步驟 2 設定進階 DirectAccess 伺服器

  • 發行項

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016

本主題說明如何針對在混合了 IPv4 和 IPv6 的環境中使用單一「遠端存取」伺服器的進階「遠端存取」部署,設定所需的用戶端和伺服器設定。 在開始部署步驟之前,請確定您已完成下列連結中所述的規劃步驟:規劃進階 DirectAccess 部署

Task 描述
2.1. 安裝遠端存取角色 安裝「遠端存取」角色。
2.2. 設定部署類型 將部署類型設定為 DirectAccess 與 VPN、僅 DirectAccess 或僅 VPN。
規劃進階 DirectAccess 部署 在「遠端存取」伺服器設定包含 DirectAccess 用戶端的安全性群組。
2.4. 設定遠端存取伺服器 設定遠端存取伺服器設定。
2.5. 設定基礎結構伺服器 設定組織中所使用的基礎結構伺服器。
2.6. 設定應用程式伺服器 設定應用程式伺服器,讓它們需要驗證和加密。
2.7. 設定摘要和替代 GPO 檢視「遠端存取」設定摘要,並視需要修改 GPO。
2.8. 如何使用 Windows PowerShell 來設定遠端存取伺服器 使用 Windows PowerShell 來設定遠端存取。

注意

本主題包含可讓您用來將部分所述的程序自動化的 Windows PowerShell Cmdlet 範例。 如需詳細資訊,請參閱使用 Cmdlet.

2.1. 安裝遠端存取角色

若要部署「遠端存取」,您必須在將組織中將做為「遠端存取」伺服器的伺服器上安裝「遠端存取」角色。

安裝「遠端存取」角色

  1. 在遠端存取伺服器上,在 [伺服器管理員] 主控台的 [儀表板] 中 ,按一下 [新增角色和功能]

  2. 按 [下一步] 三次以進入 [選取伺服器角色] 畫面。

  3. 在 [選取伺服器角色] 頁面上,選取 [遠端存取],按一下 [新增功能],然後按 [下一步]

  4. 按 [下一步] 五次。

  5. 在 [確認安裝選項] 頁面上,按一下 [安裝]

  6. 在 [安裝進度] 頁面上,確認安裝成功,然後按一下 [關閉]

Installation progress successWindows PowerShell 對應的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。

Install-WindowsFeature RemoteAccess -IncludeManagementTools

2.2. 設定部署類型

可以使用「遠端存取管理主控台」以三種方式部署「遠端存取」:

  • DirectAccess 與 VPN

  • 僅 DirectAccess

  • 僅 VPN

本指南在範例程序中使用的是僅 DirectAccess 部署。

設定部署類型

  1. 在「遠端存取」伺服器上,開啟 [遠端存取管理主控台]:在 [開始] 畫面上,輸入 RAMgmtUI.exe,然後按 ENTER。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 []。

  2. 在 [遠端存取管理] 主控台的中央窗格中,按一下 [執行遠端存取安裝精靈]

  3. 在 [設定遠端存取] 對話方塊方塊中,按一下要部署 [DirectAccess 與 VPN]、[僅 DirectAccess] 還是 [僅 VPN]。

2.3. 設定 DirectAccess 用戶端

若要佈建用戶端電腦以使用 DirectAccess,它必須屬於所選取的安全性群組。 設定 DirectAccess 之後,就會佈建安全性群組中的用戶端電腦來接收 DirectAccess「群組原則物件」(GPO)。 您也可以設定部署案例,這可讓您設定 DirectAccess 來用於用戶端存取和遠端管理,或僅用於遠端管理。

設定 DirectAccess 用戶端

  1. 在 [遠端存取管理主控台] 中間窗格的 [步驟 1 遠端用戶端]區域中,按一下 [設定]

  2. 在 [DirectAccess 用戶端安裝精靈] 的 [部署案例] 頁面上,按一下您想要在組織中使用的部署案例 ([完整 DirectAccess] 或 [僅用於遠端管理]),然後按 [下一步]

  3. 在 [選取群組] 頁面中,按一下 [新增]

  4. 在 [選取群組] 對話方塊中,選取包含 DirectAccess 用戶端電腦的安全性群組。

    注意

    如果安全性群組位於與「遠端存取」伺服器不同的樹系,在您完成 [遠端存取安裝精靈] 之後,請按一下 [工作] 窗格中的 [重新整理管理伺服器],以探索新樹系中的網域控制站和 Configuration Manager 伺服器。

  5. 視需要選取 [僅針對攜帶型電腦啟用 DirectAccess] 核取方塊,以只允許行動電腦存取內部網路。

  6. 視需要選取 [使用強制通道] 核取方塊,以透過「遠端存取」伺服器路由傳送所有用戶端流量 (至內部網路和至網際網路)。

  7. 按一下 [下一步] 。

  8. 在 [網路連線助理] 頁面上:

    • 在表格中,新增將用來判斷內部網路連線能力的資源。 如果沒有設定任何其他資源,將會自動建立預設 Web 探查。

      警告

      設定 Web 探查位置來判斷企業網路連線能力時,請確定您至少設定一個 HTTP 型探查。 僅設定 ping 探查並不足夠,這可能會導致連線能力狀態判斷不正確。 這是因為 ping 已自 IPsec 豁免,因此,它無法確保能夠正確建立 IPsec 通道。

    • 新增「技術服務人員」電子郵件地址,以允許使用者在遇到連線問題時傳送資訊。

    • 提供 DirectAccess 連線的易記名稱。 當使用者按一下通知區域中的網路圖示時,這個名稱就會顯示在網路清單中。

    • 視需要選取 [允許 DirectAccess 用戶端使用本機名稱解析] 核取方塊。

      注意

      已啟用本機名稱解析時,執行 [網路連線助理] 的使用者可以選擇使用 DirectAccess 用戶端電腦上設定的 DNS 伺服器來解析名稱。

  9. 按一下完成

2.4. 設定遠端存取伺服器

若要部署「遠端存取」,您需要在「遠端存取」伺服器設定正確的網路介面卡、用戶端電腦可連線之「遠端存取」伺服器的公用 URL (ConnectTo 位址)、主體符合 ConnectTo 位址的 IP-HTTPS 憑證、IPv6 設定,以及用戶端電腦驗證。

設定遠端存取伺服器

  1. 在 [遠端存取管理主控台] 中間窗格的 [步驟 2 遠端存取伺服器] 區域中,按一下 [設定]

  2. 在 [遠端存取伺服器安裝精靈] 的 [網路拓撲] 頁面上,按一下將在您組織中使用的部署拓撲。 在 [輸入用戶端用於連線至遠端存取伺服器的公用名稱或 IPv4 位址]、輸入部署的公用名稱 (此名稱符合 IP-HTTPS 憑證的主體名稱,例如,edge1.contoso.com),然後按 [下一步]

  3. 在 [網路介面卡] 頁面上,精靈會自動偵測部署中網路的網路介面卡。 如果精靈沒有偵測到正確的網路介面卡,請手動選取正確的介面卡。 精靈也會根據在其上一個步驟中設定的部署公用名稱,自動偵測 IP-HTTPS 憑證。 如果精靈沒有偵測到正確的 IP-HTTPS 憑證,請按一下 [瀏覽] 來手動選取正確的憑證,然後按 [下一步]

  4. 在 [首碼設定] 頁面 (只有在內部網路中有部署 IPv6 時才會顯示) 上,精靈會自動偵測內部網路中使用的 IPv6 設定。 如果您的部署需要額外的首碼,請設定內部網路的 IPv6 首碼、要指派給 DirectAccess 用戶端電腦的 IPv6 首碼,以及要指派給 VPN 用戶端電腦的 IPv6 首碼。

    注意

    您可以使用分號分隔的清單方式指定多個內部 IPv6 首碼,例如 2001:db8:1::/48;2001:db8:2::/48。

  5. 在 [驗證] 頁面上:

    • 在 [使用者驗證] 中,按一下 [Active Directory 認證]。 若要使用雙因素驗證來設定部署,請按一下 [雙因素驗證]。 如需詳細資訊,請參閱使用 OTP 驗證部署遠端存取

    • 針對多站台和雙因素驗證部署,您必須使用電腦憑證驗證。 請選取 [使用電腦憑證] 核取方塊以使用電腦憑證驗證,並選取 IPsec 根憑證。

    • 若要讓 Windows 7 用戶端電腦透過 DirectAccess 進行連線,請選取 [啟用 Windows 7 用戶端電腦透過 DirectAccess 進行連線] 核取方塊。

      注意

      在這種部署中,您必須也使用電腦憑證驗證。

  6. 按一下完成

2.5. 設定基礎結構伺服器

若要在「遠端存取」部署中設定基礎結構伺服器,您必須設定網路位置伺服器、DNS 設定 (包括 DNS 尾碼搜尋清單),以及「遠端存取」不會自動偵測的管理伺服器。

設定基礎結構伺服器

  1. 在 [遠端存取管理主控台] 中間窗格的 [步驟 3 基礎結構伺服器] 區域中,按一下 [設定]

  2. 在 [基礎結構伺服器安裝精靈] 的 [網路位置伺服器] 頁面上,按一下與部署中網路位置伺服器的位置對應的選項。 如果網路位置伺服器位於遠端網頁伺服器上,請先輸入 URL 並按一下 [驗證],然後再繼續。 如果網路位置伺服器位於遠端存取伺服器上,請按一下 [瀏覽] 來找出相關的憑證,然後按 [下一步]

  3. 在 [DNS] 頁面的表格中,輸入將套用為名稱解析原則表格 (NRPT) 豁免的任何其他名稱尾碼。 選取本機名稱解析選項,然後按 [下一步]

  4. 在 [DNS 尾碼搜尋清單] 頁面上,遠端存取伺服器會自動偵測部署中的任何網域尾碼。 請使用 [新增] 和 [移除] 按鈕,從要使用的網域尾碼清單中新增和移除網域尾碼。 若要新增網域尾碼,請在 [新尾碼] 中輸入尾碼,然後按一下 [新增]。 按一下 [下一步] 。

  5. 在 [管理] 頁面上,新增系統不會自動偵測的任何管理伺服器,然後按 [下一步]。 遠端存取會自動新增網域控制站和 Configuration Manager 伺服器。

    注意

    雖然會自動新增伺服器,但是它們不會出現在清單中。 在您第一次套用設定之後,Configuration Manager 伺服器才會出現在清單中。

  6. 按一下完成

2.6. 設定應用程式伺服器

在「遠端存取」部署中,設定應用程式伺服器是一項選擇性的工作。 「遠端存取」可讓您針對選取的應用程式伺服器要求進行驗證,若要這麼做,只要將這些伺服器包含在應用程式伺服器安全群組中即可。 根據預設,連到需要驗證之應用程式伺服器的流量也會經過加密;不過,您可以選擇不要加密連到應用程式伺服器的流量,而只使用驗證。

注意

只有在執行 Windows Server 2012 R2、Windows Server 2012 或 Windows Server 2008 R2 的應用程式伺服器上,才支援不加密的驗證。

設定應用程式伺服器

  1. 在 [遠端存取管理主控台] 中間窗格的 [步驟 4 應用程式伺服器] 區域中,按一下 [設定]

  2. 在 [DirectAccess 應用程式伺服器安裝精靈] 中,若要要求向選取的應用程式伺服器進行驗證,請按一下 [將驗證延伸到選取的應用程式伺服器]。 按一下 [新增] 來選取應用程式伺服器安全性群組。

  3. 若要限制只能存取應用程式伺服器安全群組中的伺服器,請選取 [僅允許存取安全性群組內含的伺服器] 核取方塊。

  4. 若要使用未加密的驗證,請選取 [不要將流量加密。僅使用驗證] 核取方塊。

  5. 按一下完成

2.7. 設定摘要和替代 GPO

當遠端存取設定完成時,會顯示 [遠端存取檢閱]。 您可以檢閱先前選取的所有設定,包括:

  1. 群組原則物件 (GPO) - 列出 DirectAccess 伺服器 GPO 名稱與用戶端 GPO 名稱。 此外,您也可以按一下 [GPO 設定] 標題旁邊的 [變更] 連結來修改 GPO 設定。

  2. 遠端用戶端:會顯示 DirectAccess 用戶端設定,包括安全性群組、強制通道狀態、連線能力檢查器,以及 DirectAccess 連線名稱。

  3. 遠端存取伺服器:會顯示 DirectAccess 設定,包括公用名稱/位址、網路介面卡設定、憑證資訊,以及 OTP 資訊 (如果有設定的話)。

  4. 基礎結構伺服器:此清單包含網路位置伺服器 URL、DirectAccess 用戶端所使用的 DNS 尾碼,以及管理伺服器資訊。

  5. 應用程式伺服器:除了對特定應用程式伺服器的端對端驗證狀態之外,還會顯示 DirectAccess 遠端管理狀態。

2.8. 如何使用 Windows PowerShell 來設定遠端存取伺服器

Windows PowerShellWindows PowerShell 對應的命令

下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。

如果只要針對根目錄為 corp.contoso.com 之網域中的 DirectAccess,在遠端存取的邊緣拓撲中執行完整安裝,並使用下列參數:伺服器 GPO:DirectAccess 伺服器設定、用戶端 GPO:DirectAccess 用戶端設定、內部網路配接器:Corpnet、外部網路配接器:網路、ConnectTto 位址:edge1.contoso.com 以及網路位置伺服器:nls.corp.contoso.com

Install-RemoteAccess -Force -PassThru -ServerGpoName 'corp.contoso.com\DirectAccess Server Settings' -ClientGpoName 'corp.contoso.com\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Corpnet' -ConnectToAddress 'edge1.contoso.com' -NlsUrl 'https://nls.corp.contoso.com/'

若要設定「遠端存取」伺服器以使用電腦憑證驗證,並搭配名為 CORP-APP1-CA 的憑證授權單位所簽發的 IPsec 根憑證:

$certs = Get-ChildItem Cert:\LocalMachine\Root
$IPsecRootCert = $certs | Where-Object {$_.Subject -Match "corp-APP1-CA"}
Set-DAServer -IPsecRootCertificate $IPsecRootCert

若要新增包含名為 DirectAccessClients 之 DirectAccess 用戶端的安全性群組,以及移除預設的「網域電腦」安全性群組:

Add-DAClient -SecurityGroupNameList @('corp.contoso.com\DirectAccessClients')
Remove-DAClient -SecurityGroupNameList @('corp.contoso.com\Domain Computers')

若要為所有電腦 (而不只是筆記型電腦和膝上型電腦) 啟用遠端存取,以及為 Windows 7 用戶端啟用遠端存取:

Set-DAClient -OnlyRemoteComputers 'Disabled' -Downlevel 'Enabled'

若要設定 DirectAccess 用戶端體驗,包括易記的連線名稱和 Web 探查 URL:

Set-DAClientExperienceConfiguration -FriendlyName 'Contoso DirectAccess Connection' -PreferLocalNamesAllowed $False -PolicyStore 'corp.contoso.com\DirectAccess Client Settings' -CorporateResources @('HTTP:https://directaccess-WebProbeHost.corp.contoso.com')

後續步驟