在 DirectAccess 安装向导的这一步骤(步骤 3)中,配置基础结构服务器的设置。若要在 DirectAccess 管理单元中对 DirectAccess 服务器设置进行初始配置,请展开 DirectAccess 节点,单击“设置”节点,然后单击步骤 3 的“配置”。必须先完成步骤 2 中的配置,才能单击步骤 3 的“配置”。若要更改基础结构服务器设置,请单击步骤 3 的“编辑”。
执行步骤 3 之前,请确定以下事项:
- 是否有高度可用的内部网络 Web 服务器可以充当 DirectAccess 网络位置服务器,并且在该 Web 服务器上拥有基于 HTTPS 的统一资源定位器 (URL)。这是可选的,但强烈建议使用。
- 设置与内部网络资源相对应的域名系统 (DNS) 命名空间(例如 contoso.com)。
- 希望对 DirectAccess 客户端的名称查询做出应答的内部网络 DNS 服务器的 Internet 协议版本 4 (IPv4) 或 Internet 协议版本 6 (IPv6) 地址。
- 在内部网络上希望启动与 DirectAccess 客户端之间通信的管理服务器的主机名称、IPv4 地址或 IPv6 地址。管理服务器可包括分发更新或执行软件或硬件清点的服务器。
在步骤 3 中单击“配置”或“编辑”时,向导中提供了用于配置网络位置服务器、DNS 和域控制器,以及管理服务器的页面。
位置
在“位置”页上指定网络位置服务器,DirectAccess 客户端使用该服务器来确定其是位于内部网络还是 Internet 上。如果 DirectAccess 客户端可以访问网络位置服务器并访问指定的网页,DirectAccess 客户端可确定位于内部网络上,因此不使用 DirectAccess 功能。
可以指定网络位置服务器功能是位于 DirectAccess 服务器上,还是位于内部网络的其他服务器上。
- 如果网络位置服务器功能不在 DirectAccess 服务器上(推荐),则必须在该服务器上键入网页基于 HTTPS 的 URL。
- 如果网络位置服务器功能位于 DirectAccess 服务器上,则必须指定用于对 DirectAccess 客户端与 DirectAccess 服务器之间基于 HTTPS 的连接进行身份验证的证书。
在这两种情况下,网络位置服务器都必须高度可用,并且是 DirectAccess 基础结构的关键要素。如果在内部网络上无法访问网络位置服务器,DirectAccess 客户端在位于内部网络时将启用 DirectAccess 功能,这会影响它们访问内部网络资源的能力。
DNS 和域控制器
在“DNS 和域控制器”页上,配置名称解析策略表 (NRPT) 和 DirectAccess 客户端名称解析行为。
NRPT
NRPT 是 DirectAccess 客户端用于确定发送其 DNS 名称请求的目的地的表。该表中的条目包含可表示指定计算机的完全限定域名 (FQDN) 的 DNS 域名(例如 emailsrv21.europe.contoso.com)或 DNS 命名空间的一部分(例如 contoso.com)以及为 FQDN 或命名空间提供服务的相应 DNS 服务器地址集。如果未指定 DNS 服务器地址,则该条目是豁免条目。如果某个 DNS 名称符合 NRPT 中包含 DNS 服务器地址的条目,则 DirectAccess 客户端将名称查询发送到指定的内部网络 DNS 服务器。如果某个 DNS 名称符合 NRPT 中不包含 DNS 服务器地址的条目或不符合 NRPT 中的任何条目,则 DirectAccess 客户端将名称查询发送到面向 Internet 的 DNS 服务器。
根据 DirectAccess 服务器的 DNS 后缀和 DNS 服务器配置,NRPT 可能拥有一个现有条目。NRPT 还可能拥有与网络位置服务器相对应的豁免条目。添加此条目的目的在于,位于 Internet 上的 DirectAccess 客户端将从不尝试使用内部网络 DNS 服务器解析网络位置服务器的名称。
若要添加更多条目,请右键单击某个空行,然后单击“新建”。另外,您可以双击空白行。在“命名空间访问信息”对话框中,键入 DNS 后缀并指定用于解析以 DNS 后缀结尾的名称的内部网络 DNS 服务器的 IPv4 或 IPv6 地址集。指定 IPv4 或 IPv6 地址之后,单击“验证”测试 DNS 服务器是否运行并且可通过 DirectAccess 服务器访问。
若要编辑 NRPT 中的某个条目,请右键单击该条目,然后单击“编辑”。或者,可以双击现有条目。若要删除 NRPT 中的某个条目,请右键单击该条目,然后单击“删除”。
名称解析行为
在“DNS 和域控制器”页上,也可以指定 DirectAccess 客户端的本地名称解析行为。“本地名称解析”使用一系列名称解析技术,这些技术不包括检查 DNS 解析器缓存中的条目及查询内部网络 DNS 服务器。这些技术包括使用面向 Internet 的 DNS 服务器和查询本地子网。
有三种选项:
- 只有在内部网络 DNS 服务器确定该名称不存在时,才使用本地名称解析
这是最安全的选项,因为 DirectAccess 客户端仅会将无法解析服务器名称的 DNS 查询发送到面向 Internet 的 DNS 服务器。 - 如果内部网络 DNS 服务器确定该名称不存在或无法访问内部网络 DNS 服务器并且 DirectAccess 客户端计算机位于专用网络,则使用本地名称解析
建议选中此选项,因为此选项允许解析独立内部网络上的名称。 - 如果在尝试使用内部网络 DNS 服务器解析名称时出现任何类型的错误,则使用本地名称解析
这是安全性最低的选项,因为会将 DirectAccess 客户端尝试解析的内部网络服务器的名称发送到面向 Internet 的 DNS 服务器,从而使 DirectAccess 客户端与面向 Internet 的 DNS 服务器之间的通信可能被监听,从而确定内部网络服务器的名称。
管理
在“管理”页上,配置要启动与 DirectAccess 客户端之间通信的内部网络服务器的 IPv4 或 IPv6 地址列表。这些服务器通常是联系 DirectAccess 客户端计算机以执行管理功能(例如软件或硬件清单评估或安装更新)的管理服务器。在“管理”页上指定的管理服务器只能联系属于在 DirectAccess 安装向导的步骤 1 中指定的安全组的 DirectAccess 客户端。
若要添加管理服务器,请右键单击某个空行,然后单击“新建”。另外,您可以双击空白行。在“IPv4 地址”或“IPv6 地址/前缀”对话框中,可以通过服务器的主机名称获得 IPv4 或 IPv6 地址,或手动键入该地址。
- 若要从主机名称获得 IPv4 或 IPv6 地址,请选择“特定计算机的主机名”,然后键入服务器的名称。单击“检查名称”将名称解析为其注册的地址。单击任一地址,然后单击“确定”。
- 若要手动指定 IPv4 地址,请在“IPv4 地址”对话框中选择“IPv4 地址”,然后键入地址。完成操作后,单击“确定”。
- 若要手动指定 IPv6 地址或前缀,请在“IPv6 地址/前缀”对话框中选择“IPv6 地址或 IPv6 前缀”,然后键入地址或前缀。完成操作后,单击“确定”。
若要编辑列表中的 IPv4 地址或 IPv6 地址/前缀,请右键单击该条目,然后单击“编辑”。若要删除某个条目,请右键单击该条目,然后单击“删除”。