I det här steget i installationsguiden för DirectAccess (steg 3), konfigurerar du inställningar för infrastrukturservrar. När du utför en inledande konfiguration av DirectAccess-serverinställningar i snapin-modulen DirectAccess, expanderar du noden DirectAccess, klickar på noden Installation och sedan på Konfigurera för steg 3. Du kan inte klicka på Konfigurera för steg 3 förrän du har slutfört konfigureringen för steg 2. Om du vill ändra inställningarna för infrastrukturservern klickar du på Redigera för steg 3.
Innan du utför steg 3 måste du ta reda på följande:
- Om en intern nätverkswebbserver med hög tillgänglighet kan fungera som DirectAccess-nätverksplatsservern och om det finns en HTTPS-baserad URL (Uniform Resource Locator) på den webbservern. Detta är valfritt men rekommenderas.
- Den uppsättning DNS-namnområden (Domain Name System) som motsvarar de interna nätverksresurserna (t.ex. contoso.com).
- Internet Protocol version 4 (IPv4)- eller Internet Protocol version 6 (IPv6)-adresserna för de interna nätverks-DNS-servrarna som du vill ska besvara namnfrågor för DirectAccess-klienter.
- Värdnamnen, IPv4-adresser eller IPv6-adresser för hanteringsservrarna i det interna nätverket som du vill påbörja kommunikation med DirectAccess-klienter. Hanteringsservrar kan inkludera servrar som distribuerar uppdateringar eller utför program- eller maskinvaruinventeringar.
När du klickar på Konfigurera eller Redigera för steg 3, finns det sidor i guiden där du konfigurerar nätverksplatsservern, DNS- och domänkontrollanter och hanteringsservrar.
Plats
På sidan Plats anger du nätverksplatsservern som är en server som en DirectAccess-klient använder för att ta reda på om den finns i det interna nätverket eller på Internet. Om DirectAccess-klienten kan komma åt nätverksplatsservern och en angiven webbsida, avgör DirectAccess-klienten att den finns i det interna nätverket och inte använder DirectAccess-funktioner.
Du kan ange om nätverksplatsserverfunktionen finns på DirectAccess-servern eller på någon annan server i det interna nätverket.
- Om nätverksplatsserverfunktionen inte finns på DirectAccess-servern (rekommenderas), måste du skriva en HTTPS-baserad URL för en webbsida på den servern.
- Om nätverksplatsserverfunktionen finns på DirectAccess-servern måste du ange det certifikat som används för autentisering av HTTPS-baserade anslutningar mellan DirectAccess-klienter och DirectAccess-servern.
I båda fallen är nätverksplatsservern en viktig del i DirectAccess-infrastrukturen och måste ha hög tillgänglighet. Om nätverksplatsservern inte kan nås i det interna nätverket aktiverar DirectAccess-klienter DirectAccess-funktioner medan de finns i det interna nätverket vilket kan försämra deras möjlighet att nå interna nätverksresurser.
DNS- och domänkontrollant
På sidan DNS och domänkontrollant kan du konfigurera NRPT (Name Resolution Policy Table) och beteende för upplösning av DirectAccess-klientnamn.
NRPT
NRPT är en tabell som DirectAccess-klienter använder för att bestämma vart DNS-namnbegäranden ska skickas. Poster består av ett DNS-domännamn som kan representera det fullständiga domännamnet (FQDN) för en viss dator (t.ex. emailsrv21.europe.contoso.com) eller en del av DNS-namnområdet (t.ex. contoso.com) och en motsvarande uppsättning adresser för DNS-servrar som betjänar FQDN:en eller namnområdet. Om inga DNS-serveradresser har angetts är posten en undantagspost. Om ett DNS-namn matchar en post i NRPT:en som innehåller adresser till DNS-servrar, skickar DirectAccess-klienterna namnfrågan till de angivna interna nätverks-DNS-servrarna. Om ett DNS-namn matchar en post i NRPT:en som inte innehåller adresser till DNS-servrar eller inte matchar en post i NRPT:en, skickar DirectAccess-klienten namnfrågan till en DNS-server med anslutning mot Internet.
NRPT:en kan ha en befintlig post baserad på konfigureringen av DNS-suffix och DNS-server för DirectAccess-servern. NRPT kan också ha en undantagspost som motsvarar nätverksplatsservern. Den här posten läggs till så att DirectAccess-klienter som är på Internet aldrig försöker lösa namnet för nätverksplatsservern genom att använda en intern nätverks-DNS-server.
Om du vill lägga till fler poster högerklickar du på en tom rad och klickar sedan på Ny. Alternativt kan du dubbelklicka på en tom rad. I dialogrutan Information om åtkomst av namnområde skriver du DNS-suffixet och anger den uppsättning IPv4- elller IPv6-adresser för de interna nätverks-DNS-servrarna som matchar namn som slutar med DNS-suffixet. När du har angett IPv4- eller IPv6-adresserna klickar du på Verifiera för att testa om DNS-servrarna körs och kan nås från DirectAccess-servern.
Om du vill redigera en post i NRPT, högerklickar du på posten och klickar sedan på Redigera. Alternativt kan du dubbelklicka på den befintliga posten. Om du vill ta bort en post från NRPT, högerklickar du på posten och klickar sedan på Ta bort.
Funktionssättet för namnmatchning
På DNS- och domänkontrollantsidan kan du även ange hur lokal namnmatchning fungerar på DirectAccess-klienter. Lokal namnmatchning är användningen av namnmatchningstekniker som inte omfattar kontroll av poster i DNS-matcharens cacheminne eller frågor till interna nätverks-DNS-servrar. Dessa tekniker omfattar användning av DNS-servrar med anslutning mot Internet och frågor till lokalt undernät.
Du har tre alternativ:
- Använd lokal namnmatchning bara om de interna nätverks-DNS-servrarna har fastställt att namnet inte finns
Detta är det säkraste alternativet eftersom DirectAccess-klienten bara skickar DNS-frågor till DNS-servrar med anslutning till Internet för servernamn som inte kan matchas. - Använd lokal namnmatchning om de interna nätverks-DNS-servrarna har fastställt att namnet inte finns eller om de interna nätverks-DNS-servrarna inte kan nås och DirectAccess-klienten finns i ett privat nätverk
Detta alternativ rekommenderas eftersom det tillåter matchning av namn i ett separat internt nätverk. - Använd lokal namnmatchning om det uppstår någon typ av fel vid försök att matcha namnet med interna nätverks-DNS-servrar
Detta är det minst säkra alternativet eftersom namnen på det interna nätverksservrarna som DirectAccess-klienten försöker matcha inte kan skickas till DNS-servrar med anslutning till Internet, vilket tillåter tjuvlyssning mellan DirectAccess-klienten och DNS-servern med anslutning till Internet, för att fastställa namnen på de interna nätverksservrarna.
Hantering
På hanteringssidan kan du konfigurera listan över IPv4- eller IPv6-adresser för de interna nätverksservrarna med vilka du vill påbörja kommunikation med DirectAccess-klienter. Dessa servrar är vanligtvis hanteringsservrar som kontaktar DirectAccess-klienter för att utföra hanteringsfunktioner som lagerutvärdering av program- och maskinvara eller för att installera uppdateringar. Det är bara DirectAccess-klienter som är medlemmar i de säkerhetsgrupper angivna i steg 1 i installationsguiden för DirectAccess som kan kontaktas av hanteringsservarna angivna på hanteringssidan.
Om du vill lägga till en hanteringsserver högerklickar du på en tom rad och klickar sedan på Ny. Alternativt kan du dubbelklicka på en tom rad. I dialogrutan IPv4-adress eller IPv6/adress/prefix kan du få en IPv4- eller IPv6-adress från värdnamnet för servern eller skriva den manuellt:
- För att få en IPv4- eller IPv6-adress från värdnamnet väljer du Värdnamn för den specifika datorn och skriver sedan namnet på servern. Klicka på Kontrollera namn för att matcha namnet med dess registrerade adresser. Klicka på någon av adresserna och klicka sedan på OK:
- Om du vill ange en IPv4-adress manuellt väljer du IPv4-adress i dialogrutan IPv4-adress och skriver sedan adressen. Klicka på OK när du är klar.
- Om du vill ange en IPv6-adress eller ett prefix manuellt väljer du IPv6-adress eller IPv6-prefix i dialogrutan IPv6-adress/prefix och skriver sedan adressen eller prefixet. Klicka på OK när du är klar.
Om du vill redigera en IPv4-adress eller en IPv6-adress eller en prefixpost i listan, högerklickar du på posten och klickar sedan på Redigera. Om du vill ta bort en post högerklickar du på den och klickar sedan på Ta bort.