在 DirectAccess 安装向导的这一步骤(步骤 2)中,配置 DirectAccess 服务器的设置。若要在 DirectAccess 管理单元中对 DirectAccess 服务器设置进行初始配置,请展开 DirectAccess 节点,单击“设置”节点,然后单击步骤 2 的“配置”。必须先完成步骤 1 中的配置,才能单击步骤 2 的“配置”。若要更改 DirectAccess 服务器设置,请单击步骤 2 的“编辑”。
执行步骤 2 之前,请参阅清单:安装和配置单服务器 DirectAccess以了解 DirectAccess 服务器的硬件和配置要求。
在步骤 2 中单击“配置”或“编辑”时,向导中将出现用于配置连接性、组织的 IPv6 前缀(如果已部署 IPv6)和证书使用的页面。
连接性
在“连接性”页上,必须指定连接到 Internet 的网络连接(接口),以及连接到内部网络的网络连接。可以单击“详细信息”以获得所选网络连接的配置。
 | 注意 |
如果要在内部网络上测试 DirectAccess,内部网络连接一定不要连接到包含域控制器的网络。 |
在“连接性”页上,还可以指定在使用 DirectAccess 服务器执行身份验证时,是否要求远程用户使用智能卡。有关智能卡的详细信息,请参阅“Windows 身份验证”(
前缀配置
如果已在您的网络上部署本机 IPv6,使用“前缀配置”页可以指定您的整个内部网络所使用的 48 位 IPv6 地址前缀。您必须使用 48 位前缀。
DirectAccess 安装向导根据分配给内部网络接口的第一个全局 IPv6 地址来确定默认前缀。如果为内部网络接口分配了多个 IPv6 地址,并且不希望使用分配给内部网络接口的第一个地址的前缀,则可以手动指定正确的前缀。若要查看分配给内部网络接口的 IPv6 地址集,请单击“连接性”页上的“详细信息”。
DirectAccess 安装向导也确定 IP-HTTPS 连接的 64 位前缀。您必须使用 64 位前缀。DirectAccess 安装向导确定默认前缀的方法是基于 48 位内部网络前缀,然后选择默认前缀的子网 ID 部分(64 位前缀的第四个区块)的值。也可以根据您的子网方案手动指定正确的 64 位前缀。64 位前缀必须基于内部网络的 48 位前缀。
证书组件
在“证书组件”页上,必须指定下列设置:
- 在 DirectAccess 客户端上安装的计算机证书的证书路径中,由根或中级证书颁发机构 (CA) 颁发的证书。DirectAccess 服务器使用此根或中级 CA 证书来验证在最初连接到 DirectAccess 服务器期间,由 DirectAccess 客户端计算机发送的计算机证书。
- DirectAccess 服务器为通过 IP-HTTPS 的连接使用的证书。由于 DirectAccess 客户端对 DirectAccess 服务器提交的 HTTPS 证书执行证书吊销检查,因此必须确保可通过 Internet 访问在此证书中配置的证书吊销列表 (CRL) 分发点。如果 DirectAccess 客户端无法访问这些 CRL 分发点,则基于 IP-HTTPS 的 DirectAccess 连接的身份验证会失败。有关为 Active Directory 证书服务 (AD CS) 配置 CRL 分发点的信息,请参阅“指定 CRL 分发点”(
https://go.microsoft.com/fwlink/?LinkId=145848 )。