Konfigurowanie funkcji DirectAccess w systemie Windows ServerConfigure DirectAccess in Windows Server Essentials

Dotyczy: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 EssentialsApplies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

Ten temat zawiera instrukcje krok po kroku instrukcje dotyczące konfigurowania funkcji DirectAccess w systemie Windows Server do umożliwienie pracownikom przenośnych bezproblemowo połączenia z siecią organizacji s z dowolnej lokalizacji zdalnej wyposażone w Internecie bez nawiązywania połączenia wirtualnej sieci prywatnej (VPN).This topic provides step-by-step instructions for configuring DirectAccess in Windows Server Essentials to enable your mobile workforce to seamlessly connect to your organization ��s network from any Internet-equipped remote location without establishing a virtual private network (VPN) connection. Funkcja DirectAccess może zaoferować pracownikom mobilnym tego samego środowiska łączności wewnątrz i na zewnątrz urzędu ze swoich komputerów Windows 8.1, Windows 8 i Windows 7.DirectAccess can offer mobile workers the same connectivity experience inside and outside the office from their Windows 8.1, Windows 8, and Windows 7 computers.

W systemie Windows Server Essentials Jeśli domena zawiera więcej niż jeden serwer z systemem Windows Server Essentials, funkcji DirectAccess musi być skonfigurowana na kontrolerze domeny.In Windows Server Essentials, if the domain contains more than one Windows Server Essentials server, DirectAccess must be configured on the domain controller.

Uwaga

Ten temat zawiera instrukcje dotyczące konfigurowania funkcji DirectAccess, gdy serwer systemu Windows Server Essentials jest kontrolerem domeny.This topic provides instructions for configuring DirectAccess when your Windows Server Essentials server is the domain controller. Serwer Windows Server Essentials jest elementem członkowskim domeny, postępuj zgodnie z instrukcjami do konfigurowania funkcji DirectAccess w elemencie członkowskim domeny, w Dodawanie funkcji DirectAccess do wdrożenia istniejących dostępu zdalnego (VPN, Virtual Private Network) zamiast tego.If the Windows Server Essentials server is a domain member, follow the instructions to configure DirectAccess on a domain member in Add DirectAccess to an Existing Remote Access (VPN) Deployment instead.

Omówienie procesuProcess overview

Konfigurowanie funkcji DirectAccess w systemie Windows Server, wykonaj następujące kroki.To configure DirectAccess in Windows Server Essentials, complete the following steps.

Ważne

Przed użyciem procedury opisane w tym przewodniku do konfigurowania funkcji DirectAccess w systemie Windows Server, należy włączyć na serwerze sieci VPN.Before you use the procedures in this guide to configure DirectAccess in Windows Server Essentials, you must enable VPN on the server. Aby uzyskać instrukcje, zobacz zarządzanie siecią VPN.For instructions, see Manage VPN.

Uwaga

Dodatek: Konfigurowanie funkcji DirectAccess przy użyciu środowiska Windows PowerShell zawiera skrypt programu Windows PowerShell, których można użyć do wykonania konfiguracji funkcji DirectAccess.Appendix: Set up DirectAccess by using Windows PowerShell provides a Windows PowerShell script that you can use to perform the DirectAccess setup.

Krok 1: Dodaj narzędzia do zarządzania dostępem zdalnym do serwera Step 1: Add Remote Access Management Tools to your server

Aby dodać narzędzia do zarządzania dostępem zdalnymTo add Remote Access Management Tools

  1. Na serwerze, w lewym dolnym rogu strony menu Start, kliknij przycisk Menedżera serwera ikona.On the server, in the bottom left corner of the Start page, click the Server Manager icon.

    W systemie Windows Server należy wyszukać dla Menedżera serwera, aby go otworzyć.In Windows Server Essentials, you will need to search for Server Manager to open it. Na stronie początkowej wpisz Menedżera serwera, a następnie kliknij przycisk Menedżera serwera w wynikach wyszukiwania.On the Start page, type Server Manager, and then click Server Manager in the search results. Aby przypiąć Menedżera serwera na stronie początkowej, Menedżera serwera kliknij prawym przyciskiem myszy, w wynikach wyszukiwania, a następnie kliknij przycisk Przypnij do ekranu startowego.To pin Server Manager to the Start page, right-click Server Manager in the search results, and click Pin to Start.

  2. Jeśli Kontrola konta użytkownika wyświetla komunikat ostrzegawczy, kliknij przycisk tak.If a User Account Control warning message displays, click Yes.

  3. Na pulpicie nawigacyjnym Menedżera serwera, kliknij przycisk Zarządzaj, a następnie kliknij przycisk Dodaj role i funkcje.On the Server Manager Dashboard, click Manage, and then click Add Roles and Features.

  4. Dodaj role i funkcje kreatora wykonaj następujące czynności:In the Add Roles and Features Wizard, do the following:

    1. Na typu instalacji kliknij Instalacja oparta na rolach lub oparta na funkcjach.On the Installation Type page, click Role-based or feature-based installation.

    2. Na strona Wybieranie serwera (lub serwer docelowy wybierz strony w systemie Windows Server), kliknij przycisk wybierz serwer z puli serwerów.On the Server Selection page (or the Select destination server page in Windows Server Essentials), click Select a server from the server pool.

    3. Na funkcji rozwiń narzędzia administracji zdalnej serwera (zainstalowano), rozwiń węzeł narzędzia zarządzania dostępem zdalnym (zainstalowano), rozwiń węzeł narzędzia do administrowania rolami (zainstalowano), rozwiń węzeł narzędzi do zarządzania dostępem zdalnym, a następnie wybierz zdalnego dostępu graficznego interfejsu użytkownika i narzędzia wiersza polecenia.On the Features page, expand Remote Server Administration Tools (Installed), expand Remote Access Management Tools (Installed), expand Role Administration Tools (Installed), expand Remote Access Management Tools, and then select Remote Access GUI and Command-Line Tools.

    4. Postępuj zgodnie z instrukcjami, aby zakończyć działanie kreatora.Follow the instructions to complete the wizard.

Krok 2: Zmień adres karty sieciowej serwera statycznego adresu IP Step 2: Change the network adapter address of the server to a static IP address

Funkcja DirectAccess wymaga karty za pomocą statycznego adresu IP.DirectAccess requires an adapter with a static IP address. Należy zmienić adres IP dla karty sieci lokalnej na serwerze.You need to change the IP address for the local network adapter on your server.

Aby dodać statyczny adres IPTo add a static IP address

  1. Na stronie menu Start, otwórz Panelu sterowania.On the Start page, open Control Panel.

  2. Kliknij przycisk sieć i Internet, a następnie kliknij przycisk Wyświetl stan sieci i zadania.Click Network and Internet, and then click View network status and tasks.

  3. W okienku zadań Centrum sieci i udostępniania, kliknij przycisk Zmień ustawienia karty sieciowej.In the task pane of the Network and Sharing Center, click Change adapter settings.

  4. Kliknij prawym przyciskiem myszy kartę sieci lokalnej, a następnie kliknij przycisk właściwości.Right-click the local network adapter, and then click Properties.

  5. Na sieci , kliknij pozycję protokół internetowy w wersji 4 (TCP/IPv4), a następnie kliknij przycisk właściwości.On the Networking tab, click Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

  6. Na ogólne , kliknij pozycję Użyj następującego adresu IP, a następnie wpisz adres IP, który ma być używany.On the General tab, click Use the following IP address, and then type the IP address that you want to use.

    Wartość domyślna maski podsieci jest wyświetlany automatycznie w maska podsieci pole.A default value for subnet mask appears automatically in the Subnet mask box. Zaakceptuj wartość domyślną, lub wpisz wartość maski podsieci, której chcesz używać.Accept the default value, or type the subnet mask value that you want to use.

  7. W brama domyślna wpisz adres IP bramy domyślnej.In the Default gateway box, type the IP address of your default gateway.

  8. W preferowany serwer DNS wpisz adres IP serwera DNS.In the Preferred DNS server box, type the IP address of your DNS server.

    Uwaga

    Użyj adresu IP, który jest przypisany do karty sieciowej przez protokół DHCP (na przykład 192.168.X.X) zamiast sieci sprzężenia zwrotnego (na przykład 127.0.0.1).Use the IP address that is assigned to your network adapter by DHCP (for example, 192.168.X.X) instead of a loopback network (for example, 127.0.0.1). Aby dowiedzieć się, przypisany adres IP, uruchom ipconfig w wierszu polecenia.To find out the assigned IP address, run ipconfig at a command prompt.

  9. W alternatywny serwer DNS wpisz adres IP alternatywnego serwera DNS, jeśli istnieje.In the Alternate DNS Server box, type the IP address of your alternate DNS server, if any.

  10. Kliknij przycisk OK, a następnie kliknij przycisk Zamknij.Click OK, and then click Close.

Ważne

Upewnij się, że można skonfigurować router tak, aby do przodu porty 80 i 443 nowy statyczny adres IP serwera.Ensure that you configure the router to forward ports 80 and 443 to the new static IP address of the server.

Krok 3: Przygotowanie certyfikatu i rekordu DNS dla serwera lokalizacji sieciowej Step 3: Prepare a certificate and DNS record for the network location server

Aby przygotować certyfikatu i rekordu DNS dla serwera lokalizacji sieciowej, należy wykonać następujące zadania:To prepare a certificate and DNS record for the network location server, perform the following tasks:

Krok 3a: udzielać użytkownicy uwierzytelnieni pełne uprawnienia dla szablonu certyfikatu serwera s sieci Web Step 3a: Grant full permissions to Authenticated Users for the Web server ��s certificate template

Najpierw jest przyznać pełne uprawnienia do uwierzytelniania użytkowników dla szablonu certyfikatu s serwera sieci Web w urzędzie certyfikacji.Your first task is to grant full permissions to authenticate users for the Web server ��s certificate template in the certification authority.

Aby przyznać pełne uprawnienia do użytkownicy uwierzytelnieni do serwera sieci Web s szablonu certyfikatu To grant full permissions to Authenticated Users for the Web server ��s certificate template

  1. Na Start strony, otwórz urzędu certyfikacji.On the Start page, open Certification Authority.

  2. W drzewie konsoli w obszarze urząd certyfikacji (lokalny), rozwiń węzeł < servername\ >-urzędu certyfikacji, kliknij prawym przyciskiem myszy szablonów certyfikatów, a następnie kliknij przycisk Zarządzaj.In the console tree, under Certification Authority (Local), expand -CA, right-click Certificate Templates, and then click Manage.

  3. W urząd certyfikacji (lokalny), kliknij prawym przyciskiem myszy serwera sieci Web, a następnie kliknij przycisk właściwości.In Certification Authority (Local), right-click Web Server, and then click Properties.

  4. W oknie właściwości serwera sieci Web na zabezpieczeń , kliknij pozycję użytkownicy uwierzytelnieni, wybierz opcję Pełna kontrola, a następnie kliknij przycisk OK.In Web Server properties, on the Security tab, click Authenticated Users, select Full Control, and then click OK.

  5. Uruchom ponownie usługi certyfikatów Active Directory.Restart Active Directory Certificate Services. W Panelu sterowania, otwórz wyświetlić lokalnych usług.In Control Panel, open View local services. Na liście usług kliknij prawym przyciskiem myszy usług certyfikatów w usłudze Active Directory, a następnie kliknij przycisk Uruchom ponownie.In the list of services, right-click Active Directory Certificate Services, and then click Restart.

Krok 3b: zarejestrować certyfikat serwera lokalizacji sieciowej z nazwą typowych nierozpoznawalne z sieci zewnętrznej Step 3b: Enroll a certificate for the network location server with a common name that is unresolvable from the external network

Następnie należy zarejestrować certyfikat serwera lokalizacji sieciowej z nazwą typowych nierozpoznawalne z sieci zewnętrznej.Next, enroll a certificate for the network location server with a common name that is unresolvable from the external network.

Aby zarejestrować certyfikat dla serwera lokalizacji sieciowej To enroll a certificate for the network location server

  1. Na Start strony, otwórz programu mmc (programu Microsoft Management Console).On the Start page, open mmc (the Microsoft Management Console).

  2. Jeśli Kontrola konta użytkownika jest wyświetlany komunikat ostrzegawczy, kliknij przycisk tak.If a User Account Control warning message appears, click Yes.

    Zostanie otwarty program Microsoft Management Console (MMC).The Microsoft Management Console (MMC) opens.

  3. Na pliku menu, kliknij przycisk Dodawanie/Usuwanie przystawki.On the File menu, click Add/Remove Snap-ins.

  4. W zdalnego przystawki lub Dodaj kliknij certyfikaty, a następnie kliknij przycisk Dodaj.In the Add or Remote Snap-ins box, click Certificates, and then click Add.

  5. Na certyfikaty przystawki kliknij konto komputera, a następnie kliknij przycisk dalej.On the Certificates snap-in page, click Computer account, and then click Next.

  6. Na wybierz komputer kliknij komputera lokalnego, kliknij przycisk Zakończ, a następnie kliknij przycisk OK.On the Select Computer page, click Local computer, click Finish, and then click OK.

  7. W drzewie konsoli rozwiń węzeł certyfikaty (komputer lokalny), rozwiń węzeł osobistych, kliknij prawym przyciskiem myszy certyfikaty, a następnie w wszystkie zadania, kliknij przycisk Żądaj nowego certyfikatu.In the console tree, expand Certificates (Local Computer), expand Personal, right-click Certificates, and then, in All Tasks, click Request New Certificate.

  8. Gdy pojawi się Kreator rejestracji certyfikatów, kliknij przycisk dalej.When the Certificate Enrollment Wizard appears, click Next.

  9. Na wybierz zasady rejestracji certyfikatu kliknij dalej.On the Select Certificate Enrollment Policy page, click Next.

  10. Na żądania certyfikatów wybierz opcję serwera sieci Web pole wyboru, a następnie kliknij przycisk do zarejestrowania tego certyfikatu jest wymaganych więcej informacji.On the Request Certificates page, select the Web Server check box, and then click More information is required to enroll this certificate.

  11. W właściwości certyfikatu wprowadź następujące ustawienia dla nazwa podmiotu:In the Certificate Properties box, enter the following settings for Subject Name:

    1. Aby uzyskać typu, wybierz opcję nazwa pospolita.For Type, select Common name.

    2. Aby uzyskać wartość, wpisz nazwę serwera lokalizacji sieciowej (na przykład NLS.contoso.local funkcji DirectAccess), a następnie kliknij przycisk Dodaj.For Value, type the name of the network location server (for example, DirectAccess-NLS.contoso.local), and then click Add.

    3. Kliknij przycisk OK, a następnie kliknij przycisk rejestracja.Click OK, and then click Enroll.

  12. Po zakończeniu rejestracji certyfikatu kliknij Zakończ.When certificate enrollment completes, click Finish.

Krok 3c: Dodawanie nowego hosta na serwerze DNS i Mapuj na adres serwera systemu Windows Server Essentials Step 3c: Add a new host on the DNS server and map it to the Windows Server Essentials server address

Aby ukończyć konfigurację systemu DNS, dodawanie nowego hosta na serwerze DNS i mapowanie go na adres serwera systemu Windows Server Essentials.To complete the DNS configuration, add a new host on the DNS server and map it to the Windows Server Essentials server address.

Aby mapować nowego hosta do adresu serwera systemu Windows Server Essentials To map a new host to the Windows Server Essentials server address

  1. Na stronie menu Start otwórz Menedżera DNS.On the Start page, open DNS Manager. Aby otworzyć program Menedżer DNS, wyszukaj dnsmgmt.msc, a następnie kliknij przycisk dnsmgmt.msc w wynikach.To open DNS Manager, search for dnsmgmt.msc, and then click dnsmgmt.msc in the results.

  2. W drzewie konsoli Menedżera DNS, rozwiń węzeł serwera lokalnego, rozwiń strefy wyszukiwania do przodu, kliknij prawym przyciskiem myszy strefę z serwera s sufiks domeny, a następnie kliknij przycisk nowy Host (A lub AAAA).In the DNS Manager console tree, expand the local server, expand Forward Lookup Zones, right-click the zone with server ��s domain suffix, and then click New Host (A or AAAA).

  3. Wpisz nazwę i adres IP serwera (na przykład NLS.contoso.local funkcji DirectAccess) i jego odpowiedni adres serwera (na przykład 192.168.x.x).Type the name and IP address of the server (for example, DirectAccess-NLS.contoso.local) and its corresponding server address (for example, 192.168.x.x).

  4. Kliknij przycisk Dodaj hosta, kliknij przycisk OK, a następnie kliknij przycisk gotowe.Click Add Host, click OK, and then click Done.

Krok 4: Tworzenie grupy zabezpieczeń dla klientów funkcji DirectAccess Step 4: Create a security group for DirectAccess client computers

Następnie utworzyć grupę zabezpieczeń dla klientów funkcji DirectAccess, a następnie dodaj konta komputera do grupy.Next, create a security group to use for DirectAccess client computers, and then add the computer accounts to the group.

Aby dodać grupę zabezpieczeń dla komputerów klienckich, które używają funkcji DirectAccessTo add a security group for client computers that use DirectAccess

  1. Na pulpicie nawigacyjnym Menedżera serwera, kliknij przycisk narzędzia, a następnie kliknij przycisk użytkownicy usługi Active Directory i komputerów.On the Server Manager Dashboard, click Tools, and then click Active Directory Users and Computers.

    Uwaga

    Jeśli nie widzisz użytkownicy usługi Active Directory i komputerów na narzędzia menu, musisz zainstalować tę funkcję.If you do not see Active Directory Users and Computers on the Tools menu, you need to install the feature. Aby zainstalować grupy i użytkownicy usługi Active Directory, należy uruchomić następujące polecenie cmdlet programu Windows PowerShell jako administrator: Install-WindowsFeature RSAT-ADDS-Tools.To install Active Directory Users and Groups, run the following Windows PowerShell cmdlet as an administrator: Install-WindowsFeature RSAT-ADDS-Tools. Aby uzyskać więcej informacji, zobacz Instalowanie lub usuwanie pakiet narzędzia administracji zdalnej serwera.For more information, see Installing or Removing the Remote Server Administration Tool Pack.

  2. W drzewie konsoli rozwiń węzeł serwera, kliknij prawym przyciskiem myszy użytkowników, kliknij przycisk nowy, a następnie kliknij przycisk grupy.In the console tree, expand the server, right-click Users, click New, and then click Group.

  3. Wpisz nazwę grupy, zakres grupy i typ grupy (Utwórz grupy zabezpieczeń), a następnie kliknij przycisk OK.Enter a group name, group scope, and group type (create a security group), and then click OK.

    Nowa grupa zabezpieczeń jest dodawany do użytkowników folder.The new security group is added to the Users folder.

Aby dodać konta komputera do grupy zabezpieczeńTo add computer accounts to the security group

  1. Na pulpicie nawigacyjnym Menedżera serwera, kliknij przycisk narzędzia, a następnie kliknij przycisk użytkownicy usługi Active Directory i komputerów.On the Server Manager Dashboard, click Tools, and then click Active Directory Users and Computers.

  2. W drzewie konsoli rozwiń węzeł serwera, a następnie kliknij przycisk użytkowników.In the console tree, expand the server, and then click Users.

  3. Na liście kont użytkowników i grup zabezpieczeń na serwerze, kliknij prawym przyciskiem myszy grupę zabezpieczeń, który został utworzony dla funkcji DirectAccess, a następnie kliknij przycisk właściwości.In the list of user accounts and security groups on the server, right-click the security group that you created for DirectAccess, and then click Properties.

  4. Na członków , kliknij pozycję Dodaj.On the Members tab, click Add.

  5. W oknie dialogowym wpisz nazwy kont komputerów, które chcesz dodać do grupy, oddzielając nazwy średnikami (;).In the dialog box, type the names of the computer accounts that you want to add to the group, separating the names with a semicolon (;). Następnie kliknij przycisk Sprawdź nazwy.Then click Check Names.

  6. Po zweryfikowaniu konta komputerów, kliknij przycisk OK.After the computer accounts are validated, click OK. Następnie kliknij przycisk OK ponownie.Then click OK again.

Uwaga

Można również użyć członek we właściwości konta komputera, aby dodać konto do grupy zabezpieczeń.You can also use the Member of tab in the computer account properties to add the account to the security group.

Krok 5: Włączanie i konfigurowanie funkcji DirectAccess Step 5: Enable and configure DirectAccess

Aby włączyć i skonfigurować funkcję DirectAccess w systemie Windows Server, należy wykonać następujące czynności:To enable and configure DirectAccess in Windows Server Essentials, you must complete the following steps:

Krok 5a: Włączanie funkcji DirectAccess przy użyciu konsoli zarządzania dostępem zdalnym Step 5a: Enable DirectAccess by using the Remote Access Management Console

Ta sekcja zawiera instrukcje krok po kroku, aby umożliwić funkcji DirectAccess w systemie Windows Server.This section provides step-by-step instructions to enable DirectAccess in Windows Server Essentials. Jeśli nie skonfigurowano sieci VPN na serwerze jeszcze, należy to zrobić przed rozpoczęciem tej procedury.If you have not configured VPN on the server yet, you should do that before you start this procedure. Aby uzyskać instrukcje, zobacz zarządzanie siecią VPN.For instructions, see Manage VPN.

Aby umożliwić funkcji DirectAccess za pomocą konsoli zarządzania dostępem zdalnymTo enable DirectAccess by using the Remote Access Management Console
  1. Na stronie menu Start, otwórz zarządzania dostępem zdalnym.On the Start page, open Remote Access Management.

  2. Kreator włączania funkcji DirectAccess wykonaj następujące czynności:In the Enable DirectAccess Wizard, do the following:

    1. Przegląd wymagania wstępne funkcji DirectAccess, a następnie kliknij przycisk dalej.Review DirectAccess Prerequisites, and click Next.

    2. Na Wybieranie grup Dodaj grupę zabezpieczeń, który został wcześniej utworzony dla klientów funkcji DirectAccess.On the Select Groups tab, add the security group that you created earlier for DirectAccess clients. (Jeśli nie została utworzona grupa zabezpieczeń, zobacz krok 4: Tworzenie grupy zabezpieczeń klienta funkcji DirectAccess komputery instrukcje.)(If you have not created the security group, see Step 4: Create a security group for DirectAccess client computers for instructions.)

    3. Na Wybieranie grup , kliknij pozycję włączania funkcji DirectAccess tylko dla komputerów przenośnych Jeśli chcesz włączyć komputerów przenośnych funkcji DirectAccess do zdalnego dostępu do serwera, a następnie kliknij przycisk dalej.On the Select Groups tab, click Enable DirectAccess for mobile computers only if you want to enable mobile computers to use DirectAccess to remotely access the server, and then click Next.

    4. W topologii sieciwybór topologii serwera, a następnie kliknij pozycję dalej.In Network Topology, select the topology of the server, and then click Next.

    5. W listy wyszukiwania sufiksów DNSdodać dodatkowe sufiks DNS dla komputerów klienckich, jeśli to konieczne, a następnie kliknij pozycję dalej.In DNS Suffix Search List, add the additional DNS suffix for the client computers, if needed, and then click Next.

      Uwaga

      Domyślnie Kreator włączania funkcji DirectAccess już dodaje sufiks DNS dla bieżącej domeny.By default, the Enable DirectAccess Wizard already adds the DNS suffix for current domain. Jednak można dodać kolejne w razie potrzeby.However, you can add more if needed.

    6. Przejrzyj obiektów zasad grupy (GPO), które zostaną zastosowane i zmodyfikuj je stosownie do potrzeb.Review the Group Policy Objects (GPOs) that will be applied, and modify them if needed.

    7. Kliknij przycisk dalej, a następnie kliknij przycisk Zakończ.Click Next, and then click Finish.

    8. Uruchom ponownie usługę zarządzania dostępem zdalnym, uruchamiając następujące polecenia środowiska Windows PowerShell w trybie podniesionych uprawnień:Restart the Remote Access Management service by running the following Windows PowerShell command in elevated mode:

      Restart-Service RaMgmtSvc   
      

Krok 5b: Usuń nieprawidłowy IPv6Prefix w obiekcie zasad grupy usługi RRAS (tylko w systemie Windows Server Essentials) Step 5b: Remove the invalid IPv6Prefix in RRAS GPO (Windows Server Essentials only)

Ta sekcja dotyczy serwera z systemem Windows Server Essentials.This section applies to a server running Windows Server Essentials.

Otwórz program Windows PowerShell jako Administrator i uruchom następujące polecenia:Open Windows PowerShell as an Administrator and run the following commands:

gpupdate  
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}  
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix  
gpupdate  

Krok 5c: Włącz komputery klienckie z systemem Windows 7 Enterprise funkcji DirectAccess Step 5c: Enable client computers running Windows 7 Enterprise to use DirectAccess

Jeśli komputery klienckie z systemem Windows 7 Enterprise, wykonaj poniższą procedurę, aby umożliwić funkcji DirectAccess z tych komputerów.If you have client computers running Windows 7 Enterprise, complete the following procedure to enable DirectAccess from those computers.

Aby włączyć komputery Windows 7 Enterprise funkcji DirectAccessTo enable Windows 7 Enterprise computers to use DirectAccess
  1. Na stronie początkowej serwera s Otwórz zarządzania dostępem zdalnym.On the server ��s Start page, open Remote Access Management.

  2. W konsoli zarządzania dostępu zdalnego kliknij konfiguracji.In the Remote Access Management Console, click Configuration. Następnie w szczegóły ustawień okienku w obszarze krok 2, kliknij przycisk edytować.Then, in the Setup Details pane, under Step 2, click Edit.

    Zostanie otwarty Kreator instalacji serwera dostępu zdalnego.The Remote Access Server Setup Wizard opens.

  3. Na uwierzytelniania , wybierz certyfikat urzędu certyfikacji będzie certyfikatów zaufanych głównych (można wybrać certyfikat urzędu certyfikacji serwera systemu Windows Server Essentials).On the Authentication tab, choose the certification authority (CA) certificate that will be the trusted root certificate (you can choose the CA certificate of the Windows Server Essentials server). Kliknij przycisk włączyć Windows 7 komputerów klienckich do łączenia za pomocą funkcji DirectAccess, a następnie kliknij przycisk dalej.Click Enable Windows 7 client computers to connect via DirectAccess, and then click Next.

  4. Postępuj zgodnie z instrukcjami, aby zakończyć działanie kreatora.Follow the instructions to complete the wizard.

Ważne

Jest to znany problem w przypadku komputerów systemu Windows 7 Enterprise, łączenie za pośrednictwem funkcji DirectAccess, jeśli nie jest wyposażony w UR1 preinstalowanym serwera systemu Windows Server Essentials.There is a known issue for Windows 7 Enterprise computers connecting over DirectAccess if the Windows Server Essentials server did not come with UR1 pre-installed. Aby włączyć połączenia funkcji DirectAccess, w tym środowisku, należy wykonać następujące dodatkowe kroki:To enable DirectAccess connections in that environment, you must perform these additional steps:

  1. Zainstaluj poprawkę opisaną w artykuł bazy wiedzy Microsoft Knowledge Base (KB) 2796394 na serwerze Windows Server Essentials.Install the hotfix described in Microsoft Knowledge Base (KB) article 2796394 on the Windows Server Essentials server. Następnie uruchom ponownie serwer.Then restart the server.

    1. Następnie zainstaluj poprawkę opisaną w artykuł bazy wiedzy Microsoft Knowledge Base (KB) 2615847 na każdym komputerze z systemem Windows 7.Then install the hotfix described in Microsoft Knowledge Base (KB) article 2615847 on each Windows 7 computer.

    Ten problem został rozwiązany w systemie Windows Server.This issue was resolved in Windows Server Essentials.

Krok 5d: Konfigurowanie serwera lokalizacji sieciowej Step 5d: Configure the network location server

Ta sekcja zawiera instrukcje krok po kroku, aby skonfigurować ustawienia serwera lokalizacji sieciowej.This section provides step-by-step instructions to configure the network location server settings.

Uwaga

Przed rozpoczęciem należy skopiować zawartość folderu \inetpub\wwwroot < SystemDrive\ > do folderu < SystemDrive\ > Files\Windows Server\Bin\WebApps\Site\insideoutside.Before you begin, copy the contents of the \inetpub\wwwroot folder to the \Program Files\Windows Server\Bin\WebApps\Site\insideoutside folder. Również skopiuj plik default.aspx z folderu < SystemDrive\ > Files\Windows Server\Bin\WebApps\Site do folderu Server\Bin\WebApps\Site\insideoutside Files\Windows < SystemDrive\ >.Also copy the default.aspx file from the \Program Files\Windows Server\Bin\WebApps\Site folder to the \Program Files\Windows Server\Bin\WebApps\Site\insideoutside folder.

Aby skonfigurować serwer lokalizacji sieciowejTo configure the network location server
  1. Na stronie menu Start, otwórz zarządzania dostępem zdalnym.On the Start page, open Remote Access Management.

  2. W konsoli zarządzania dostępu zdalnego kliknij konfiguracjii w konfiguracji dostępu zdalnego okienku szczegółów w krok 3, kliknij przycisk edytować.In the Remote Access Management Console, click Configuration, and in the Remote Access Setup details pane, in Step 3, click Edit.

  3. Zdalnego dostępu do Kreatora konfiguracji serwera na serwera lokalizacji sieciowej zaznacz serwera lokalizacji sieciowej jest wdrożony na serwerze dostępu zdalnego, a następnie wybierz certyfikat, który wcześniej został wystawiony (w krok 3: przygotowanie certyfikatu i rekordu DNS dla serwera lokalizacji sieciowej).In the Remote Access Server Setup Wizard, on the Network Location Server tab, select The network location server is deployed on the Remote Access server, and then select the certificate that was previously issued (in Step 3: Prepare a certificate and DNS record for the network location server).

  4. Postępuj zgodnie z instrukcjami, aby zakończyć pracę kreatora, a następnie kliknij przycisk Zakończ.Follow the instructions to complete the wizard, and then click Finish.

Krok 5e: Dodaj klucz rejestru pomijanie certyfikacji urzędu certyfikacji podczas ustanawiania kanał protokołu IPsec Step 5e: Add a registry key to bypass CA certification when you establish an IPsec channel

Następnym krokiem jest skonfigurowanie serwera pomijanie certyfikacji urzędu certyfikacji po ustanowieniu kanał protokołu IPsec.Your next step is to configure the server to bypass CA certification when an IPsec channel is established.

Aby dodać klucz rejestru, aby pominąć certyfikacji urzędu certyfikacjiTo add a registry key to bypass the CA certification
  1. Na stronie menu Start, otwórz regedit (Edytor rejestru).On the Start page, open regedit (the Registry Editor).

  2. W Edytorze rejestru rozwiń węzeł HKEY_LOCAL_MACHINE, rozwiń węzeł systemu, rozwiń węzeł CurrentControlSet, rozwiń węzeł usługi rozwiń IKEEXT.In the Registry Editor, expand HKEY_LOCAL_MACHINE, expand System, expand CurrentControlSet, expand Services, and expand IKEEXT.

  3. W obszarze IKEEXT, kliknij prawym przyciskiem myszy parametry, kliknij przycisk nowy, a następnie kliknij przycisk DWORD (32-bitowe) wartość.Under IKEEXT, right-click Parameters, click New, and then click DWORD (32 bit) Value.

  4. Zmień wartość nowo dodanych do ikeflags.Rename the newly added value to ikeflags.

  5. Kliknij dwukrotnie ikeflagsustaw typu do szesnastkowych, ustaw wartość 8000, a następnie kliknij przycisk OK.Double-click ikeflags, set the Type to Hexadecimal, set the value to 8000, and then click OK.

Uwaga

Aby dodać ten klucz rejestru służy następujące polecenie środowiska Windows PowerShell w trybie podniesionych uprawnień:You can use the following Windows PowerShell command in elevated mode to add this registry key:

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

Krok 6: Skonfiguruj ustawienia tabeli zasad rozpoznawania nazw dla serwera DirectAccess Step 6: Configure Name Resolution Policy Table settings for the DirectAccess server

Ta sekcja zawiera instrukcje dotyczące edytowania wpisy nazw rozpoznawania zasady tabeli (NPRT) dla adresów (na przykład wpisy z sufiksem contoso.local) dla obiektów zasad grupy klienta funkcji DirectAccess, a następnie ustaw adres interfejsu IPHTTPS.This section provides instructions for editing the Name Resolution Policy Table (NPRT) entries for internal addresses (for example, entries with a contoso.local suffix) for DirectAccess client GPOs, and then set the IPHTTPS interface address.

Aby skonfigurować wpisy tabeli zasad rozpoznawania nazwTo configure Name Resolution Policy Table entries

  1. Na stronie menu Start, otwórz zarządzania zasadami grupy.On the Start page, open Group Policy Management.

  2. W konsoli zarządzania zasadami grupy kliknij domyślne lesie i domenie, kliknij prawym przyciskiem myszy ustawień klientów funkcji DirectAccess, a następnie kliknij przycisk edytować.In the Group Policy Management console, click the default forest and domain, right-click DirectAccess Client Settings, and then click Edit.

  3. Kliknij przycisk konfiguracje komputera, kliknij przycisk zasady, kliknij przycisk ustawienia systemu Windows, a następnie kliknij przycisk zasad rozpoznawania nazw.Click Computer Configurations, click Policies, click Windows Settings, and then click Name Resolution Policy. Wybierz wpis, który ma przestrzeni nazw, który jest taka sama jak Twoje sufiksu DNS, a następnie kliknij przycisk edytowanie reguły.Choose the entry that has the namespace that is identical to your DNS suffix, and then click Edit Rule.

  4. Kliknij przycisk ustawienia DNS dla funkcji DirectAccess karcie; następnie wybierz pozycję ustawienia Włącz DNS dla funkcji DirectAccess w tej regule.Click the DNS Settings for DirectAccess tab; then select Enable DNS settings for DirectAccess in this rule. Dodaj adres IPv6 dla interfejsu IP-HTTPS na liście serwerów DNS.Add the IPv6 address for the IP-HTTPS interface in the DNS server list.

    Uwaga

    Następujące polecenia środowiska Windows PowerShell umożliwia uzyskiwanie adresu IPv6:You can use the following Windows PowerShell command to get the IPv6 address:

    (Get-NetIPInterface -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress

Krok 7: Konfigurowanie protokołu TCP i UDP reguł zapory dla serwera funkcji DirectAccess obiekty zasad grupy Step 7: Configure TCP and UDP firewall rules for the DirectAccess server GPOs

Ta sekcja zawiera instrukcje krok po kroku do konfigurowania protokołu TCP i UDP reguł zapory dla serwera funkcji DirectAccess obiekty zasad grupy.This section includes step-by-step instructions to configure TCP and UDP firewall rules for the DirectAccess server GPOs.

Aby skonfigurować reguły zaporyTo configure firewall rules

  1. Na stronie menu Start, otwórz zarządzania zasadami grupy.On the Start page, open Group Policy Management.

  2. W konsoli zarządzania zasadami grupy kliknij domyślne lesie i domenie, kliknij prawym przyciskiem myszy ustawień serwera DirectAccess, a następnie kliknij przycisk edytować.In the Group Policy Management console, click the default forest and domain, right-click DirectAccess Server Settings, and then click Edit.

  3. Kliknij przycisk konfiguracji komputera, kliknij przycisk zasady, kliknij przycisk ustawienia systemu Windows, kliknij przycisk ustawienia zabezpieczeń, kliknij przycisk zapory systemu Windows z zabezpieczeniami zaawansowanymi, kliknij przycisk Dalej na poziomie zapory systemu Windows z zabezpieczeniami zaawansowanymi, a następnie kliknij przycisk reguły ruchu przychodzącego.Click Computer Configuration, click Policies, click Windows Settings, click Security Settings, click Windows Firewall with Advanced Security, click next-level Windows Firewall with Advanced Security, and then click Inbound Rules. Kliknij prawym przyciskiem myszy nazwa domeny serwera (ruch przychodzący TCP), a następnie kliknij przycisk właściwości.Right-click Domain name Server (TCP-In), and then click Properties.

  4. Kliknij przycisk zakres kartę, a następnie w lokalny adres IP listy, Dodaj adres IPv6 interfejsu IP-HTTPS.Click the Scope tab, and in the Local IP address list, add the IPv6 address of the IP-HTTPS interface.

  5. Powtórz tej samej procedury dla serwera nazw domeny (ruch przychodzący UDP).Repeat the same procedure for Domain Name Server (UDP-In).

Krok 8: Konfiguracja zmiany DNS64 słuchać interfejsu IP-HTTPS Step 8: Change the DNS64 configuration to listen to the IP-HTTPS interface

Należy zmienić konfigurację DNS64 słuchać interfejsu IP-HTTPS za pomocą następującego polecenia programu Windows PowerShell.You must change the DNS64 configuration to listen to the IP-HTTPS interface by using the following Windows PowerShell command.

Set-NetDnsTransitionConfiguration  �AcceptInterface IPHTTPSInterface  

Krok 9: Zarezerwować portów dla usługi funkcję WinNat Step 9: Reserve ports for the WinNat service

Aby zarezerwować portów dla usługi funkcję WinNat, użyj następującego polecenia programu Windows PowerShell.Use the following Windows PowerShell command to reserve ports for the WinNat service. Zastąp "192.168.1.100" rzeczywisty adres IPv4 serwera systemu Windows Server Essentials.Replace "192.168.1.100" with the actual IPv4 address of your Windows Server Essentials server.

Set-NetNatTransitionConfiguration  �IPv4AddressPortPool @("192.168.1.100, 10000-47000")  
Ważne

Aby uniknąć konfliktów portów z aplikacjami, upewnij się, że zakres portów, które należy zarezerwować dla usługi funkcję WinNat nie ma portu 6602.To avoid port conflicts with applications, be sure that the port range that you reserve for the WinNat service does not include port 6602.

Krok 10: Uruchom ponownie usługę funkcję WinNat Step 10: Restart the WinNat service

Uruchom ponownie usługę Windows sterownik NAT (funkcję WinNat), uruchamiając następujące polecenia środowiska Windows PowerShell.Restart the Windows NAT Driver (WinNat) service by running the following Windows PowerShell command.

Restart-Service winnat  

Dodatek: Konfigurowanie funkcji DirectAccess przy użyciu środowiska Windows PowerShell Appendix: Set up DirectAccess by using Windows PowerShell

W tej sekcji opisano sposób instalowania i konfigurowania funkcji DirectAccess za pomocą środowiska Windows PowerShell.This section describes how to set up and configure DirectAccess by using Windows PowerShell.

PrzygotowaniePreparation

Przed rozpoczęciem konfigurowania serwera dla funkcji DirectAccess, należy wykonać następujące czynności:Before you begin configuring your server for DirectAccess, you must complete the following:

  1. Postępuj zgodnie z procedurą opisaną w krok 3: przygotowanie certyfikatu i rekordu DNS dla serwera lokalizacji sieciowej do rejestrowania certyfikatu o nazwie funkcji DirectAccess NLS.contoso.com (gdzie contoso.com zastępuje nazwę rzeczywistej domeny wewnętrznej) i umożliwia dodawanie rekordu DNS dla serwera lokalizacji sieciowej (lokalizacji Sieciowej).Follow the procedure in Step 3: Prepare a certificate and DNS record for the network location server to enroll a certificate named DirectAccess-NLS.contoso.com (where contoso.com is replaced by your actual internal domain name), and to add a DNS record for the network location server (NLS).

  2. Dodaj grupę zabezpieczeń o nazwie DirectAccessClients w usłudze Active Directory, a następnie dodaj komputery klienckie, dla których chcesz zapewnić funkcji DirectAccess.Add a security group named DirectAccessClients in Active Directory, and then add client computers for which you want to provide the DirectAccess functionality. Aby uzyskać więcej informacji, zobacz krok 4: Tworzenie grupy zabezpieczeń klienta funkcji DirectAccess komputery.For more information, see Step 4: Create a security group for DirectAccess client computers.

PoleceniaCommands

Ważne

W systemie Windows Server nie trzeba usunąć niepotrzebne prefiks IPv6 obiektu zasad grupy.In Windows Server Essentials, you do not need to remove the unnecessary IPv6 prefix GPO. Usunięcie sekcji kodu z następującą etykietą: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.Delete the code section with the following label: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.

# Add Remote Access role if not installed yet  
$ra = Get-WindowsFeature RemoteAccess  
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }  

# Server may need to restart if you installed RemoteAccess role in the above step  

# Set the internet domain name to access server, replace contoso.com below with your own domain name  
$InternetDomain = "www.contoso.com"  
#Set the SG name which you create for DA clients  
$DaSecurityGroup = "DirectAccessClients"  
#Set the internal domain name  
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name  

# Set static IP and DNS settings  
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"  
$CurrentIP = $NetConfig.IPAddress[0]  
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}  
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)  
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)  
$NetConfig.SetDNSServerSearchOrder($CurrentIP)  

# Get physical adapter name and the certificate for NLS server  
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId  
$Certs = dir cert:\LocalMachine\My  
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}  

# Add regkey to bypass CA cert for IPsec authentication  
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000  

# Install DirectAccess.   
Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface $Adapter -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force  

#Restart Remote Access Management service  
Restart-Service RaMgmtSvc  

# [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO   

gpupdate  
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}  
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix  
gpupdate  

# Enable client computers running Windows 7 to use DirectAccess  
$allcertsinroot = dir cert:\LocalMachine\root  
$rootcert = $allcertsinroot | Where-Object{$_.Subject -like "*-CAA*"}  
Set-DAServer  �IPSecRootCertificate $rootcert[0]  
Set  �DAClient  �OnlyRemoteComputers Disabled -Downlevel Enabled  

#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients  
Add-DAClient -SecurityGroupNameList $DaSecurityGroup   
Remove-DAClient -SecurityGroupNameList "Domain Computers"  

# Gather DNS64 IP address information  
$Remoteaccess = get-remoteaccess  
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128  
$DNS64IP=$IPInterface[1].IPaddress  
$Natconfig = Get-NetNatTransitionConfiguration  

# Configure TCP and UDP firewall rules for the DirectAccess server GPO  
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'  
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP  
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP  

# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain  
$Suffix = '.' + $InternalDomain  
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP  

# Change the DNS64 configuration to listen to IP-HTTPS interface  
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface  

# Copy the necessary files to NLS site folder  
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E /Y  
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /Y  

# Reserve ports for the WinNat service  
Set-NetNatTransitionConfiguration  �IPv4AddressPortPool @("192.168.1.100, 10000-47000")  

# Restart the WinNat service  
Restart-Service winnat  

Zobacz teżSee also