W tym kroku Kreatora konfiguracji funkcji DirectAccess (krok 4) są konfigurowane ustawienia uwierzytelniania połączenia typu end-to-end i chronionej komunikacji z serwerami aplikacji w sieci wewnętrznej. Aby przeprowadzić początkową konfigurację ustawień serwera aplikacji DirectAccess za pomocą przystawki DirectAccess, rozwiń węzeł DirectAccess, kliknij węzeł Instalator, a następnie kliknij polecenie Konfiguruj w celu rozpoczęcia kroku 4. Nie można kliknąć polecenia Konfiguruj w celu przejścia do kroku 4 przed ukończeniem konfiguracji w kroku 3. Aby zmienić ustawienia serwera aplikacji, kliknij polecenie Edytuj w celu rozpoczęcia kroku 4.

Przed wykonaniem kroku 4 ustal następujące kwestie:

  • Czy klienci funkcji DirectAccess mają używać uwierzytelniania połączenia typu end-to-end i ochrony danych na określonych serwerach w sieci wewnętrznej. Jeśli tak, utwórz grupy zabezpieczeń zawierające konta komputerów tych serwerów w sieci wewnętrznej.

  • Czy komunikacja z klientami funkcji DirectAccess ma być ograniczona tylko do serwerów należących do określonych grup zabezpieczeń.

  • Czy używasz sprzętu sieciowego, który nie obsługuje przesyłania dalej ruchu chronionego przy użyciu protokołu IPsec.

Aby klienci funkcji DirectAccess nie wykonywali uwierzytelniania połączenia typu end-to-end na serwerach w sieci wewnętrznej, na stronie Konfiguracja serwera aplikacji DirectAccess zaznacz opcję Nie wymagaj żadnego dodatkowego uwierzytelniania na całej trasie połączenia.

Aby klienci funkcji DirectAccess wykonywali uwierzytelnianie połączenia typu end-to-end na serwerach w sieci wewnętrznej, zaznacz opcję Zezwalaj wybranym serwerom na przeprowadzanie uwierzytelniania i ochrony ruchu na całej trasie połączenia z określonymi serwerami, a następnie kliknij przycisk Dodaj, aby określić grupy zabezpieczeń zawierające serwery w sieci wewnętrznej.

Aby ograniczyć dostęp klientów funkcji DirectAccess do zestawu serwerów należących do określonych grup zabezpieczeń, zaznacz opcję Zezwalaj na dostęp tylko do tych serwerów w wybranych grupach zabezpieczeń.

Nie jest możliwe użycie Kreatora konfiguracji funkcji DirectAccess do skonfigurowania ograniczonego dostępu do określonego zestawu serwerów bez stosowania uwierzytelniania połączenia typu end-to-end i opcjonalnej ochrony danych. Aby utworzyć taką konfigurację, należy zmodyfikować wynikowe reguły zabezpieczeń połączeń, które są stosowane do klientów funkcji DirectAccess. Aby uzyskać więcej informacji, zobacz stronę główną dotyczącą funkcji DirectAccess w witrynie Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (strona może zostać wyświetlona w języku angielskim)).

Jeśli używany sprzęt sieciowy odrzuca ruch chroniony przy użyciu protokołu IPsec lub nie może go analizować, zaznacz opcję Konfiguruj reguły zabezpieczeń połączeń IPSec na tych serwerach w celu przeprowadzenia uwierzytelniania bez ochrony ruchu. Po włączeniu tego ustawienia klienci funkcji DirectAccess i określone serwery w sieci wewnętrznej przeprowadzają uwierzytelnianie IPsec połączenia typu end-to-end, ale nie korzystają z ochrony IPsec w celu zapewnienia integralności i poufności danych w pakietach przesyłanych między klientami funkcji DirectAccess i serwerami w sieci wewnętrznej.

Informacje dodatkowe