W tym kroku Kreatora konfiguracji funkcji DirectAccess (krok 3) zostanie przeprowadzona konfiguracja ustawień serwerów infrastruktury. Aby przeprowadzić początkową konfigurację ustawień serwera DirectAccess za pomocą przystawki DirectAccess, rozwiń węzeł DirectAccess, kliknij węzeł Instalator, a następnie kliknij polecenie Konfiguruj w celu rozpoczęcia kroku 3. Nie można kliknąć polecenia Konfiguruj w celu przejścia do kroku 3 przed ukończeniem konfiguracji w kroku 2. Aby zmienić ustawienia serwera infrastruktury, kliknij polecenie Edytuj w celu rozpoczęcia kroku 3.
Przed wykonaniem kroku 3 ustal następujące kwestie:
- Czy serwer sieci Web o dużej dostępności znajdujący się w sieci wewnętrznej może działać jako serwer lokalizacji sieciowej funkcji DirectAccess i czy ten serwer sieci Web ma adres URL zgodny z protokołem HTTPS. Jest to element opcjonalny, ale zdecydowanie zalecany.
- Zestaw obszarów nazw DNS odpowiadających zasobom w sieci wewnętrznej (np. contoso.com).
- Adresy IPv4 lub IPv6 serwerów DNS w sieci wewnętrznej, które mają odpowiadać na zapytania o nazwy przesyłane przez klientów funkcji DirectAccess.
- Nazwy hostów, adresy IPv4 lub adresy IPv6 serwerów zarządzania w sieci wewnętrznej, które mają inicjować komunikację z klientami funkcji DirectAccess. Do serwerów zarządzania mogą należeć serwery rozpowszechniające aktualizacje bądź prowadzące spisy oprogramowania lub sprzętu.
Po kliknięciu polecenia Konfiguruj lub Edytuj w celu rozpoczęcia kroku 3 w kreatorze zostaną wyświetlone strony umożliwiające skonfigurowanie serwera lokalizacji sieciowej, systemu DNS i kontrolerów domeny oraz serwerów zarządzania.
Lokalizacja
Na stronie Lokalizacja należy określić serwer lokalizacji sieciowej, który umożliwia klientowi funkcji DirectAccess określenie, czy znajduje się on w sieci wewnętrznej, czy w Internecie. Jeśli klient funkcji DirectAccess może uzyskać dostęp do serwera lokalizacji sieciowej i określonej strony sieci Web, oznacza to, że dany klient funkcji DirectAccess znajduje się w sieci wewnętrznej i funkcja DirectAccess nie jest używana.
Można określić, czy funkcję serwera lokalizacji sieciowej pełni serwer DirectAccess, czy inny serwer w sieci wewnętrznej.
- Jeśli serwer DirectAccess nie pełni funkcji serwera lokalizacji sieciowej (zalecane), należy wpisać adres URL strony sieci Web na tym serwerze zgodny z protokołem HTTPS.
- Jeśli serwer DirectAccess pełni funkcję serwera lokalizacji sieciowej, należy określić certyfikat używany do uwierzytelniania połączeń zgodnych z protokołem HTTPS między klientami funkcji DirectAccess a serwerem DirectAccess.
W obu przypadkach serwer lokalizacji sieciowej musi mieć dużą dostępność - jest on krytycznym elementem infrastruktury DirectAccess. Jeśli w sieci wewnętrznej nie można uzyskać dostępu do serwera lokalizacji sieciowej, funkcja DirectAccess zostanie włączona na klientach funkcji DirectAccess znajdujących się w sieci wewnętrznej, co może utrudnić im uzyskanie dostępu do zasobów w sieci wewnętrznej.
DNS i kontroler domeny
Na stronie DNS i kontroler domeny należy skonfigurować tabelę zasad rozpoznawania nazw oraz sposób rozpoznawania nazw przez klientów funkcji DirectAccess.
Tabela zasad rozpoznawania nazw
Tabela zasad rozpoznawania nazw to tabela używana przez klientów funkcji DirectAccess do określania miejsca, do którego należy wysyłać zapytania systemu DNS. Wpisy składają się z nazwy domeny DNS, która może stanowić w pełni kwalifikowaną nazwę domeny określonego komputera (np. emailsrv21.europe.contoso.com) lub część obszaru nazw DNS (np. contoso.com), oraz odpowiedniego zestawu adresów serwerów DNS obsługujących w pełni kwalifikowaną nazwę domeny lub obszar nazw. Jeśli nie określono żadnych adresów serwerów DNS, wpis jest wpisem wykluczenia. Jeśli nazwa DNS pasuje do wpisu w tabeli zasad rozpoznawania nazw zawierającego adresy serwerów DNS, klient funkcji DirectAccess wysyła zapytanie o nazwę do określonych serwerów DNS w sieci wewnętrznej. Jeśli nazwa DNS pasuje do wpisu w tabeli zasad rozpoznawania nazw, który nie zawiera adresów serwerów DNS, lub nie pasuje do wpisu w tej tabeli, klienci funkcji DirectAccess wysyłają zapytanie o nazwę do serwera DNS dostępnego z Internetu.
Tabela zasad rozpoznawania nazw może zawierać istniejący wpis utworzony na podstawie sufiksu DNS i konfiguracji serwerów DNS serwera DirectAccess. Tabela zasad rozpoznawania nazw może również zawierać wpis wykluczenia odpowiadający serwerowi lokalizacji sieciowej. Ten wpis jest dodawany, aby klienci funkcji DirectAccess znajdujący się w Internecie nigdy nie próbowali rozpoznawać nazwy serwera lokalizacji sieciowej za pomocą serwera DNS w sieci wewnętrznej.
Aby dodać więcej wpisów, kliknij prawym przyciskiem myszy pusty wiersz, a następnie kliknij polecenie Nowy. Można także kliknąć dwukrotnie pusty wiersz. W oknie dialogowym Informacje o dostępie do obszaru nazw wpisz sufiks DNS i określ zestaw adresów IPv4 lub IPv6 serwerów DNS w sieci wewnętrznej, które mają rozpoznawać nazwy kończące się tym sufiksem DNS. Po określeniu tych adresów IPv4 lub IPv6, kliknij przycisk Sprawdź poprawność, aby przetestować, czy serwery DNS działają i są dostępne z serwera DirectAccess.
Aby edytować wpis w tabeli zasad rozpoznawania nazw, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Edytuj. Można także kliknąć dwukrotnie istniejący wpis. Aby usunąć wpis z tabeli zasad rozpoznawania nazw, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Usuń.
Sposób rozpoznawania nazw
Na stronie DNS i kontroler domeny można również określić sposób lokalnego rozpoznawania nazw przez klientów funkcji DirectAccess. Lokalne rozpoznawanie nazw to zastosowanie technik rozpoznawania nazw bez sprawdzania wpisów w pamięci podręcznej programu rozpoznawania nazw DNS i wysyłania zapytań do serwerów DNS w sieci wewnętrznej. Te techniki obejmują korzystanie z serwerów DNS dostępnych z Internetu i wysyłanie zapytań do podsieci lokalnej.
Istnieją trzy możliwości do wyboru:
- Używanie lokalnego rozpoznawania nazw tylko wtedy, gdy według serwerów DNS w sieci wewnętrznej nazwa nie istnieje.
To najbezpieczniejsza opcja, ponieważ klient funkcji DirectAccess będzie wysyłać zapytania DNS do serwerów DNS dostępnych z Internetu tylko w przypadku nazw serwerów, których nie można rozpoznać. - Używanie lokalnego rozpoznawania nazw, gdy według serwerów DNS w sieci wewnętrznej nazwa nie istnieje lub gdy serwery DNS w sieci wewnętrznej nie są dostępne, a komputer klienta funkcji DirectAccess znajduje się w sieci prywatnej.
Ta opcja jest zalecana, ponieważ umożliwia rozpoznawanie nazw w odrębnej sieci wewnętrznej. - Używanie lokalnego rozpoznawania nazw, jeśli podczas próby rozpoznania nazwy przy użyciu serwerów DNS w sieci wewnętrznej wystąpił jakikolwiek błąd.
To najmniej bezpieczna opcja, ponieważ nazwy serwerów w sieci wewnętrznej, które klient funkcji DirectAccess próbuje rozpoznać, mogą być wysyłane do serwerów DNS dostępnych z Internetu, co umożliwia osobom przechwytującym komunikację między klientem funkcji DirectAccess a serwerem DNS dostępnym z Internetu określenie nazw serwerów w sieci wewnętrznej.
Zarządzanie
Na stronie Zarządzanie należy skonfigurować listę adresów IPv4 lub IPv6 serwerów w sieci wewnętrznej, które mają inicjować komunikację z klientami funkcji DirectAccess. Są to zazwyczaj serwery zarządzania, które kontaktują się z komputerami klientów funkcji DirectAccess w celu wykonywania funkcji zarządzania, takich jak ocena spisów oprogramowania lub sprzętu albo instalacja aktualizacji. Serwery zarządzania określone na stronie Zarządzanie mogą kontaktować się tylko z klientami funkcji DirectAccess należącymi do grup zabezpieczeń określonych w kroku 1 Kreatora konfiguracji funkcji DirectAccess.
Aby dodać serwer zarządzania, kliknij prawym przyciskiem myszy pusty wiersz, a następnie kliknij polecenie Nowy. Można także kliknąć dwukrotnie pusty wiersz. W oknach dialogowych Adres IPv4 lub Adres/prefiks IPv6 można uzyskać adres IPv4 lub IPv6 na podstawie nazwy hosta serwera lub wpisać go ręcznie:
- Aby uzyskać adres IPv4 lub IPv6 na podstawie nazwy hosta, wybierz opcję Nazwa hosta konkretnego komputera, a następnie wpisz nazwę serwera. Kliknij przycisk Sprawdź nazwę, aby rozpoznać nazwę i uzyskać jej zarejestrowane adresy. Kliknij jeden z adresów, a następnie kliknij przycisk OK.
- Aby ręcznie określić adres IPv4, wybierz opcję Adres IPv4 w oknie dialogowym Adres IPv4, a następnie wpisz adres. Po zakończeniu kliknij przycisk OK.
- Aby ręcznie określić adres lub prefiks IPv6, wybierz opcję Adres IPv6 lub prefiks IPv6 w oknie dialogowym Adres/prefiks IPv6, a następnie wpisz adres lub prefiks. Po zakończeniu kliknij przycisk OK.
Aby edytować wpis adresu IPv4 albo adresu lub prefiksu IPv6 na liście, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Edytuj. Aby usunąć wpis, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Usuń.