In deze stap van de wizard Installatie van DirectAccess (stap 3), configureert u instellingen voor infrastructuurservers. Voor de eerste configuratie van instellingen voor de DirectAccess-server vanuit de DirectAccess-module, vouwt u het knooppunt DirectAccess uit, klikt u op het knooppunt Setup en vervolgens op Configureren voor stap 3. U kunt pas op Configureren voor stap 3 klikken als u de configuratie voor stap 2 hebt voltooid. Als u de instellingen van de infrastructuurserver wilt wijzigen, klikt u op Bewerken voor stap 3.
Voordat u stap 3 uitvoert, moet u het volgende bepalen:
- Of een maximaal beschikbare webserver in het interne netwerk kan fungeren als de DirectAccess-netwerklocatieserver en een op HTTPS gebaseerde URL (Uniform Resource Locator) op die webserver heeft. Deze stap is niet verplicht, maar wordt wel sterk aanbevolen.
- De set DNS-naamruimten (Domain Name System) die overeenkomen met interne netwerkbronnen (bijvoorbeeld contoso.com).
- De IPv4- (Internet Protocol versie 4) of IPv6-adressen (Internet Protocol versie 6) van de DNS-servers van het interne netwerk waarvan u wilt dat deze naamquery's beantwoorden voor DirectAccess-clients.
- De hostnamen, IPv4-adressen of IPv6-adressen van de beheerservers in uw internet netwerk waarvan u wilt dat deze communicatie met DirectAccess-clients starten. Beheerservers kunnen onder andere servers zijn die updates distribueren, of software- of hardware-inventarisaties uitvoeren.
Wanneer u voor stap 3 klikt op Configureren of Bewerken, bevat de wizard pagina's waarop u de netwerklocatieserver, DNS en domeincontrollers en beheerservers kunt configureren.
Locatie
Op de pagina Locatie geeft u de netwerklocatieserver op. Dit is een server die door een DirectAccess-client wordt gebruikt om te bepalen of deze zich op het interne netwerk of het internet bevindt. Als de DirectAccess-client de netwerklocatieserver kan bereiken en toegang kan krijgen tot een opgegeven webpagina, bepaalt de DirectAccess-client dat deze zich op het interne netwerk bevindt en wordt de DirectAccess-functionaliteit niet gebruikt.
U kunt opgeven of de functie van de netwerklocatieserver zich op de DirectAccess-server of op een andere server van het interne netwerk bevindt.
- Als de functie van de netwerklocatieserver zich niet op de DirectAccess-server bevindt (aanbevolen), moet u een op HTTPS gebaseerde URL van een webpagina op die server typen.
- Als de functie van de netwerklocatieserver zich op de DirectAccess-server bevindt, moet u het certificaat opgeven dat wordt gebruikt voor de verificatie van op HTTPS gebaseerde verbindingen tussen DirectAccess-clients en de DirectAccess-server.
In beide gevallen moet de netwerklocatieserver maximaal beschikbaar zijn en vormt deze een cruciaal element van de DirectAccess-infrastructuur. Als de netwerklocatieserver niet kan worden bereikt in het interne netwerk, maken DirectAccess-clients de DirectAccess-functionaliteit mogelijk zolang ze zich in het interne netwerk bevinden. Hierdoor kunnen deze clients interne netwerkbronnen mogelijk niet bereiken.
DNS en domeincontroller
Op de pagina DNS en domeincontroller configureert u de NRPT (Name Resolution Policy Table) en de naamomzettingsinstellingen van DirectAccess-clients.
NRPT
De NRPT is een tabel die door DirectAccess-clients wordt gebruikt om te bepalen waar DNS-naamaanvragen naartoe moeten worden verzonden. De vermeldingen bestaan uit een DNS-domeinnaam die de FQDN-naam van een specifieke computer kan voorstellen (zoals emailsrv21.europa.contoso.com) of een deel van de DNS-naamruimte (zoals contoso.com) en een overeenkomende set met adressen voor DNS-servers die FQDN of naamruimte bedienen. Als er geen DNS-serveradressen zijn opgegeven, is de vermelding een uitzonderingsvermelding. Als een DNS-naam overeenkomt met een vermelding in de NRPT die de adressen van DNS-servers bevat, verzendt de DirectAccess-client de naamquery naar de opgegeven DNS-servers van het interne netwerk. Als een DNS-naam overeenkomt met een vermelding in de NRPT die geen adressen van DNS-servers bevat of niet overeenkomt met een item in de NRPT, verzendt de DirectAccess-client de naamquery naar een DNS-server die is verbonden met internet.
Mogelijk bevat de NRPT een bestaande vermelding die is gebaseerd op het DNS-achtervoegsel en de DNS-serverconfiguratie van de DirectAccess-server. De NRPT bevat mogelijk ook een uitzonderingsvermelding die overeenkomt met de netwerklocatieserver. Deze vermelding wordt toegevoegd zodat DirectAccess-clients die zich op internet bevinden, nooit proberen de naam van de netwerklocatieserver om te zetten door een DNS-server van een intern netwerk te gebruiken.
Als u meer vermeldingen wilt toevoegen, klikt u met de rechtermuisknop op een lege rij en klikt u vervolgens op Nieuw. U kunt eventueel ook dubbelklikken op een lege rij. In het dialoogvenster Toegangsgegevens voor naamruimte typt u het DNS-achtervoegsel en geeft u de set IPv4- of IPv6-adressen op voor de DNS-servers van het internet netwerk die namen omzetten die eindigen op het DNS-achtervoegsel. Nadat u de IPv4- of IPv6-adressen hebt opgegeven, klikt u op Valideren om te testen of de DNS-servers actief en bereikbaar zijn vanaf de DirectAccess-server.
Als u een vermelding in de NRPT wilt bewerken, klikt u met de rechtermuisknop op de vermelding en klikt u vervolgens op Bewerken. U kunt eventueel ook dubbelklikken op de bestaande vermelding. Als u een vermelding uit de NRPT wilt verwijderen, klikt u met de rechtermuisknop op de vermelding en klikt u vervolgens op Verwijderen.
Naamomzettingsinstellingen
Op de pagina DNS en domeincontroller kunt u ook de lokale naamomzettingsinstellingen van DirectAccess-clients opgeven. Lokale naamomzetting is het gebruik van naamomzettingstechnieken exclusief het controleren van de vermeldingen in de cache van de DNS-omzetter en het uitvoeren van query's op DNS-servers van het interne netwerk. Deze technieken omvatten het gebruik van DNS-servers die zijn verbonden met internet en het uitvoeren van query's op het lokale subnet.
U hebt drie mogelijkheden:
- Lokale naamomzetting alleen gebruiken als de naam niet bestaat in DNS
Dit is de veiligste optie, omdat de DirectAccess-client alleen DNS-query's verzendt naar DNS-servers die zijn verbonden met internet voor servernamen die niet kunnen worden omgezet. - Terugvallen op lokale naamomzetting als de naam niet bestaat in DNS of als de DNS-servers niet bereikbaar zijn in een particulier netwerk
Deze optie wordt aanbevolen, omdat hiermee de omzetting van namen in een afzonderlijk intern netwerk mogelijk is. - Altijd terugvallen op lokale naamomzetting bij elke DNS-omzettingsfout
Dit is de minst veilige optie, omdat de namen van interne netwerkservers die de DirectAccess-client probeert om te zetten, kunnen worden verzonden naar DNS-servers die zijn verbonden met internet, waardoor iemand die 'meeluistert' tussen de DirectAccess-client en de DNS-server die is verbonden met internet, de namen van interne netwerkservers kan bepalen.
Beheer
Op de pagina Beheer configureert u de lijst met IPv4- of IPv6-adressen van interne netwerkservers waarvan u wilt dat deze communicatie met DirectAccess-clients starten. Deze servers zijn doorgaans beheerservers die verbinding maken met DirectAccess-clientcomputers voor het uitvoeren van beheerfuncties zoals software- of hardware-inventarisaties, of voor het installeren van updates. De beheerservers die u opgeeft op de pagina Beheer, kunnen alleen verbinding maken met de DirectAccess-clients die lid zijn van de beveiligingsgroepen die u hebt opgegeven in stap 1 van de wizard Installatie van DirectAccess.
Als u een beheerserver wilt toevoegen, klikt u met de rechtermuisknop op een lege rij en klikt u vervolgens op Nieuw. U kunt eventueel ook dubbelklikken op een lege rij. In het dialoogvenster IPv4-adres of IPv6-adres/-voorvoegsel kunt u een IPv4- of IPv6-adres verkrijgen van de hostnaam van de server of dit handmatig typen:
- Als u een IPv4- of IPv6-adres wilt verkrijgen van de hostnaam, selecteert u Hostnaam van de specifieke computer en typt u vervolgens de naam van de server. Klik op Naam controleren als u de naam wilt omzetten naar de geregistreerde bijbehorende adressen. Klik op een van de adressen en klik vervolgens op OK.
- Als u handmatig een IPv4-adres wilt opgeven, selecteert u IPv4-adres in het dialoogvenster IPv4-adres en typt u vervolgens het adres. Klik op OK als u klaar bent.
- Als u handmatig een IPv6-adres of -voorvoegsel wilt opgeven, selecteert u IPv6-adres of IPv6-voorvoegsel in het dialoogvenster IPv6-adres/-voorvoegsel en typt u vervolgens het adres of voorvoegsel. Klik op OK als u klaar bent.
Als u een vermelding voor een IPv4-adres of een IPv6-adres of -voorvoegsel in de lijst wilt bewerken, klikt u met de rechtermuisknop op de vermelding en klikt u vervolgens op Bewerken. Als u een vermelding wilt verwijderen, klikt u met de rechtermuisknop op de vermelding en klikt u vervolgens op Verwijderen.