在 DirectAccess 安装向导的这一步骤(步骤 4)中,为端到端身份验证及与内部网络上的应用程序服务器之间的受保护通信配置设置。若要在 DirectAccess 管理单元中对 DirectAccess 应用程序服务器设置进行初始配置,请展开 DirectAccess 节点,单击“设置”节点,然后单击步骤 4 的“配置”。必须先完成步骤 3 中的配置,才能单击步骤 4 的“配置”。若要更改应用程序服务器设置,请单击步骤 4 的“编辑”。
执行步骤 4 之前,请确定以下事项:
- 是否希望 DirectAccess 客户端为特定内部网络服务器执行端到端身份验证和数据保护。如果是,则创建包含这些内部网络服务器的计算机帐户的安全组。
- 是否希望来自 DirectAccess 客户端的通信仅限于进入属于特定安全组的那些服务器。
- 是否拥有无法转发受 IPsec 保护的通信的网络设备。
在 DirectAccess 应用程序服务器设置页上,如果不希望 DirectAccess 客户端执行与内部网络服务器之间的端到端身份验证,请选择“不需要额外的端到端身份验证”。
如果希望 DirectAccess 客户端为内部网络服务器执行端到端身份验证,请选择“允许所选服务器为指定服务器执行端到端身份验证和通信保护”,然后单击“添加”指定包含内部网络服务器的安全组。
若要将 DirectAccess 客户端的访问限制于属于指定安全组的服务器集,请选择“只允许访问所选安全组内的服务器”。
无法使用 DirectAccess 安装向导配置对特定服务器集的不含端到端身份验证和可选数据保护的受限访问。若要配置此方案,必须修改生成的应用于 DirectAccess 客户端的连接安全规则。有关详细信息,请参阅 Microsoft Technet 上的 DirectAccess 主页 (
如果拥有丢弃或无法分析受 IPsec 保护通信的网络设备,请选择“在这些服务器上配置 IPSec 连接安全规则,以在没有流量保护的情况下执行身份验证”。启用此设置时,DirectAccess 客户端和特定内部网络服务器将执行端到端 IPsec 身份验证,但不使用 IPsec 保护为 DirectAccess 客户端与内部网络服务器之间发送的数据包提供数据完整性或隐私保护。