步驟 1 規劃遠端存取基礎結構

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

注意

Windows Server 2016 將 DirectAccess 以及「路由及遠端存取服務 (RRAS)」合併成單一的遠端存取角色。

本主題描述基礎結構的規劃步驟,這些步驟可供您設定單一遠端存取伺服器以便遠端管理 DirectAccess 用戶端。 下表會列出這些步驟,但您不需要以特定順序完成這些規劃工作。

Task 描述
規劃網路拓撲和伺服器設定 決定在何處放置遠端存取伺服器 (在邊緣,或者在網路位址轉譯 (NAT) 裝置或防火牆的後面),以及規劃 IP 位址和路由。
規劃防火牆需求 規劃透過邊緣防火牆允許遠端存取。
規劃憑證需求 決定您會使用 Kerberos 通訊協定還是憑證來驗證用戶端,並規劃網站的憑證。

IP-HTTPS 是 DirectAccess 用戶端透過 IPv4 網路建立 IPv6 流量通道時所使用的轉換通訊協定。 決定是要使用憑證授權單位 (CA) 簽發的憑證,還是使用遠端存取伺服器自動簽發的自我簽署憑證,來驗證伺服器的 IP-HTTPS。
規劃 DNS 需求 規劃遠端存取伺服器、基礎結構伺服器、本機名稱解析選項及用戶端連線的網域名稱系統 (DNS) 設定。
規劃網路位置伺服器組態 決定要將網路位置伺服器網站放在組織中的什麼地方 (是在遠端存取伺服器上還是替代伺服器上),並規劃網路位置伺服器會位於遠端存取伺服器上時的憑證需求。 注意:DirectAccess 用戶端會使用網路位置伺服器來判斷其是否位於內部網路。
規劃管理伺服器的組態 計劃遠端管理用戶端時,會用到的管理伺服器 (例如更新伺服器)。 注意:系統管理員可以使用網際網路,從遠端管理位於公司網路外部的 DirectAccess 用戶端電腦。
規劃 Active Directory 需求 規劃網域控制站、Active Directory 需求、用戶端驗證和多網域結構。
規劃群組原則物件的建立 決定組織中所需的 GPO,以及如何建立和編輯 GPO。

規劃網路拓撲與設定

在規劃網路時,您必須考量網路介面卡拓撲、IP 定址的設定,以及 ISATAP 的需求。

規劃網路介面卡和 IP 位址

  1. 識別您想要使用的網路介面卡拓撲。 您可以使用下列任一拓撲來設定遠端存取:

    • 有兩張網路介面卡:遠端存取伺服器安裝在邊緣,一張網路介面卡連線到網際網路,另一張網路介面卡連線到內部網路。

    • 有兩張網路介面卡:遠端存取伺服器安裝在 NAT 裝置、防火牆或路由器後方,一張網路介面卡連線到周邊網路,另一張網路介面卡連線到內部網路。

    • 有一張網路介面卡:遠端存取伺服器安裝在 NAT 裝置後方,單一網路介面卡連線到內部網路。

  2. 識別您的 IP 位址指定需求:

    DirectAccess 使用 IPv6 搭配 IPsec 在 DirectAccess 用戶端電腦與公司內部網路之間建立安全連線。 不過,DirectAccess 不一定需要 IPv6 網際網路的連線能力,或內部網路的原生 IPv6 支援。 取而代之的是,它會自動設定並使用 IPv6 轉換技術,透過 IPv4 網際網路 (6to4、Teredo 或 IP-HTTPS) 及透過僅支援 IPv4 的內部網路 (NAT64 或 ISATAP) 建立 IPv6 流量通道。 如需這些轉換技術的概觀,請參閱下列資源:

  3. 根據下表設定所需的介面卡和位址指定。 若為使用單一網路介面卡且在 NAT 裝置後方的部署,則只使用內部網路介面卡欄來設定 IP 位址。

    描述 外部網路介面卡 內部網路介面卡1, 上方 路由需求
    IPv4 網際網路和 IPv4 內部網路 設定下列各項:

    - 兩個靜態連續公用 IPv4 位址搭配適當的子網路遮罩 (只有 Teredo 才需要)。
    - 網際網路防火牆或本機網際網路服務提供者 (ISP) 路由器的預設閘道 IPv4 位址。 注意:遠端存取伺服器需要兩個連續的公用 IPv4 位址,才能做為 Teredo 伺服器,而 Windows 型 Teredo 用戶端可以使用遠端存取伺服器來偵測 NAT 裝置的類型。    		 設定下列各項:

    - 一個 IPv4 內部網路位址搭配適當的子網路遮罩。
    - 內部網路命名空間的連線特定 DNS 尾碼。 此外,也應該在內部介面上設定 DNS 伺服器。 注意:請勿在任何內部網路介面上設定預設閘道。    		 若要設定遠端存取伺服器連線到內部 IPv4 網路的所有子網路,請執行下列動作:

    - 列出 Intranet 上所有位置的 IPv4 位址空間。
    - 使用 route add -pnetsh interface ipv4 add route 命令將 IPv4 位址空間新增為遠端存取伺服器 IPv4 路由表中的靜態路由。
    IPv6 網際網路與 IPv6 內部網路 設定下列各項:

    - 使用 ISP 提供的自動設定位址組態。
    - 使用 route print 命令確保 IPv6 路由表中有指向 ISP 路由器的預設 IPv6 路由。
    判斷 ISP 和內部網路路由器是否正在使用 RFC 4191 中所述的預設路由器喜好設定,以及其是否使用比本機內部網路路由器還高的預設喜好設定。 如果這兩項都是肯定的,預設路由就不需要其他設定。 ISP 路由器較高的喜好設定可確保遠端存取伺服器使用中的預設 IPv6 路由指向 IPv6 網際網路。

    因為遠端存取伺服器是 IPv6 路由器,如果您有原生的 IPv6 基礎結構,網際網路介面也可以連線到內部網路的網域控制站。 在此情況下,請在周邊網路中的網域控制站新增封包篩選器,防止連線到遠端存取伺服器網際網路介面的 IPv6 位址。    		 設定下列各項:

    如果您不使用預設的喜好設定等級,請使用 netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled 命令來設定內部網路介面。 這個命令可確保指向內部網路路由器的其他預設路由將不會新增到 IPv6 路由表。 您可以從 netsh interface show interface 命令的顯示畫面,取得內部網路介面的 InterfaceIndex。    		 如果您有 IPv6 內部網路,要設定遠端存取伺服器以連線到所有 IPv6 位置,請執行下列動作:

    - 列出內部網路上所有位置的 IPv6 位址空間。
    - 使用 netsh interface ipv6 add route 命令來新增 IPv6 位址空間,做為遠端存取伺服器之 IPv6 路由表中的靜態路由。
    IPv4 網際網路和 IPv6 內部網路 遠端存取伺服器使用 Microsoft 6to4 介面卡的介面將預設的 IPv6 路由流量轉接到 IPv4 網際網路上的 6to4 轉送。 當公司網路中沒有部署原生 IPv6 時,您可以使用下列命令,在 IPv4 網際網路上針對 Microsoft 6to4 轉送的 IPv4 位址設定遠端存取伺服器:netsh interface ipv6 6to4 set relay name=<ipaddress> state=enabled

    注意

    • 如果 DirectAccess 用戶端已被指派公用的 IPv4 位址,它會使用 6to4 轉送技術連線到內部網路。 如果用戶端被指派私人 IPv4 位址,則會使用 Teredo。 如果 DirectAccess 用戶端無法使用 6to4 或 Teredo 連線到 DirectAccess 伺服器,則會使用 IP-HTTPS。
    • 若要使用 Teredo,您必須在對外網路介面卡上設定兩個連續的 IP 位址。
    • 如果遠端存取伺服器只有一張網路介面卡,您就無法使用 Teredo。
    • 原生 IPv6 用戶端電腦可以透過原生 IPv6 連線到遠端存取伺服器,不需要轉換技術。

規劃 ISATAP 需求

要遠端管理 DirectAccessclients 就需要 ISATAP,如此一來,DirectAccess 管理伺服器才能連線到位於網際網路上的 DirectAccess 用戶端。 不需要 ISATAP 就能支援 DirectAccess 用戶端電腦對公司網路上的 IPv4 資源起始的連線。 針對這個目的,會使用 NAT64/DNS64。 如果您的部署需要 ISATAP,請使用下表來識別您的需求。

ISATAP 部署案例 需求
現有的原生 IPv6 內部網路 (不需要 ISATAP) 使用現有的原生 IPv6 基礎結構時,請在遠端存取部署期間指定組織的首碼,而且遠端存取伺服器不會將自己設定為 ISATAP 路由器。 執行下列操作:

1.若要確保可從內部網路連線至 DirectAccess 用戶端,您必須修改 IPv6 路由,讓預設路由流量轉送至遠端存取伺服器。 如果您的內部網路 IPv6 位址空間使用單一 48 位元 IPv6 位址首碼以外的位址,您必須在部署期間指定相關的組織 IPv6 首碼。
2.如果您目前連線到 IPv6 網際網路,則必須設定預設路由流量,使其轉送至遠端存取伺服器,然後在遠端存取伺服器上設定適當的連線和路由,讓預設路由流量轉送至連線到 IPv6 網際網路的裝置。
現有的 ISATAP 部署 如果您有現有的 ISATAP 基礎結構,則在部署期間,系統會提示您輸入組織的 48 位元首碼,而且遠端存取伺服器不會將自己設定為 ISATAP 路由器。 若要確保可從內部網路連線至 DirectAccess 用戶端,您必須修改 IPv6 路由基礎結構,讓預設路由流量轉送至遠端存取伺服器。 此變更必須在內部網路用戶端必須已將預設流量轉送至的現有 ISATAP 路由器上完成。
沒有現有的 IPv6 連線能力 當遠端存取設定精靈偵測到伺服器沒有原生或 ISATAP 型的 IPv6 連線能力時,其會自動為內部網路衍生 6to4 型的 48 位元首碼,並將遠端存取伺服器設定為 ISATAP 路由器,以提供跨內部網路的 ISATAP 主機 IPv6 連線能力。 (只有在伺服器具有公用位址時,才會使用 6to4 型首碼,否則會從唯一的本機位址範圍自動產生首碼。)

若要使用 ISATAP,請執行下列動作:

1.針對要啟用 ISATAP 型連線能力的每個網域,在 DNS 伺服器上註冊 ISATAP 名稱,讓內部 DNS 伺服器能夠將 ISATAP 名稱解析為遠端存取伺服器的內部 IPv4 位址。
2.根據預設,執行 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 或 WINDOWS Server 2003 的 DNS 伺服器會使用全域查詢封鎖清單封鎖 ISATAP 名稱的解析。 若要啟用 ISATAP,您必須從封鎖清單中移除 ISATAP 名稱。 如需詳細資訊,請參閱從 DNS 全域查詢封鎖清單中移除 ISATAP

可解析 ISATAP 名稱的 Windows 型 ISATAP 主機會自動使用遠端存取伺服器來設定位址,如下所示:

1.ISATAP 通道介面上的 ISATAP 型 IPv6 位址
2.可提供內部網路上其他 ISATAP 主機連線能力的 64 位元路由
3.指向遠端存取伺服器的預設 IPv6 路由。 預設路由可確保內部網路 ISATAP 主機可以連線到 DirectAccess 用戶端

Windows 型 ISATAP 主機在取得 ISATAP 型 IPv6 位址時,會在目的地也是 ISATAP 主機的情況下開始使用 ISATAP 封裝的流量進行通訊。 因為 ISATAP 針對整個內部網路只使用一個 64 位元子網路,因此您的通訊會從分段的 IPv4 通訊模型變成使用 IPv6 的單一子網路通訊模型。 對於某些 Active Directory Domain Services (AD DS) 和依賴 Active Directory 網站和服務組態的應用程式,其行為可能會因此受到影響。 例如,如果您使用 Active Directory 網站和服務嵌入式管理單元來設定網站、IPv4 型子網路和網站間傳輸,以將要求轉送至網站內的伺服器,則 ISATAP 主機不會使用此組態。

  1. 若要設定 Active Directory 網站和服務,以在 ISATAP 主機的網站內轉送,則必須針對每個 IPv4 子網路物件設定對等的 IPv6 子網路物件,其中子網路的 IPv6 位址首碼會表示與 IPv4 子網路相同的 ISATAP 主機位址範圍。 例如,針對 IPv4 子網路 192.168.99.0/24 和 64 位元 ISATAP 位址首碼 2002:836b:1:8000::/64,IPv6 子網路物件的對等 IPv6 位址首碼是 2002:836b:1:8000:0:5efe:192.168.99.0/120。 針對任意 IPv4 首碼長度 (範例中設定為 24),您可以從公式 96 + IPv4PrefixLength 判斷對應的 IPv6 首碼長度。
  2. 針對 DirectAccess 用戶端的 IPv6 位址,新增下列內容:

    • 針對 Teredo 型 DirectAccess 用戶端:範圍 2001:0:WWXX:YYZZ::/64 的 IPv6 子網路,其中 WWXX:YYZZ 是遠端存取伺服器第一個網際網路對應 IPv4 位址的冒號十六進位版本。 .
    • 針對 IP-HTTPS 型 DirectAccess 用戶端:範圍 2002:WWXX:YYZZ:8100::/56 的 IPv6 子網路,其中 WWXX:YYZZ 是遠端存取伺服器第一個網際網路對應 IPv4 位址 (w.x.y.z) 的冒號十六進位版本。 .
    • 針對 6to4 型 DirectAccess 用戶端:一系列以 2002: 開頭並代表由 Internet Assigned Numbers Authority (IANA) 和區域登錄所管理的區域性公用 IPv4 位址首碼的 6to4 型 IPv6 首碼。 公用 IPv4 位址首碼 w.x.y.z/n 的 6to4 型首碼是 2002:WWXX:YYZZ::/[16+n],其中 WWXX:YYZZ 是 w.x.y.z 的冒號十六進位版本。

      例如,7.0.0.0/8 範圍是由北美的 American Registry for Internet Numbers (ARIN) 所管理。 這個公用 IPv6 位址範圍的對應 6to4 型首碼是 2002:700::/24。 如需 IPv4 公用位址空間的相關資訊,請參閱 IANA IPv4 位址空間登錄。 .

重要

請確定您在 DirectAccess 伺服器的內部介面上沒有公用 IP 位址。 如果您在內部介面上有公用 IP 位址,則可能無法透過 ISATAP 來連線。

規劃防火牆需求

如果遠端存取伺服器位於邊緣防火牆後面,當遠端存取伺服器位於 IPv4 網際網路時,遠端存取流量就會需要下列例外狀況:

  • 針對 IP-HTTPS:傳輸控制通訊協定 (TCP) 目的地連接埠 443,及 TCP 來源連接埠 443 輸出。

  • 針對 Teredo 流量:使用者資料包通訊協定 (UDP) 目的地連接埠 3544 輸入,及 UDP 來源連接埠 3544 輸出。

  • 針對 6to4 流量:IP 通訊協定 41 輸入和輸出。

    注意

    若為 Teredo 和 6to4 流量,則必須針對遠端存取伺服器上的網際網路對向連續公用 IPv4 位址套用這些例外。

    針對 IP-HTTPS,則必須在已在公用 DNS 伺服器上登錄的位址上套用例外。

  • 如果您使用單一網路介面卡部署遠端存取,並且將網路位置伺服器安裝在遠端存取伺服器上,則是 TCP 連接埠 62000。

    注意

    這個豁免是在遠端存取伺服器上,先前的豁免則是在邊緣防火牆上。

當遠端存取伺服器位於 IPv6 網際網路時,遠端存取流量就需要下列例外狀況:

  • IP 通訊協定 50

  • UDP 目的地連接埠 500 輸入,及 UDP 來源連接埠 500 輸出。

  • ICMPv6 流量輸入和輸出 (僅在使用 Teredo 時)。

當您使用額外的防火牆時,請針對遠端存取流量套用下列內部網路防火牆例外:

  • 針對 ISATAP:通訊協定 41 輸入和輸出

  • 針對所有 IPv4/IPv6 流量:TCP/UD

  • 針對 Teredo:所有 IPv4/IPv6 流量的 ICMP

規劃憑證需求

部署單一遠端存取伺服器時,有三種情況需要憑證。

  • IPsec 驗證:IPsec 的憑證需求包括 DirectAccess 用戶端電腦在與遠端存取伺服器建立 IPsec 連線時所使用的電腦憑證,以及遠端存取伺服器用來與 DirectAccess 用戶端建立 IPsec 連線的電腦憑證。

    Windows Server 2012 中的 DirectAccess 並不一定要使用這些 IPsec 憑證。 或者,遠端存取伺服器也可以做為 Kerberos 驗證的 Proxy,而不需要憑證。 如果使用 Kerberos 驗證,其會透過 SSL 運作,而且 Kerberos 通訊協定會使用針對 IP-HTTPS 所設定的憑證。 某些企業案例 (包括多網站部署和單次密碼用戶端驗證) 需要使用的是憑證驗證,而不是 Kerberos 驗證。

  • IP-HTTPS 伺服器:當您設定遠端存取時,遠端存取伺服器會自動設定做為 IP-HTTPS 網頁接聽程式。 IP-HTTPS 站台需要有網站憑證,而用戶端電腦必須要能夠連線到憑證撤銷清單 (CRL) 站台來查看該憑證是否在清單中。

  • 網路位置伺服器:網路位置伺服器是用來偵測用戶端電腦是否位於公司網路的網站。 網路位置伺服器需要網站憑證。 DirectAccess 用戶端必須要能夠連線到 CRL 站台來查看該憑證是否在清單中。

下表摘要說明上述每個案例的憑證授權單位 (CA) 需求。

IPsec 驗證 IP-HTTPS 伺服器 網路位置伺服器
當您不使用 Kerberos 通訊協定進行驗證時,需要內部 CA 發行電腦憑證給遠端存取伺服器與用戶端進行 IPsec 驗證。 內部 CA:您可以使用內部 CA 來簽發 IP-HTTPS 憑證;不過,您必須確定外部可以使用 CRL 發佈點。 內部 CA:您可以使用內部 CA 來簽發網路位置伺服器網站憑證。 請確定 CRL 發佈點在內部網路具有高可用性。
自我簽署憑證:您可以針對 IP-HTTPS 伺服器使用自我簽署憑證。 自我簽署憑證無法在多站台部署中使用。 自我簽署憑證:您可以將自我簽署憑證用於網路位置伺服器網站;不過,您無法在多網站部署中使用自我簽署憑證。
公用 CA:建議您使用公用 CA 來簽發 IP-HTTPS 憑證,這可以確保外部可以使用 CRL 發佈點。

規劃用於 IPsec 驗證的電腦憑證

如果您使用憑證式 IPsec 驗證,遠端存取伺服器和用戶端都必須取得電腦憑證。 安裝憑證的最簡單方式就是使用群組原則為電腦憑證設定自動註冊。 這可確保所有網域成員都會從企業 CA 取得憑證。 如果您的組織中並未設定企業 CA,請參閱 Active Directory 憑證服務

這個憑證具有下列需求:

  • 憑證應該具有用戶端驗證擴充金鑰使用方法 (EKU)。

  • 用戶端和伺服器憑證應該與相同的根憑證相關聯。 在 DirectAccess 組態設定中必須選取這個根憑證。

規劃 IP-HTTPS 的憑證

遠端存取伺服器要做為 IP-HTTPS 接聽程式,而且您必須手動在伺服器上安裝 HTTPS 網站憑證。 規劃時,請考量下列各項:

  • 建議使用公用 CA,以便隨時可用 CRL。

  • 在 [主體] 欄位中指定遠端存取伺服器之網際網路介面卡的 IPv4 位址,或是 IP-HTTPS URL (ConnectTo 位址) 的 FQDN。 如果遠端存取伺服器位於 NAT 裝置後面,必須指定 NAT 裝置的公用名稱或位址。

  • 憑證的一般名稱必須符合 IP-HTTPS 站台的名稱。

  • 在 [增強金鑰使用方法] 欄位中,使用伺服器驗證物件識別碼 (OID)。

  • 在 [CRL 發佈點] 欄位中,指定連線到網際網路的 DirectAccess 用戶端可存取的 CRL 發佈點。

    注意

    只有執行 Windows 7 的用戶端才需要這麼做。

  • IP-HTTPS 憑證必須具有私密金鑰。

  • IP-HTTPS 憑證必須直接匯入到個人存放區。

  • IP-HTTPS 憑證的名稱中可以包含萬用字元。

規劃網路位置伺服器的網站憑證

在規劃網路位置伺服器網站時,請考量下列各項:

  • 在 [主體] 欄位中,指定網路位置伺服器之內部網路介面的 IP 位址,或網路位置 URL 的 FQDN。

  • 在 [增強金鑰使用方法] 欄位中使用伺服器驗證 OID。

  • 在 [CRL 發佈點] 欄位中,使用連線到內部網路的 DirectAccess 用戶端可存取的 CRL 發佈點。 這個 CRL 發佈點應該要無法從內部網路之外存取。

注意

請確定 IP-HTTPS 和網路位置伺服器的憑證都有主體名稱。 如果憑證使用替代名稱,遠端存取精靈將不會接受它。

規劃 DNS 需求

本節說明「遠端存取」部署中用戶端和伺服器的 DNS 需求。

DirectAccess 用戶端要求

DNS 會被用來解析來自不位於內部網路上的 DirectAccess 用戶端電腦的要求。 DirectAccess 用戶端會嘗試連線到 DirectAccess 網路位置伺服器,以判斷它們位於網際網路或公司網路上。

  • 如果連線成功,用戶端會被判斷為位於內部網路上,系統便不會使用 DirectAccess,而會使用在用戶端電腦的網路介面卡上設定的 DNS 伺服器來解析用戶端要求。

  • 如果連線不成功,用戶端會被認為位於網際網路上。 DirectAccess 用戶端會使用名稱解析原則表格 (NRPT) 來決定解析名稱要求時要使用的 DNS 伺服器。 您可以指定用戶端應使用 DirectAccess DNS64 或替代的內部 DNS 伺服器來解析名稱。

執行名稱解析時,DirectAccess 用戶端會使用 NRPT 來識別如何處理要求。 用戶端會要求 FQDN 或單一標籤名稱,例如 <https://internal>。 如果要求的是單一標籤名稱,系統就會附加 DNS 尾碼來建立 FQDN。 如果 DNS 查詢與 NRPT 中的項目相符,而且已為該項目指定 DNS4 或內部網路 DNS 伺服器,系統就會將查詢傳送給指定的伺服器進行名稱解析。 如果有相符的項目存在,但是未指定任何 DNS 伺服器,則會套用豁免規則和一般名稱解析。

在遠端存取管理主控台中的 NRPT 加入新的尾碼時,您可以按一下 [偵測] 按鈕自動探索尾碼的預設 DNS 伺服器。 自動偵測的運作方式如下:

  • 如果公司網路屬於 IPv4,或其使用 IPv4 與 IPv6,預設位址是遠端存取伺服器上內部介面卡的 DNS64 位址。

  • 如果公司網路是 IPv6 型,預設位址就是公司網路中 DNS 伺服器的 IPv6 位址。

基礎結構伺服器

  • 網路位置伺服器

    DirectAccess 用戶端會嘗試連線到網路位置伺服器,以判斷它們是否位於內部網路上。 內部網路上的用戶端必須能夠解析網路位置伺服器的名稱,而且當它們位於網際網路上時,必須防止它們解析該伺服器的名稱。 為了確保這種情況,預設會將網路位置伺服器的 FQDN 新增到 NRPT 中做為豁免規則。 此外,當您設定「遠端存取」時,系統會自動建立下列規則:

    • 遠端存取伺服器之根網域或網域名稱的 DNS 尾碼規則,以及對應到遠端存取伺服器上設定之內部網路 DNS 伺服器的 IPv6 位址。 例如,如果遠端存取伺服器是 corp.contoso.com 網域的成員,就會為 corp.contoso.com DNS 尾碼建立規則。

    • 網路位置伺服器之 FQDN 的豁免規則。 例如,如果網路位置伺服器 URL 是 https://nls.corp.contoso.com,就會為 FQDN nls.corp.contoso.com 建立豁免規則。

  • IP-HTTPS 伺服器

    遠端存取伺服器會做為 IP-HTTPS 接聽程式,並使用其伺服器憑證向 IP-HTTPS 用戶端進行驗證。 IP-HTTPS 名稱必須能夠被使用公用 DNS 伺服器的 DirectAccess 用戶端解析。

連線能力檢查器

「遠端存取」會建立一個預設 Web 探查,供 DirectAccess 用戶端電腦用來確認對內部網路的連線能力。 若要確保探查能夠如預期般運作,必須在 DNS 中手動登錄下列名稱:

  • directaccess-webprobehost:解析為遠端存取伺服器的內部 IPv4 位址,或僅使用 IPv6 的環境中的 IPv6 位址。

  • directaccess-corpconnectivityhost 應該解析為本機主機 (回送) 位址。 您應該建立 A 和 AAAA 記錄。 A 記錄的值是 127.0.0.1,而 AAAA 記錄的值則建構自 NAT64 首碼,且最後 32 位元為 127.0.0.1。 執行 Get-netnatTransitionConfiguration Windows PowerShell Cmdlet 即可擷取 NAT64 首碼。

    注意

    這只適用於只有 IPv4 的環境。 在 IPv4 加上 IPv6 或只有 IPv6 的環境中,請只建立具有回送 IP 位址 ::1 的 AAAA 記錄。

您可以透過 HTTP 使用其他網址或使用 PING,來建立其他連線能力檢查器。 每個連線能力檢查器都必須有一個 DNS 項目。

DNS 伺服器需求

  • 針對 DirectAccess 用戶端,您必須使用執行 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 的 DNS 伺服器,或任何支援 IPv6 的 DNS 伺服器。

  • 請使用支援動態更新的 DNS 伺服器。 您可以使用不支援動態更新的 DNS 伺服器,但接著必須手動更新項目。

  • 必須可以使用網際網路 DNS 伺服器來解析 CRL 發佈點的 FQDN。 例如,如果 URL https://crl.contoso.com/crld/corp-DC1-CA.crl 在遠端存取伺服器 IP-HTTPS 憑證的 [CRL 發佈點] 欄位中,您必須確保可以使用網際網路 DNS 伺服器來解析 FQDN crld.contoso.com。

規劃本機名稱解析

在規劃本機名稱解析時,請考量下列各項:

NRPT

在下列情況下,您可能需要建立其他名稱解析原則表格 (NRPT) 規則:

  • 您需要為內部網路命名空間新增更多 DNS 尾碼。

  • 如果 CRL 發佈點的 FQDN 是根據內部網路命名空間,您就必須為 CRL 發佈點的 FQDN 新增豁免規則。

  • 如果您有拆分式 DNS 環境,針對您想要讓位於網際網路的 DirectAccess 用戶端存取網際網路版本而非內部網路版本的資源,您必須為其名稱新增豁免規則。

  • 如果您是透過內部網路 Web Proxy 伺服器將流量重新導向到外部網站,該外部網站就只能從內部網路使用。 其會使用 Web Proxy 伺服器的位址來允許輸入要求。 在此情況下,請為該外部網站的 FQDN 新增豁免規則,並且指定該規則使用內部網路 Web Proxy 伺服器,而不是使用內部網路 DNS 伺服器的 IPv6 位址。

    例如,假設您要測試名為 test.contoso.com 的外部網站。 透過網際網路 DNS 伺服器並無法解析這個名稱,但是 Contoso Web Proxy 伺服器知道如何解析這個名稱,以及如何將網站的要求導向到外部網頁伺服器。 為了防止不在 Contoso 內部網路的使用者存取站台,該外部網站只會允許來自 Contoso Web Proxy 之 IPv4 網際網路位址的要求。 因此,內部網路使用者可以存取該網站,因為他們使用 Contoso Web Proxy,但是 DirectAccess 使用者無法存取,因為他們不是使用 Contoso Web Proxy。 藉由為使用 Contoso Web Proxy 的 test.contoso.com 設定 NRPT 豁免規則,即可透過 IPv4 網際網路將 test.contoso.com 的網頁要求路由傳送到內部網路 Web Proxy 伺服器。

單一標籤名稱

單一標籤名稱 (例如 <https://paycheck>) 有時會用於內部網路伺服器。 如果要求的是單一標籤名稱,並且已設定 DNS 尾碼搜尋清單,系統就會將清單中的 DNS 尾碼附加到單一標籤名稱。 例如,當所在電腦是 corp.contoso.com 網域成員的使用者在網頁瀏覽器中輸入 <https://paycheck> 時,被建構來做為名稱的 FQDN 會是 paycheck.corp.contoso.com。 附加的尾碼預設會根據用戶端電腦的主要 DNS 尾碼。

注意

在不相鄰的名稱空間案例中 (其中一或多部網域電腦有不符合電腦為其成員之 Active Directory 網域的 DNS 尾碼),您應該確保搜尋清單已自訂為包含所有必要的尾碼。 遠端存取精靈預設會將 Active Directory DNS 名稱設定為用戶端上的主要 DNS 尾碼。 請務必新增用戶端用來進行名稱解析的 DNS 尾碼。

如果您組織中部署了多個網域和「Windows 網際網路名稱服務」(WINS),而您是透過遠端連線,便可依照下列方式解析單一名稱:

  • 藉由在 DNS 中部署 WINS 正向對應區域。 在嘗試解析 computername.dns.zone1.corp.contoso.com 時,系統會將要求導向到只使用電腦名稱的 WINS 伺服器。 用戶端會認為它發出一般的 DNS A 記錄要求,但實際上是 NetBIOS 要求。

    如需詳細資訊,請參閱管理正向對應區域

  • 藉由將 DNS 尾碼 (例如 dns.zone1.corp.contoso.com) 新增到預設網域 GPO。

拆分式 DNS

拆分式 DNS 係指使用相同的 DNS 網域進行網際網路和內部網路名稱解析。

針對拆分式 DNS 部署,您必須列出在網際網路和內部網路重複的 FQDN,並且決定 DirectAccess 用戶端應該連線的資源 (內部網路或網際網路版本)。 當您想要讓 DirectAccess 用戶端連線到網際網路版本時,您必須將對應的 FQDN 新增為每個資源的 NRPT 豁免規則。

在拆分式 DNS 環境中,如果您想要讓資源的兩個版本都可供使用,則在設定內部網路資源時,所使用的名稱請勿與網際網路上使用的名稱重複。 然後,指示使用者在存取內部網路上的資源時,使用替代名稱。 例如,為 www.contoso.com 的內部名稱設定 www.internal.contoso.com。

在非拆分式 DNS 環境中,網際網路命名空間會與內部網路命名空間不同。 例如,Contoso 公司在網際網路上使用 contoso.com,在內部網路上使用 corp.contoso.com。 由於所有內部網路資源都使用 corp.contoso.com DNS 尾碼,因此 corp.contoso.com 的 NRPT 規則會將內部網路資源的所有 DNS 名稱查詢都路由傳送到內部網路 DNS 伺服器。 尾碼為 contoso.com 之名稱的 DNS 查詢與 NRPT 中 corp.contoso.com 內部網路命名空間規則不相符,因此會被傳送到網際網路 DNS 伺服器。 使用非拆分式 DNS 部署時,由於內部網路和網際網路資源的 FQDN 不會重複,因此不需要為 NRPT 進行任何額外的設定。 DirectAccess 用戶端既可存取組織的網際網路資源,也可存取其內部網路資源。

規劃 DirectAccess 用戶端的本機名稱解析行為

如果無法使用 DNS 解析某個名稱,則在 Windows Server 2012、Windows 8、Windows Server 2008 R2 和 Windows 7 中的 DNS 用戶端服務可以使用本機名稱解析搭配「連結本機多點傳送名稱解析」(LLMNR) 和 NetBIOS over TCP/IP 通訊協定,以在本機子網路上解析該名稱。 當電腦位於私人網路 (例如單一子網路的家用網路) 時,通常需要本機名稱解析,才能進行對等連線。

當 DNS 用戶端服務執行內部網路伺服器名稱的本機名稱解析,並且電腦連線到網際網路上的共用子網路時,惡意使用者將可以擷取 LLMNR 和 NetBIOS over TCP/IP 訊息來判斷內部網路伺服器名稱。 在 [基礎結構伺服器安裝精靈] 的 [DNS] 頁面上,您可以根據從內部網路 DNS 伺服器收到的回應類型,設定本機名稱解析行為。 下列是可用的選項:

  • 如果名稱不存在於 DNS,則使用本機名稱解析:這是最安全的選項,因為 DirectAccess 用戶端只會針對內部網路 DNS 伺服器無法解析的伺服器名稱執行本機名稱解析。 如果可以連線到內部網路 DNS 伺服器,就會解析內部網路伺服器的名稱。 如果無法連線到內部網路 DNS 伺服器,或是有其他類型的 DNS 錯誤,也不會透過本機名稱解析將內部網路伺服器名稱遺漏到子網路。

  • 如果名稱不存在於 DNS 或無法連線到 DNS 伺服器 (當用戶端電腦位於私人網路),則使用本機名稱解析 (建議選項):這是建議使用的選項,因為它可允許只在無法連線到內部網路 DNS 伺服器時,才在私人網路上使用本機名稱解析。

  • 對於任何類型的 DNS 解析錯誤,都使用本機名稱解析 (最不安全):這是最不安全的選項,因為可能透過本機名稱解析將內部網路伺服器的名稱洩露到本機子網路。

規劃網路位置伺服器組態

網路位置伺服器是一個用來偵測 DirectAccess 用戶端是否位於公司網路中的網站。 公司網路中的用戶端不會使用 DirectAccess 來連線到內部資源,而是會直接連線。

網路位置伺服器網站可以裝載在遠端存取伺服器上,或是組織中的另一部伺服器上。 如果您將網路位置伺服器裝載在遠端存取伺服器上,當您部署遠端存取時,系統就會自動建立該網站。 如果您將網路位置伺服器裝載在執行 Windows 作業系統的另一部伺服器上,您必須確定該伺服器上已安裝 Internet Information Services (IIS),並且已建立該網站。 遠端存取不會在網路位置伺服器上進行設定。

請確定網路位置伺服器網站符合下列需求:

  • 具有 HTTPS 伺服器憑證。

  • 對內部網路上的電腦具有高可用性。

  • 不可被網際網路上的 DirectAccess 用戶端電腦存取。

此外,在設定網路位置伺服器網站時,請針對用戶端考量下列需求:

  • DirectAccess 用戶端電腦必須信任簽發伺服器憑證給網路位置伺服器網站的 CA。

  • 內部網路上的 DirectAccess 用戶端電腦必須能夠解析網路位置伺服器站台的名稱。

規劃網路位置伺服器的憑證

當您取得要用於網路位置伺服器的網站憑證時,請考量下列各項:

  • 在 [主體] 欄位中,指定網路位置伺服器之內部網路介面的 IP 位址,或網路位置 URL 的 FQDN。

  • 在 [增強金鑰使用方法] 欄位中使用伺服器驗證 OID。

  • 網路位置伺服器憑證必須針對憑證撤銷清單 (CRL) 進行檢查。 在 [CRL 發佈點] 欄位中,使用連線到內部網路的 DirectAccess 用戶端可存取的 CRL 發佈點。 這個 CRL 發佈點應該要無法從內部網路之外存取。

規劃網路位置伺服器的 DNS

DirectAccess 用戶端會嘗試連線到網路位置伺服器,以判斷它們是否位於內部網路上。 內部網路上的用戶端必須能夠解析網路位置伺服器的名稱,但是當它們位於網際網路上時,則必須防止它們解析該伺服器的名稱。 為了確保這種情況,預設會將網路位置伺服器的 FQDN 新增到 NRPT 中做為豁免規則。

規劃管理伺服器的組態

DirectAccess 用戶端會起始與提供服務 (例如 Windows Update 和防毒更新) 之管理伺服器的通訊。 DirectAccess 用戶端也會在存取內部網路之前,先使用 Kerberos 通訊協定向網域控制站進行驗證。 在進行 DirectAccess 用戶端遠端管理時,管理伺服器會與用戶端電腦進行通訊來執行管理功能 (例如軟體或硬體清查評定)。 「遠端存取」可以自動探索某些管理伺服器,包括:

  • 網域控制站:針對包含用戶端電腦的網域,以及與遠端存取伺服器位於相同樹系中的所有網域,執行網域控制站的自動探索。

  • Microsoft Endpoint Configuration Manager 伺服器

初次設定 DirectAccess 時,就會自動偵測網域控制站和 Configuration Manager 伺服器。 偵測到的網域控制站不會顯示在主控台中,但是您可以使用 Windows PowerShell Cmdlet 來擷取設定。 如果修改了網域控制站或 Configuration Manager 伺服器,在主控台中按一下 [更新管理伺服器],就會重新整理管理伺服器清單。

管理伺服器需求

  • 管理伺服器必需是可透過基礎結構通道存取的伺服器。 設定「遠端存取」時,只要將伺服器新增到管理伺服器清單中,就會自動將它們設定為可透過這個通道存取。

  • 對 DirectAccess 用戶端起始連線的管理伺服器必須完全支援 IPv6 (藉由原生 IPv6 位址或使用 ISATAP 所指派的位址)。

規劃 Active Directory 需求

遠端存取會使用 Active Directory,如下所示:

  • 驗證:基礎結構通道針對連線到遠端存取伺服器的電腦帳戶會使用 NTLMv2 驗證,而該帳戶必須在 Active Directory 網域中。 內部網路通道會使用 Kerberos 驗證來讓使用者建立內部網路通道。

  • 群組原則物件:遠端存取將組態設定收集到適用於遠端存取伺服器、用戶端以及內部應用程式伺服器的群組原則物件 (GPO)。

  • 安全性群組:遠端存取會使用安全性群組來收集和識別 DirectAccess 用戶端電腦。 GPO 會套用到所需的安全性群組。

當您針對遠端存取部署來規劃 Active Directory 環境時,請考量下列需求:

  • 至少有一個網域控制站安裝在 Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 或 Windows Server 2003 作業系統上。

    如果網域控制站位於周邊網路上 (因此可從遠端存取伺服器的網際網路對應網路介面卡來連線),請防止遠端存取伺服器與其連線。 您必須在網域控制站上新增封包篩選器,以避免連線到網際網路介面卡的 IP 位址。

  • 遠端存取伺服器必須是網域成員。

  • DirectAccess 用戶端必須是網域成員。 用戶端可以屬於:

    • 與遠端存取伺服器位於相同樹系中的任何網域。

    • 與遠端存取伺服器網域具有雙向信任關係的的任何網域。

    • 與遠端存取伺服器網域的樹系具有雙向信任關係之樹系中的任何網域。

注意

  • 遠端存取伺服器不能是網域控制站。
  • 用於遠端存取的 Active Directory 網域控制站不能從遠端存取伺服器的外部網際網路介面卡連線 (介面卡不能在 Windows 防火牆的網域設定檔中)。

規劃用戶端驗證

在 Windows Server 2012 的遠端存取中,您可以選擇使用內建 Kerberos 驗證 (會使用使用者名稱和密碼),也可以選擇使用憑證來進行 IPsec 電腦驗證。

Kerberos 驗證:選擇使用 Active Directory 認證來進行驗證時,DirectAccess 會先對電腦使用 Kerberos 驗證,再對使用者使用 Kerberos 驗證。 使用此驗證模式時,DirectAccess 會使用可存取 DNS 伺服器、網域控制站及內部網路上其他任何伺服器的單一安全性通道

IPsec 驗證:選擇使用雙因素驗證或「網路存取保護」時,DirectAccess 會使用兩個安全性通道。 遠端存取設定精靈會在具有進階安全性的 Windows 防火牆中設定連線安全性規則。 這些規則會在與遠端存取伺服器交涉 IPsec 安全性時指定下列認證:

  • 基礎結構通道會使用電腦憑證認證進行第一次驗證,並使用使用者 (NTLMv2) 認證進行第二次驗證。 使用者認證會強制使用「已驗證網際網路通訊協定」(AuthIP),並且會先提供對 DNS 伺服器和網域控制站的存取權,這樣 DirectAccess 用戶端才能將 Kerberos 認證用於內部網路通道。

  • 內部網路通道會使用電腦憑證認證進行第一次驗證,並使用使用者 (Kerberos V5) 認證進行第二次驗證。

規劃多個網域

管理伺服器清單應該包括來自所有含安全性群組之網域的網域控制站,其中這些安全性群組皆包括 DirectAccess 用戶端電腦。 它應該包含所有含使用者帳戶的網域,其中這些使用者帳戶皆可能使用設定為 DirectAccess 用戶端的電腦。 這可確保當使用者不是與所使用的用戶端電腦位於相同網域時,系統會以使用者網域中的網域控制站來驗證使用者。

如果網域位於相同樹系中,則會自動進行此驗證。 如果有安全性群組具有位於不同樹系的用戶端電腦或應用程式伺服器,系統不會自動偵測到這些樹系的網域控制站。 系統也不會自動偵測到樹系。 您可以在 [遠端存取管理] 中執行 [更新管理伺服器] 工作以偵測這些網域控制站。

進行遠端存取部署時,可能的話,應該將通用的網域名稱尾碼新增到 NRPT 中。 例如,如果您有 domain1.corp.contoso.com 和 domain2.corp.contoso.com 這兩個網域,您可以不用將兩個項目新增到 NRPT 中,而是新增一個通用的 DNS 尾碼項目 (其中網域名稱尾碼為 corp.contoso.com)。 相同根目錄中的網域會自動進行此作業。 不在同一個根目錄中的網域則必須手動新增。

規劃群組原則物件的建立

在設定遠端存取時,系統會將 DirectAccess 設定收集到群組原則物件 (GPO) 中。 兩個 GPO 會被填入 DirectAccess 設定,並依下列方式發佈:

  • DirectAccess 用戶端 GPO:這個 GPO 包含用戶端設定,包括 IPv6 轉換技術設定、NRPT 項目,以及「具有進階安全性的 Windows 防火牆」的連線安全性規則。 這個 GPO 會套用到為用戶端電腦指定的安全性群組。

  • DirectAccess 伺服器 GPO:這個 GPO 包含的 DirectAccess 組態設定會套用到在部署中設定為遠端存取伺服器的任何伺服器。 其也包含「具有進階安全性的 Windows 防火牆」的連線安全性規則。

注意

DirectAccess 用戶端的遠端管理不支援應用程式伺服器的組態,因為用戶端無法存取應用程式伺服器所在 DirectAccess 伺服器的內部網路。 此組態類型無法使用遠端存取設定組態畫面中的步驟 4。

您可以自動或手動設定 GPO。

自動:當您指定 GPO 會自動建立時,系統會為每個 GPO 指定預設名稱。

手動:您可以使用由 Active Directory 系統管理員預先定義的 GPO。

當您設定 GPO 時,請考量下列警告:

  • 在設定 DirectAccess 使用特定的 GPO 之後,就無法再設定它使用不同的 GPO。

  • 使用下列程序,在執行 DirectAccess Cmdlet 之前先備份所有遠端存取群組原則物件:

    備份和還原遠端存取組態

  • 不論您使用自動還是手動設定的 GPO,只要您的用戶端會使用 3G,您就需要新增低速連結偵測原則。 原則:設定群組原則緩慢連結偵測的路徑為:

    電腦組態/原則/系統管理範本/系統/群組原則

  • 如果沒有正確的權限來連結 GPO,系統會發出警告。 「遠端存取」操作將會繼續,但是不會建立連結。 如果系統發出這個警告,即使稍後新增權限,也不會自動建立連結。 系統管理員將必須改為手動建立連結。

自動建立的 GPO

使用自動建立的 GPO 時,請考量下列事項:

自動建立的 GPO 會根據位置和連結目標進行套用,如下所示:

  • 如果是 DirectAccess 伺服器 GPO,位置與連結參數會指向包含遠端存取伺服器的網域。

  • 當用戶端和應用程式伺服器 GPO 建立時,位置會設定為單一網域。 系統會在每個網域中查詢 GPO 名稱,如果存在的話,就會將 DirectAccess 設定填入該網域。

  • 連結目標會設定為在其中建立 GPO 的網域根目錄。 系統會為每個包含用戶端電腦或應用程式伺服器的網域建立 GPO,而該 GPO 會連結到其個別網域的根目錄。

使用自動建立的 GPO 時,若要套用 DirectAccess 設定,遠端存取伺服器系統管理員需要下列權限:

  • 為每個網域建立 GPO 的權限。

  • 連結至所有所選用戶端網域根目錄的權限。

  • 連結至伺服器 GPO 網域根目錄的權限。

  • 建立、編輯、刪除及修改 GPO 的安全性權限。

  • 每個必要網域的 GPO 讀取權限。 此權限並非必要,但建議要有,因為其可讓遠端存取在建立 GPO 時,確認具有重複名稱的 GPO 不存在。

手動建立的 GPO

使用手動建立的 GPO 時,請考量下列各項:

  • GPO 應該在執行「遠端存取安裝精靈」之前就要存在。

  • 若要套用 DirectAccess 設定,遠端存取伺服器系統管理員需要有完整的安全性權限,才能建立、編輯、刪除和修改手動建立的 GPO。

  • 系統會在整個網域中搜尋 GPO 的連結。 如果 GPO 在網域中並沒有被連結,系統就會在網域根目錄中自動建立一個連結。 如果沒有可建立連結的必要權限,系統就會發出警告。

從已刪除的 GPO 復原

如果遠端存取伺服器、用戶端或應用程式伺服器上的 GPO 已意外遭到刪除,則會出現下列錯誤訊息:找不到 GPO (GPO 名稱)

如果有備份可用,您便可以從備份還原 GPO。 如果沒有可用的備份,則必須移除組態設定,然後再進行設定。

移除組態設定

  1. 執行 Windows PowerShell Cmdlet Uninstall-RemoteAccess

  2. 開啟 [遠端存取管理]

  3. 您將會看到找不到 GPO 的錯誤訊息。 按一下 [移除組態設定]。 完成後,伺服器會還原至未設定的狀態,然後您就可以重新設定組態設定。