规划 DirectAccess 基础结构后,使用基本设置在单个服务器上部署 DirectAccess 的下一步是规划入门向导的设置。
| 任务 | 说明 |
|---|---|
| 规划客户端部署 | 默认情况下,通过将 WMI 筛选器应用到客户端设置 GPO,入门向导会将 DirectAccess 部署到域中所有便携式计算机和笔记本计算机 |
| 规划 DirectAccess 服务器部署 | 规划如何部署 DirectAccess 服务器。 |
规划客户端部署
在规划客户端部署时,要作出两个决策:
DirectAccess 仅对移动计算机可用,还是对任何一台计算机都可用?
在入门向导中配置 DirectAccess 客户端时,你可以选择仅允许指定的安全组中的移动计算机使用 DirectAccess 进行连接。 如果你限制了移动计算机的访问权限,则 DirectAccess 将自动配置 WMI 筛选器以确保 DirectAccess 客户端 GPO 仅应用于指定安全组中的移动计算机。 DirectAccess 管理员需要创建或修改组策略 WMI 筛选器的权限,以启用此设置。
哪些安全组将包含 DirectAccess 客户端计算机?
DirectAccess 设置包含在 DirectAccess 客户端 GPO 中。 GPO 应用于属于您在入门向导中指定的安全组的计算机。 你可以指定受支持的任何域中包含的安全组。 在配置 DirectAccess 之前,应创建安全组。 你可以在完成 DirectAccess 部署后将计算机添加到安全组,但请注意,如果你要将位于不同域的客户端计算机添加到安全组,则客户端 GPO 将不会应用于这些客户端。 例如,如果在域 A 中为 DirectAccess 客户端创建 SG1,之后将客户端从域 B 添加到该组,则客户端 GPO 不会应用于域 B 中的客户端。若要避免此问题,请为每个包含客户端计算机的域创建一个新的客户端安全组。 另外,如果你不希望创建一个新的安全组,则可使用新域的新 GPO 名称运行 Add-DAClient cmdlet。
规划 DirectAccess 服务器部署
在规划部署 DirectAccess 服务器时,需要作出许多决策:
网络拓扑 - 在部署 DirectAccess 服务器时,可使用两种拓扑:
两个适配器 - 如果使用两个网络适配器,可以将 DirectAccess 配置为将一个网络适配器直接连接到 Internet 的网络适配器,将另一个连接到内部网络。 或者将该服务器安装在边缘设备(如防火墙或路由器)的后面。 在此配置中,将一个网络适配器连接到外围网络,另一个连接到内部网络。
单一网络适配器 - 在此配置中,将 DirectAccess 服务器安装在边缘设备(如防火墙或路由器)的后面。 网络适配器连接到内部网络。
网络适配器 - DirectAccess 向导会自动检测 DirectAccess 服务器上配置的网络适配器。 在“审阅”页中,你可以确保选择了正确的适配器。
IP-HTTPS 证书 - 由于此部署不需要 PKI,向导会自动为 IP-HTTPS 和网络位置服务器预配自签名证书(如果不存在证书),并自动启用 Kerberos 代理。 该向导还会为仅限 IPv4 的环境中的协议转换启用 NAT64 和 DNS64。 向导成功完成应用配置后,单击“ 关闭”。
Windows 7 客户端 - 无法从入门向导启用对 Windows 7 客户端的支持。 可以从高级安装向导启用此功能。 有关详细信息,请参阅 使用高级设置部署单个 DirectAccess 服务器。
VPN 配置 - 在配置 DirectAccess 之前,请先决定是否要提供对远程客户端的 VPN 访问。 如果你的组织中包含不支持 DirectAccess 连接的客户端计算机(因为它们是非托管的,或者因为它们运行不支持 DirectAccess 的操作系统),则你应该提供 VPN 访问。 入门向导使用 DHCP 配置 VPN IP 地址分配,并将 VPN 客户端配置为使用 Active Directory 进行身份验证。
强制隧道 - 如果计划使用强制隧道,或者将来可能会添加它,则应按照使用高级设置部署单个 DirectAccess 服务器中的说明来部署双隧道配置。 出于安全考虑,单一隧道配置中不支持强制隧道功能。