為了讓 DirectAccess用戶端可以連接到內網, 入門精靈進行多項設定:
1. GPO設定: 建立兩個 GPO(DirectAccess伺服器設定和 DirectAccess用戶端設定)定義哪些電腦將成為 DirectAccess伺服器以及哪些電腦將成為 DirectAccess用戶端
。DirectAccess伺服器GPO設定:
--全域設定: 允許 IPsec ICMP 通過 DirectAccess伺服器上的本機防火牆
--入站規則: 定義入站 IP-HTTPS 流量以提供跨 HTTP代理和防火牆的連線, 入站規則還允許流量流向部署在遠端存取伺服器上的 DNS64伺服器
--連接安全設定: 設定 IPv6 位址尾碼和 Kerberos 驗證設定
。DirectAccess用戶端GPO設定:
--公鑰原則/受信任的根憑證授權單位: 將 DirectAccess用戶端電腦設定為信任 DirectAccess伺服器所發出的自我簽章憑證
--全域設定: 允許 IPsec ICMP 通過 DirectAccess用戶端上的本機防火牆
--出站規則: 定義出站 IP-HTTPS流量以提供跨 HTTP代理和防火牆的連線
--連接安全設定: 設定 IPv6 位址尾碼和 Kerberos 驗證設定
w-studio.idv.tw
2. DNS伺服器設定: 在 DNS控制台的正向對應區域中, 入門精靈會為下列主機建立 A 和 AAAA 記錄: directaccess-corpConnectivityHost、DirectAccess-NLS 和 directaccess-WebProbeHost
。群組: 為 DirectAccess設定哪些用戶端電腦群組
。僅對行動電腦啟用 DirectAccess: 如果啟用此設定將為 DirectAccess用戶端 GPO 建立並設定 WMI 篩選器, 這表示 DirectAccess將僅對行動電腦啟用
。網路連接助理: 網路連線助理在每台用戶端電腦上執行並提供 DirectAccess連線資訊、診斷和修復支援
。驗證與內部網路的連線的資源: DirectAccess用戶端電腦需要一些資訊來幫助他們確定自己是位於內網還是外網
。技術人員電子郵件地址: 預設未設定技術人員電子郵件地址
。DirectAccess連線名稱: 預設名稱是工作區連線
。允許 DirectAccess用戶端使用本機名稱解析: 啟用此設定使用者可以選擇使用電腦自己設定的 DNS伺服器進行名稱解析並繞過 NRPT
4. 遠端存取伺服器的網路拓撲設定:
。位於內部網路的邊緣, 邊緣伺服器有 2個網路卡
。位於邊緣設備後面的伺服器上, 該伺服器具有 2個網路卡
。位於邊緣設備後面的伺服器上, 該伺服器具有 1個網路卡
w-studio.idv.tw
5. 基礎結構伺服器: DirectAccess用戶端在連接到內網資源之前會連接到這些伺服器, 預設設定兩個項目: 網域名稱尾碼和後接網域名稱尾碼的 DirectAccess-NLS名稱, 例如網域名 wey.com則設定為: wey.com 和 DirectAccess-NLS.wey.com
沒有留言:
張貼留言