步驟 2 設定遠端存取伺服器
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
本主題描述如何設定遠端系統管理 DirectAccess 用戶端所需的用戶端和伺服器設定。 在開始部署步驟之前,請確定您已完成步驟 2:規劃遠端存取部署中所述的規劃步驟。
| Task | 描述 |
|---|---|
| 安裝遠端存取角色 | 安裝「遠端存取」角色。 |
| 設定部署類型 | 將部署類型設定為 DirectAccess 與 VPN、僅 DirectAccess 或僅 VPN。 |
| 設定 DirectAccess 用戶端 | 在「遠端存取」伺服器設定包含 DirectAccess 用戶端的安全性群組。 |
| 設定遠端存取伺服器 | 設定遠端存取伺服器設定。 |
| 設定基礎結構伺服器 | 設定組織中所使用的基礎結構伺服器。 |
| 設定應用程式伺服器 | 將應用程式伺服器設定為需要驗證和加密。 |
| 設定摘要和替代 GPO | 檢視「遠端存取」設定摘要,並視需要修改 GPO。 |
注意
本主題包含可讓您用來將部分所述的程序自動化的 Windows PowerShell Cmdlet 範例。 如需詳細資訊,請參閱使用 Cmdlet.
安裝遠端存取角色
您必須在將組織中將做為遠端存取伺服器的伺服器上安裝遠端存取角色。
安裝「遠端存取」角色
在 DirectAccess 伺服器上安裝遠端存取角色
在 DirectAccess 伺服器上,於伺服器管理員主控台的 [儀表板] 中,按一下 [新增角色和功能]。
按 [下一步] 3 次,進入伺服器角色選擇畫面。
在 [選取伺服器角色] 對話方塊中,選取 [遠端存取],然後按 [下一步]。
按 [下一步] 三次。
在 [選取角色服務] 對話方塊中,選取 [DirectAccess 和 VPN (RAS)],然後按一下 [新增功能]。
選取 [路由],選取 [Web 應用程式 Proxy],按一下 [新增功能],然後按 [下一步]。
按 [下一步] ,然後按一下 [安裝] 。
在 [安裝進度] 對話方塊中,確認安裝成功,然後按一下 [關閉]。
Windows PowerShell 對應的命令
下列 Windows PowerShell Cmdlet 執行與前述程序相同的功能。 在單一行中,輸入各個 Cmdlet (即使因為格式限制,它們可能會在這裡出現自動換行成數行)。
Install-WindowsFeature RemoteAccess -IncludeManagementTools
設定部署類型
有三個選項可用來從遠端存取管理主控台部署遠端存取:
DirectAccess 與 VPN
僅 DirectAccess
僅 VPN
注意
本指南在範例程序中會使用 [僅限 DirectAccess] 部署方法。
設定部署類型
在遠端存取伺服器上,開啟 [遠端存取管理主控台]:在 [開始] 畫面上,輸入遠端存取管理主控台,然後按 ENTER。 如果出現 [使用者帳戶控制] 對話方塊,請確認它所顯示的動作就是您所需的動作,然後按一下 [是]。
在 [遠端存取管理] 主控台的中央窗格中,按一下 [執行遠端存取安裝精靈]。
在 [設定遠端存取] 對話方塊中,選取 [DirectAccess 和 VPN]、[僅限 DirectAccess] 或 [僅限 VPN]。
設定 DirectAccess 用戶端
若要佈建用戶端電腦以使用 DirectAccess,它必須屬於所選取的安全性群組。 設定 DirectAccess 之後,就會佈建安全性群組中的用戶端電腦來接收 DirectAccess 群組原則物件 (GPO) 以進行遠端管理。
設定 DirectAccess 用戶端
在 [遠端存取管理主控台] 中間窗格的 [步驟 1 遠端用戶端] 區域中,按一下 [設定]。
在 [DirectAccess 用戶端安裝精靈] 的 [部署案例] 頁面上,按一下 [部署 DirectAccess 僅供遠端管理],然後按 [下一步]。
在 [選取群組] 頁面中,按一下 [新增]。
在 [選取群組] 對話方塊中,選取包含 DirectAccess 用戶端電腦的安全性群組,然後按 [下一步]。
在 [網路連線助理] 頁面上:
在表格中,新增將用來判斷內部網路連線能力的資源。 如果沒有設定任何其他資源,將會自動建立預設 Web 探查。 設定 Web 探查位置來判斷企業網路連線能力時,請確定您至少設定一個 HTTP 型探查。 僅設定 ping 探查並不足夠,這可能會導致連線能力狀態判斷不正確。 這是因為會從 IPsec 中豁免 ping。 因此,ping 無法確保已正確建立 IPsec 通道。
新增「技術服務人員」電子郵件地址,以允許使用者在遇到連線問題時傳送資訊。
提供 DirectAccess 連線的易記名稱。
視需要選取 [允許 DirectAccess 用戶端使用本機名稱解析] 核取方塊。
注意
啟用本機名稱解析時,執行 NCA 的使用者可以使用 DirectAccess 用戶端電腦上設定的 DNS 伺服器來解析名稱。
按一下完成。
設定遠端存取伺服器
若要部署遠端存取,您必須使用下列項目來設定將做為遠端存取伺服器的伺服器:
正確的網路介面卡
用戶端電腦可以連線的遠端存取伺服器的公用 URL (ConnectTo 位址)
具有符合 ConnectTo 位址的主體的 IP-HTTPS 憑證
IPv6 設定
用戶端電腦驗證
設定遠端存取伺服器
在 [遠端存取管理主控台] 中間窗格的 [步驟 2 遠端存取伺服器] 區域中,按一下 [設定]。
在 [遠端存取伺服器安裝精靈] 的 [網路拓撲] 頁面上,按一下將在您組織中使用的部署拓撲。 在 [輸入用戶端用於連線至遠端存取伺服器的公用名稱或 IPv4 位址]、輸入部署的公用名稱 (此名稱符合 IP-HTTPS 憑證的主體名稱,例如,edge1.contoso.com),然後按 [下一步]。
在 [網路介面卡] 頁面上,精靈會自動偵測:
部署中網路的網路介面卡。 如果精靈沒有偵測到正確的網路介面卡,請手動選取正確的介面卡。
IP-HTTPS 憑證。 這是根據您在精靈的上一個步驟期間設定的部署的公用名稱。 如果精靈沒有偵測到正確的 IP-HTTPS 憑證,請按一下 [瀏覽] 來手動選取正確的憑證。
按一下 [下一步] 。
在 [首碼設定] 頁面 (此頁面只有在內部網路中偵測到 IPv6 時才會顯示) 上,精靈會自動偵測內部網路上使用的 IPv6 設定。 如果您的部署需要額外的首碼,請設定內部網路的 IPv6 首碼、要指派給 DirectAccess 用戶端電腦的 IPv6 首碼,以及要指派給 VPN 用戶端電腦的 IPv6 首碼。
在 [驗證] 頁面上:
針對多站台和雙因素驗證部署,您必須使用電腦憑證驗證。 選取 [使用電腦憑證] 核取方塊以使用電腦憑證驗證,並選取 IPsec 根憑證。
若要讓執行 Windows 7 的用戶端電腦透過 DirectAccess 進行連線,請選取 [啟用 Windows 7 用戶端電腦透過 DirectAccess 進行連線] 核取方塊。 在這種部署中,您必須也使用電腦憑證驗證。
按一下完成。
設定基礎結構伺服器
若要設定遠端存取部署中的基礎結構伺服器,您必須設定下列項目:
網路位置伺服器
DNS 設定,包括 DNS 尾碼搜尋清單
遠端存取未自動偵測到的任何管理伺服器
設定基礎結構伺服器
在 [遠端存取管理主控台] 中間窗格的 [步驟 3 基礎結構伺服器] 區域中,按一下 [設定]。
在 [基礎結構伺服器安裝精靈] 的 [網路位置伺服器] 頁面上,按一下與部署中網路位置伺服器的位置對應的選項。
如果網路位置伺服器位於遠端網頁伺服器上,請先輸入 URL,然後按一下 [驗證],之後再繼續。
如果網路位置伺服器位於遠端存取伺服器上,請按一下 [瀏覽] 來找出相關的憑證,然後按 [下一步]。
在 DNS 頁面的表格中,輸入將套用為名稱解析原則表格 (NRPT) 豁免的任何其他名稱尾碼。 選取本機名稱解析選項,然後按 [下一步]。
在 [DNS 尾碼搜尋清單] 頁面上,遠端存取伺服器會自動偵測部署中的網域尾碼。 使用 [新增] 和 [移除] 按鈕來建立您想要使用的網域尾碼清單。 若要新增網域尾碼,請在 [新尾碼] 中輸入尾碼,然後按一下 [新增]。 按一下 [下一步] 。
在 [管理] 頁面上,新增系統不會自動偵測的管理伺服器,然後按 [下一步]。 遠端存取會自動新增網域控制站和 Configuration Manager 伺服器。
按一下完成。
設定應用程式伺服器
在完整遠端存取部署中,設定應用程式伺服器是一項選擇性的工作。 在此案例中,針對 DirectAccess 用戶端的遠端系統管理,不會使用應用程式伺服器,因此此步驟會呈現灰色停用狀態,以指出它非作用中。 按一下 [完成] 以套用設定。
設定摘要和替代 GPO
當遠端存取設定完成時,會顯示 [遠端存取檢閱]。 您可以檢閱先前選取的所有設定,包括:
GPO 設定
會列出 DirectAccess 伺服器 GPO 名稱和用戶端 GPO 名稱。 您也可以按一下 [GPO 設定] 標題旁邊的 [變更] 連結來修改 GPO 設定。
遠端用戶端
會顯示 DirectAccess 用戶端設定,包括安全性群組、連線能力驗證器,以及 DirectAccess 連線名稱。
遠端存取伺服器
會顯示 DirectAccess 設定,包括公用名稱和位址、網路介面卡設定和憑證資訊。
基礎結構伺服器
此清單包含網路位置伺服器 URL、DirectAccess 用戶端所使用的 DNS 尾碼,以及管理伺服器資訊。