本主题介绍了如何在混合的 IPv4 和 IPv6 环境中配置基本 DirectAccess 部署所需的基础结构,该部署使用单台 DirectAccess 服务器。 在开始部署步骤之前,请确保已完成规划基本 DirectAccess 部署中所述的规划步骤。
| 任务 | 说明 |
|---|---|
| 配置服务器网络设置 | 配置 DirectAccess 服务器上的服务器网络设置。 |
| 配置企业网络中的路由 | 配置企业网络中的路由以确保正确地路由通信。 |
| 配置防火墙 | 根据需要配置其他防火墙。 |
| 配置 DNS 服务器 | 为 DirectAccess 服务器配置 DNS 设置。 |
| 配置 Active Directory | 将客户端计算机和 DirectAccess 服务器加入到 Active Directory 域。 |
| 配置 GPO | 如果必要,为部署配置 GPO。 |
| 配置安全组 | 配置将包含 DirectAccess 客户端计算机的安全组,以及部署中所需的任何其他安全组。 |
注意
此主题将介绍一些 Windows PowerShell cmdlet 示例,你可以使用它们来自动执行所述的一些步骤。 有关详细信息,请参阅 使用 cmdlet。
配置服务器网络设置
在使用 IPv4 和 IPv6 的环境中部署单一服务器需要下面的网络接口设置。 可使用“Windows 网络和共享中心”中的“更改适配器设置”配置所有 IP 地址。
边缘拓扑
一个面向 Internet 的公用静态 IPv4 或 IPv6 地址。
注意
Teredo 需要两个连续的公用 IPv4 地址。 如果你不使用 Teredo,则可以配置单个公用静态 IPv4 地址。
单个内部静态 IPv4 或 IPv6 地址。
在 NAT 设备后面(两个网络适配器)
单个面向内部网络的静态 IPv4 或 IPv6 地址。
单个面向外围网络的静态 IPv4 或 IPv6 地址。
在 NAT 设备后面(一个网络适配器)
- 单个静态 IPv4 或 IPv6 地址。
注意
如果 DirectAccess 服务器具有两个或更多网络适配器(一个归类于域配置文件,另一个归类于公用/专用配置文件),但要使用单个 NIC 拓扑,则推荐是:
确保第二个 NIC 和任何其他 NIC 也归类于域配置文件。
如果出于任何原因,不能为域配置文件配置第二个 NIC,则必须使用以下 Windows PowerShell 命令手动将 DirectAccess IPsec 策略的作用域覆盖到所有配置文件:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionIPsec 策略的名称是 DirectAccess-DaServerToInfra 和 DirectAccess-DaServerToCorp。
配置企业网络中的路由
在企业网络中配置路由,如下所示:
在组织中部署本机 IPv6 时,添加一个路由,以便内部网络上的路由器通过远程访问服务器将 IPv6 通信路由回来。
在远程访问服务器上手动配置组织 IPv4 和 IPv6 路由。 添加已发布的路由,以便将所有具有组织 (/48) IPv6 前缀的通信都转发到内部网络。 此外,对于 IPv4 通信,请添加显式路由,以便将 IPv4 通信转发到内部网络。
配置防火墙
在部署中使用其他防火墙的情况下,当远程访问服务器位于 IPv4 Internet 上时,应用远程访问通信的以下面向 Internet 的防火墙例外情况:
6to4 通信 - IP 协议 41 入站和出站。
IP-HTTPS - 传输控制协议 (TCP) 目标端口 443,以及 TCP 源端口 443 出站。 当远程访问服务器配有单一网络适配器,且网络位置服务器位于远程访问服务器上时,还需要 TCP 端口 62000。
注意
必须在远程访问服务器上配置免除。 必须在边缘防火墙上配置所有其他免除。
注意
对于 Teredo 和 6to4 通信,这些例外应适用于远程访问服务器上两个面向 Internet 的连续公用 IPv4 地址。 对于 IP-HTTPS,仅需将例外情况应用于外部服务器名称解析为的地址。
在使用其他防火墙的情况下,当远程访问服务器位于 IPv6 Internet 上时,应用远程访问通信的以下面向 Internet 的防火墙例外:
IP 协议 50
UDP 目标端口 500 入站,以及 UDP 源端口 500 出站。
当使用其它防火墙时,应用远程访问通信的以下内部网络防火墙例外情况:
ISATAP - 协议 41 入站和出站
所有 IPv4/IPv6 通信的 TCP/UDP
配置 DNS 服务器
你必须为部署中的内部网络手动配置用于网络位置服务器网站的 DNS 条目。
创建网络位置服务器和 NCSI 探测 DNS 记录
在内部网络 DNS 服务器上,运行 dnsmgmt.msc,然后按 Enter。
在“DNS 管理器”控制台的左窗格中,展开域的前向查找区域。 右键单击该域,然后单击“新建主机(A 或 AAAA)”。
在“新主机”对话框的“名称(如果为空则使用父域名)”框中,输入网络位置服务器网站的 DNS 名称(这是 DirectAccess 客户端用于连接到网络位置服务器的名称)。 在“IP 地址”框中,输入网络位置服务器的 IPv4 地址,然后单击“添加主机”。 在“DNS”对话框中,单击“确定”。
在“新主机”对话框的“名称(如果为空则使用父域名)”框中,输入 Web 探测的 DNS 名称(默认 Web 探测的名称为 directaccess-webprobehost)。 在“IP 地址”框中,输入 Web 探测的 IPv4 地址,然后单击“添加主机”。 为 directaccess corpconnectivityhost 和任何手动创建的连接性验证程序重复此过程。 在“DNS”对话框中,单击“确定”。
单击“Done”(完成) 。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
还必须为以下内容配置 DNS 条目:
IP-HTTPS 服务器 - DirectAccess 客户端必须能够解析 Internet 上的远程访问服务器的 DNS 名称。
CRL 吊销检查 - DirectAccess 将对 DirectAccess 客户端和远程访问服务器之间的 IP-HTTPS 连接,以及 DirectAccess 客户端和网络位置服务器之间基于 HTTPS 的连接使用证书吊销检查。 在这两种情况下,DirectAccess 客户端都必须能够解析和访问 CRL 分发点位置。
配置 Active Directory
必须将远程访问服务器和所有 DirectAccess 客户端计算机都加入 Active Directory 域。 DirectAccess 客户端计算机必须是以下域类型之一的成员:
与远程访问服务器属于同一林的域。
属于与远程访问服务器林具有双向信任关系的林的域。
与远程访问服务器域具有双向域信任的域。
将远程访问服务器加入域
在服务器管理器中,单击“本地服务器”。 在详细信息窗格中,单击“计算机名”旁边的链接。
在“系统属性”对话框中,单击“计算机名称”选项卡。在“计算机名称”选项卡上,单击“更改”。
如果在将服务器加入域时还要更改计算机名,请在“计算机名”中键入计算机的名称。 在“隶属于”下面单击“域”,键入服务器要加入到的域的名称(例如 corp.contoso.com),然后单击“确定”。
当系统提示你输入用户名和密码时,请输入有权将计算机加入域的用户的用户名和密码,然后单击“确定”。
当你看到欢迎你进入域的对话框时,请单击“确定”。
当系统提示你必须重新启动计算机时,请单击“确定”。
在“系统属性”对话框中单击“关闭”。
当系统提示你重新启动计算机时,请单击“立即重新启动”。
将客户端计算机加入域
运行 explorer.exe。
右键单击计算机图标,然后单击“属性”。
在“系统”页上,单击“高级系统设置”。
在“系统属性”对话框上的“计算机名称”选项卡上,单击“更改”。
如果在将服务器加入域时还要更改计算机名,请在“计算机名”中键入计算机的名称。 在“隶属于”下面单击“域”,键入服务器要加入到的域的名称(例如 corp.contoso.com),然后单击“确定”。
当系统提示你输入用户名和密码时,请输入有权将计算机加入域的用户的用户名和密码,然后单击“确定”。
当你看到欢迎你进入域的对话框时,请单击“确定”。
当系统提示你必须重新启动计算机时,请单击“确定”。
在“系统属性”对话框中单击“关闭”。 出现提示时单击“立即重新启动”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
请注意,输入下面的 Add-Computer 命令后,必须提供域凭据。
Add-Computer -DomainName <domain_name>
Restart-Computer
配置 GPO
为了部署远程访问,你至少需要两个组策略对象:一个组策略对象包含用于远程访问服务器的设置,另一个包含用于 DirectAccess 客户端计算机的设置。 配置远程访问时,向导将自动创建所需的组策略对象。 但是,如果你的组织强制使用命名约定,或者你没有创建或编辑组策略对象所需的权限,则必须在配置远程访问之前创建它们。
要创建组策略对象,请参阅创建和编辑组策略对象。
重要
管理员可执行以下步骤,将 DirectAccess 组策略对象手动链接到组织单位:
- 在配置 DirectAccess 之前,请将已创建的 GPO 链接到各自的组织单位。
- 要配置 DirectAccess,请为客户端计算机指定安全组。
- 管理员不一定具有将组策略对象链接到域的权限。 在任一情况下,都将自动配置组策略对象。 如果已将 GPO 链接到 OU,则将不会删除这些链接。 也不会将 GPO 链接到域。 对于服务器 GPO,OU 必须包含该服务器计算机对象,否则该 GPO 将链接到域的根。
- 如果在运行 DirectAccess 向导之前尚未链接到 OU,则配置完成后,管理员可以将 DirectAccess 组策略对象链接到所需的组织单位。 可以删除指向域的链接。 可在此处找到将组策略对象链接到组织单位的步骤
注意
如果手动创建了组策略对象,则在 DirectAccess 配置期间,组策略对象可能不可用。 组策略对象可能尚未复制到离管理计算机最近的域控制器。 在这种情况下,管理员可以等待复制完成,或者强制进行复制。
警告
不支持使用 DirectAccess 安装向导以外的任何方式配置 DirectAccess,例如直接修改 DirectAccess 组策略对象或手动修改服务器或客户端上的默认策略设置。
配置安全组
将包含在客户端计算机组策略对象中的 DirectAccess 设置仅应用于你在配置远程访问时指定的安全组中的计算机。
为 DirectAccess 客户端创建安全组
运行 dsa.msc。 在“Active Directory 用户和计算机”控制台的左窗格中,展开将包含安全组的域,右键单击“用户”,指向“新建”,然后单击“组”。
在“新建对象 – 组”对话框中的“组名”下,输入该安全组的名称。
在“组范围”下单击“全局”,在“组类型”下单击“安全”,然后单击“确定”。
双击 DirectAccess 客户端计算机安全组,然后在属性对话框中,单击“成员”选项卡。
在“成员”选项卡上,单击“添加”。
在“选择用户、联系人、计算机或服务帐户”对话框中,选择你希望为 DirectAccess 启用的客户端计算机,然后单击“确定”。
Windows PowerShell 等效命令
下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet(即使此处可能因格式限制而出现多行换行)。
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>