步骤 2 配置 DirectAccess-VPN 服务器

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

本主题介绍如何使用启用 DirectAccess 向导配置基本远程访问部署所需的客户端和服务器设置。

下表概述了可以使用本主题完成的步骤。

任务 说明
配置 DirectAccess 客户端 使用包含 DirectAccess 客户端的安全组配置远程访问服务器。
配置网络拓扑 配置远程访问服务器设置。
配置 DNS 后缀搜索列表 如果需要,可修改后缀搜索列表。
GPO 配置 如果需要,可修改 GPO。

启动启用 DirectAcces 向导

  1. 在服务器管理器,单击" 工具",然后单击" 远程访问"。除非已选择"不再次显示此屏幕",否则"启用 DirectAccess 向导 "会自动启动

  2. 如果该向导没有自动启动,请右键单击“路由和远程访问” 树中的服务器节点,然后单击“启用 DirectAccess”

  3. 单击“下一步”。

配置 DirectAccess 客户端

要将客户端计算机设置为使用 DirectAccess,它必须属于所选的安全组。 在配置 DirectAccess 后,将安全组中的客户端计算机设置为接收 DirectAccess 组策略。

  1. 在“选择组”页上,单击“添加”

  2. “选择组”对话框中,选择包含 DirectAccess 客户端计算机的安全组。

  3. 选中“仅为移动计算机启用 DirectAccess”复选框以仅允许移动计算机访问内部网络。

  4. 选中“使用强制隧道”复选框,以通过远程访问服务器路由所有客户端通信(到内部网络和 Internet)。

  5. 单击“下一步”。

配置网络拓扑

若要部署远程访问,你需要配置具有正确网络适配器的远程访问服务器、客户端计算机可以连接到的远程访问服务器的公共 URL(连接到地址),以及使用者匹配连接到地址的 IP-HTTPS 证书。

  1. 在“网络拓扑”页上,单击将在你的组织中使用的部署拓扑。 在“键入客户端用于连接到远程访问服务器的公用名称或 IPv4 地址”中,输入部署的公用名称(此名称与 IP-HTTPS 证书的使用者名称相匹配,例如 edge1.contoso.com),然后单击“下一步”

配置 DNS 后缀搜索列表

对于 DNS 客户端,你可以配置一个扩展或修改其 DNS 搜索功能的 DNS 域后缀搜索列表。 通过将其他后缀添加到列表,你可以在多个指定 DNS 域中搜索较短的、不合格的计算机名称。 然后,如果 DNS 查询失败,DNS 客户端服务可以使用该列表,将其他名称后缀结尾附加到原始名称之后,并为这些备选 FQDN 向 DNS 服务器重复 DNS 查询。

  1. 选择“配置具有 DNS 客户端后缀搜索列表的 DirectAccess 客户端”以指定用于客户端名称搜索的其他后缀。

  2. 在"新后缀"中键入新的后缀名称,然后单击"添加"。 此外,可以更改搜索顺序,并从"域后缀" 中删除后缀以使用

[注意]在非连接名称空间方案 (其中一台或多台域计算机具有与计算机所属的 Active Directory 域不匹配的 DNS 后缀) ,应确保自定义搜索列表以包含所有必需的后缀。 默认情况下,远程访问向导会将 Active Directory DNS 名称配置为客户端上的主 DNS 后缀。 管理员应确保添加客户端使用的 DNS 后缀以进行名称解析。

对于计算机和服务器,以下默认 DNS 搜索行为是预先确定的,在完成和解析简短的非限定名称时会使用。当后缀搜索列表为空或未指定时,计算机的主 DNS 后缀将追加到短非限定名称,并且 DNS 查询用于解析结果的 FQDN。

如果此查询失败,计算机可以通过追加为网络连接配置的任何特定于连接的 DNS 后缀来尝试对备用 FQDN 进行其他查询。如果未配置任何特定于连接的后缀,或针对这些特定于连接的 FQDN 的查询失败,则客户端随后可以开始根据主要后缀的系统缩减(也称为"卷积 (来重试) 。

例如,如果主后缀为"example.microsoft.com",则卷积过程可以通过在"microsoft.com"和"com"域中搜索短名称来重试查询。

如果后缀搜索列表不为空并且至少指定了一个 DNS 后缀,则限定和解析短 DNS 名称的尝试仅限于搜索指定后缀列表可能提供这些 FQDN。

如果通过附加和尝试列表中的每个后缀而形成的所有 FQDN 查询未得到解析,则查询过程失败,会产生“找不到名称”的结果。

警告

如果使用了域后缀列表,则在查询未得到应答或解析时,客户端将根据不同的 DNS 域名继续发送其他备选查询。 一旦使用后缀列表中的某个条目解析名称,则不会再尝试未使用的列表条目。 因此,将最常用的域后缀排在第一位的列表排序方式效率最高。

仅当 DNS 名称条目不是完全限定时,才使用域名后缀搜索。 若要完全限定 DNS 名称,请在名称末尾输入末尾句点 (.) 。

GPO 配置

配置远程访问时,DirectAccess 设置将收集到 组策略 对象 (GPO) 。

GPO 设置中,列出了 DirectAccess 服务器 GPO 名称和客户端 GPO 名称。 此外,你可以修改 GPO 选择设置。

使用 DirectAccess 设置自动填充两个 GPO,并按此方式分发:

  1. DirectAccess 客户端 GPO。 此 GPO 包含客户端设置,包括 IPv6 转换技术设置、NRPT 条目和高级安全 Windows 防火墙连接安全规则。 将 GPO 应用于为客户端计算机指定的安全组。

  2. DirectAccess 服务器 GPO。 此 GPO 包含 DirectAccess 配置设置,这些设置应用于在部署中配置为远程访问服务器的任何服务器。 它还包含高级安全 Windows 防火墙连接安全规则。

总结

远程访问配置完成后,将显示 "摘要 "。 可以更改配置的设置,或单击" 完成 "以应用配置。