步驟 2 規劃基本 DirectAccess 部署
規劃 DirectAccess 基礎結構之後,使用基本設定以在單一伺服器上部署 DirectAccess 的下一個步驟,就是規劃 [使用者入門精靈] 的設定。
| Task | 描述 |
|---|---|
| 規劃用戶端部署 | 根據預設值,[使用者入門精靈] 會將 WMI 篩選套用至用戶端設定 GPO,以將 DirectAccess 部署至網域中的所有膝上型和筆記型電腦 |
| DirectAccess 伺服器部署的規劃 | 規劃如何部署 DirectAccess 伺服器。 |
規劃用戶端部署
規劃用戶端部署時要進行兩個決策:
DirectAccess 將僅供攜帶型電腦使用,或是可供任何電腦使用?
當您在 [使用者入門精靈] 中設定 DirectAccess 用戶端時,可以選擇只允許所指定安全性群組中的攜帶型電腦使用 DirectAccess 進行連線。 如果您限制只有攜帶型電腦才能存取,則 DirectAccess 會自動設定 WMI 篩選,以確定 DirectAccess 用戶端 GPO 只會套用至所指定安全性群組中的攜帶型電腦。 DirectAccess 系統管理員需要可建立或修改群組原則 WMI 篩選的權限,才能啟用此設定。
哪些安全性群組將包含 DirectAccess 用戶端電腦?
DirectAccess 設定包含在 DirectAccess 用戶端 GPO 中。 GPO 會套用至您在 [使用者入門精靈] 中所指定安全性群組中的電腦。 您可以指定在任何支援的網域中所包含的安全性群組。 在您設定 DirectAccess 之前,應該先建立安全性群組。 您可以在完成 DirectAccess 部署之後,將電腦新增至安全性群組,但請注意,如果您將位於不同網域中的用戶端電腦新增至安全性群組,則用戶端 GPO 將不會套用至這些用戶端。 例如,如果您在網域 A 中建立 SG1 做為 DirectAccess 用戶端,之後新增網域 B 的用戶端到此群組,用戶端 GPO 將不會套用到網域 B 中的用戶端。若要避免這個問題,請為每個包含用戶端電腦的網域建立新的用戶端安全性群組。 或者,如果您不想要建立新的安全性群組,請執行 Add-DAClient Cmdlet,加上新網域的新 GPO 名稱。
DirectAccess 伺服器部署的規劃
規劃部署 DirectAccess 伺服器時要進行許多決策:
網路拓撲 - 部署 DirectAccess 伺服器時可以使用兩種拓撲:
兩張介面卡 - 如果有兩張網路介面卡,則 DirectAccess 可以設定一張網路介面卡直接連線至網際網路,另一張則連線至內部網路。 或者,伺服器安裝在邊緣裝置 (例如防火牆或路由器) 後面。 在此設定中,一張網路介面卡連線到周邊網路,另一張連線到內部網路。
單一網路介面卡 - 在此設定中,DirectAccess 伺服器安裝在邊緣裝置 (例如防火牆或路由器) 後面。 網路介面卡會連線到內部網路。
網路介面卡 - DirectAccess 精靈會自動偵測 DirectAccess 伺服器上所設定的網路介面卡。 您可以確定已從 [檢閱] 頁面選取正確的介面卡。
IP-HTTPS 憑證 - 因為此部署不需要 PKI,所以精靈會自動針對 IP-HTTPS 和網路位置伺服器佈建自我簽署憑證 (若找不到憑證),而且會自動啟用 Kerberos Proxy。 精靈也會啟用 NAT64 和 DNS64,以轉換僅限 IPv4 環境中的通訊協定。 精靈套用設定成功完成之後,按一下 [關閉]。
Windows 7 用戶端 - 您無法從 [使用者入門精靈] 啟用 Windows 7 用戶端的支援。 您可以從 [進階設定精靈] 啟用此功能。 如需詳細資料,請參閱使用進階設定部署單一 DirectAccess 伺服器。
VPN 設定 - 設定 DirectAccess 之前,請決定您是否要提供對遠端用戶端的 VPN 存取。 如果您的組織中有不支援 DirectAccess 連線的用戶端電腦 (因為它們未受管理,或是執行不支援 DirectAccess 的作業系統),則您應該提供 VPN 存取。 [使用者入門精靈] 會使用 DHCP 來設定 VPN IP 位址指派,並使用 Active Directory 來設定 VPN 用戶端進行驗證。
強制通道 - 如果您打算使用 [強制通道],或可能在未來予以新增,則應該使用使用進階設定部署單一 DirectAccess 伺服器來部署雙通道設定。 基於安全性考量,不支援在單一通道設定中強制通道。