GPO 會套用到為用戶端電腦指定的安全性群組。

  • DirectAccess 伺服器 GPO:此 GPO 包含 DirectAccess 組態設定,這些設定會套用至您在部署中設定為遠端存取服務器的任何伺服器。 它也包含具有進階安全性Windows防火牆的連線安全性規則。

注意

DirectAccess 用戶端的遠端系統管理不支援應用程式伺服器的設定,因為用戶端無法存取應用程式伺服器所在 DirectAccess 伺服器的內部網路。 此組態類型無法使用遠端存取設定畫面中的步驟 4。

您可以自動或手動設定 GPO。

自動:當您指定 GPO 自動建立時,會為每個 GPO 指定預設名稱。

手動:您可以使用 Active Directory 系統管理員預先定義的 GPO。

當您設定 GPO 時,請考慮下列警告:

  • 在設定 DirectAccess 使用特定的 GPO 之後,就無法再設定它使用不同的 GPO。

  • 執行 DirectAccess Cmdlet 之前,請使用下列程式來備份所有遠端存取群組原則物件:

    備份和還原遠端存取設定

  • 無論您是使用自動或手動設定的 GPO,如果您的用戶端將使用 3G,則需要新增原則來偵測緩慢連結。 原則:設定群組原則低速連結偵測的路徑如下:

    電腦設定/原則/系統管理範本/系統/群組原則

  • 如果連結 GPO 的正確許可權不存在,則會發出警告。 遠端存取作業將會繼續,但不會進行連結。 如果發出此警告,即使稍後新增許可權,也不會自動建立連結。 系統管理員將必須改為手動建立連結。

自動建立 GPO

使用自動建立的 GPO 時,請考慮下列事項:

自動建立的 GPO 會根據位置和連結目標套用,如下所示:

  • 針對 DirectAccess 伺服器 GPO,位置和連結目標會指向包含遠端存取服務器的網域。

  • 建立用戶端和應用程式伺服器 GPO 時,位置會設定為單一網域。 GPO 名稱會在每個網域中查閱,如果網域存在,就會填入 DirectAccess 設定。

  • 連結目標會設定為在其中建立 GPO 的網域根目錄。 系統會為每個包含用戶端電腦或應用程式伺服器的網域建立 GPO,而該 GPO 會連結到其個別網域的根目錄。

使用自動建立的 GPO 來套用 DirectAccess 設定時,遠端存取服務器管理員需要下列許可權:

  • 為每個網域建立 GPO 的許可權。

  • 連結至所有選取之用戶端網域根目錄的許可權。

  • 連結至伺服器 GPO 網域根目錄的許可權。

  • 建立、編輯、刪除及修改 GPO 的安全性許可權。

  • 每個必要網域的 GPO 讀取權限。 此許可權並非必要,但建議使用,因為它可讓遠端存取確認 GPO 在建立 GPO 時不存在具有重複名稱的 GPO。

手動建立 GPO

使用手動建立的 GPO 時,請考量下列各項:

  • GPO 應該在執行「遠端存取安裝精靈」之前就要存在。

  • 若要套用 DirectAccess 設定,遠端存取服務器管理員需要完整的安全性許可權,才能建立、編輯、刪除和修改手動建立的 GPO。

  • 系統會搜尋整個網域中的 GPO 連結。 如果 GPO 在網域中並沒有被連結,系統就會在網域根目錄中自動建立一個連結。 如果沒有可建立連結的必要權限,系統就會發出警告。

從已刪除的 GPO 復原

如果意外刪除遠端存取服務器、用戶端或應用程式伺服器上的 GPO,會出現下列錯誤訊息: 找不到 GPO (GPO 名稱)

如果有備份可用,您便可以從備份還原 GPO。 如果沒有可用的備份,您必須移除組態設定,並再次加以設定。

若要移除組態設定
  1. 執行 Windows PowerShell Cmdlet Uninstall-RemoteAccess

  2. 開啟 [遠端存取管理]。

  3. 您將會看到找不到 GPO 的錯誤訊息。 按一下 [移除組態設定]。 完成後,伺服器將會還原至未設定的狀態,而且您可以重新設定設定。