DirectAccess 不支援的設定

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

在開始部署之前,請先檢閱下列不支援的 DirectAccess 設定清單,以避免必須再次開始部署。

群組原則物件 (SYSVOL 複寫) 的檔案複寫服務 (FRS) 散發

請勿在網域控制站針對群組原則物件 (SYSVOL 複寫) 散發執行檔案複寫服務 (FRS) 的環境中部署 DirectAccess。 使用 FRS 時,不支援部署 DirectAccess。

如果您有執行 Windows Server 2003 或 Windows Server 2003 R2 的網域控制站,則會使用 FRS。 此外,如果您先前使用過 Windows 2000 Server 或 Windows Server 2003 網域控制站,而且從未將 SYSVOL 複寫從 FRS 移轉至分散式檔案系統複寫 (DFS-R),您可能會使用 FRS。

如果您使用 FRS SYSVOL 複寫部署 DirectAccess,則可能會不小心刪除包含 DirectAccess 伺服器和用戶端設定資訊的 DirectAccess 群組原則物件。 如果刪除這些物件,您的 DirectAccess 部署將遭受中斷,而使用 DirectAccess 的用戶端電腦將無法連線到您的網路。

如果您計劃部署 DirectAccess,則必須使用執行較 Windows Server 2003 R2 更新作業系統的網域控制站,且必須使用 DFS-R。

如需從 FRS 移轉至 DFS-R 的相關資訊,請參閱 SYSVOL 複寫移轉指南:FRS 至 DFS 複寫

DirectAccess 用戶端的網路存取保護

網路存取保護 (NAP) 會先用來判斷遠端用戶端電腦是否符合 IT 原則,再為其授與公司網路的存取權。 NAP 已在 Windows Server 2012 R2 中取代,因此未包含在 Windows Server 2016 中。 基於這個理由,不建議使用 NAP 開始 DirectAccess 的新部署。 建議針對 DirectAccess 用戶端安全性使用不同的端點控制方法。

Windows 7 用戶端的多站台支援

在多站台部署中設定 DirectAccess 時,Windows 10®、Windows® 8.1 和 Windows® 8 用戶端能夠連線到最近的站台。 Windows 7® 用戶端電腦沒有該相同功能。 Windows 7 用戶端的站台選擇會在原則設定時設定為特定站台,而不論其位置為何,這些用戶端一律會連線到該指定站台。

使用者型存取控制

DirectAccess 原則是以電腦為基礎,而不是以使用者為基礎。 不支援指定 DirectAccess 使用者原則來控制對公司網路的存取權。

自訂 DirectAccess 原則

您可以使用 DirectAccess 設定精靈、遠端存取管理主控台或遠端存取 Windows PowerShell Cmdlet 來設定 DirectAccess。 不支援使用 DirectAccess 設定精靈以外的任何方法來設定 DirectAccess,例如直接修改 DirectAccess 群組原則物件,或手動修改伺服器或用戶端上的預設原則設定。 這些修改可能會導致無法使用的設定。

KerbProxy 驗證

使用 [開始使用精靈] 來設定 DirectAccess 伺服器時,DirectAccess 伺服器會自動設定為使用 KerbProxy 驗證進行電腦和使用者驗證。 因此,您應該只針對只部署 Windows 10®、Windows 8.1 或 Windows 8 用戶端的單一站台部署使用 [開始使用精靈]。

此外,下列功能不應該與 KerbProxy 驗證搭配使用:

  • 使用外部負載平衡器或 Windows 負載平衡器進行負載平衡

  • 需要智慧卡或一次性密碼 (OTP) 的雙重要素驗證

如果啟用 KerbProxy 驗證,則不支援下列部署方案:

  • 多站台。

  • Windows 7 用戶端的 DirectAccess 支援。

  • 強制通道。 若要確保當您使用強制通道時未啟用 KerbProxy 驗證,請在執行精靈時設定下列項目:

    • 啟用強制通道

    • 為 Windows 7 用戶端啟用 DirectAccess

注意

針對先前的部署,您應該使用進階設定精靈,其使用雙通道設定搭配憑證型電腦和使用者驗證。 如需詳細資訊,請參閱使用進階設定部署單一 DirectAccess 伺服器

使用 ISATAP

ISATAP 是一種轉換技術,可在僅限 IPv4 的公司網路中提供 IPv6 連線能力。 它僅限於具有單一 DirectAccess 伺服器部署的中小型組織,並允許遠端系統管理 DirectAccess 用戶端。 如果已在多站台、負載平衡或多網域環境中部署 ISATAP,您必須先將其移除,或將它移至原生 IPv6 部署,再設定 DirectAccess。

IPHTTPS 和一次性密碼 (OTP) 端點設定

使用 IPHTTPS 時,必須在 DirectAccess 伺服器上終止 IPHTTPS 連線,而不是在任何其他裝置上,例如負載平衡器。 同樣地,必須在 DirectAccess 伺服器上終止在一次性密碼 (OTP) 驗證期間建立的頻外安全通訊端層 (SSL) 連線。 這些連線端點之間的所有裝置都必須以傳遞模式設定。

使用 OTP 驗證強制通道

請勿為具有雙重要素驗證的 DirectAccess 伺服器同時部署 OTP 和強制通道,否則 OTP 驗證將會失敗。 DirectAccess 伺服器與 DirectAccess 用戶端之間需要頻外安全通訊端層 (SSL) 連線。 此連線需要豁免,才能將流量傳送至 DirectAccess 通道外部。 在強制通道設定中,所有流量都必須流經 DirectAccess 通道,而且在建立通道之後不允許豁免。 因此,在強制通道設定中不支援使用 OTP 驗證。

使用唯讀網域控制站部署 DirectAccess

DirectAccess 伺服器必須具有讀寫網域控制站的存取權,且對唯讀網域控制站 (RODC) 無法正確運作。

由於許多原因,需要讀寫網域控制站,包括下列各項:

  • 在 DirectAccess 伺服器上,需要讀寫網域控制站才能開啟遠端存取 Microsoft Management Console (MMC)。

  • DirectAccess 伺服器必須可對 DirectAccess 用戶端和 DirectAccess 伺服器群組原則物件 (GPO) 進行讀取和寫入。

  • 確切來說,DirectAccess 伺服器會從主要網域控制站模擬器 (PDCe) 對用戶端 GPO 進行讀取和寫入。

因為這些需求,請勿使用 RODC 部署 DirectAccess。