在 [DirectAccess 安裝] 精靈的這個步驟 (步驟 4) 中,您要設定端對端驗證的設定,以及與內部網路上應用程式伺服器的通訊保護。如果要從 DirectAccess 嵌入式管理單元進行 DirectAccess 應用程式伺服器設定的初始設定,請展開 [DirectAccess] 節點,按一下 [設定] 節點,然後按一下步驟 4 的 [設定]。您必須先完成步驟 3 的設定,才能夠按步驟 4 的 [設定]。若要變更應用程式伺服器設定,請按一下步驟 4 的 [編輯]

執行步驟 4 之前,請先決定下列事項:

  • 您是否要 DirectAccess 用戶端執行端對端驗證,以及對特定的內部網路伺服器執行資料保護。如果是這樣,請建立含有內部網路伺服器之電腦帳戶的安全性群組。

  • 是否將 DirectAccess 用戶端的通訊對象限制為只有特定安全性群組的成員伺服器。

  • 您是否有無法轉送受 IPsec 保護之流量的網路設備。

在 [DirectAccess 應用程式伺服器安裝] 頁面,如果您不要 DirectAccess 用戶端對內部網路伺服器執行端對端驗證,請選取 [不需要額外的端對端驗證]

如果您要 DirectAccess 用戶端對內部網路伺服器執行端對端驗證,請選取 [允許所選伺服器對指定伺服器執行端對端驗證及流量保護],然後按一下 [新增] 來指定包含內部網路伺服器的安全性群組。

若要將 DirectAccess 用戶端存取對象限制為指定安全性群組的成員伺服器集合,請選取 [僅允許存取所選取安全性群組中的這些伺服器]

[DirectAccess 安裝] 精靈無法用來設定對沒有端對端驗證及選用資料保護的特定伺服器集合進行有限的存取。若要設定這種案例,您必須修改套用至 DirectAccess 用戶端的結果連線安全性規則。如需相關資訊,請參閱 Microsoft Technet 上的 DirectAccess 首頁 (https://go.microsoft.com/fwlink/?LinkId=142598 (可能為英文網頁))。

如果您的網路設備丟棄或無法分析受 IPsec 保護的流量,請選取 [在這些伺服器上設定 IPSec 連線安全性規則可執行驗證,不需流量保護]。啟用此設定後,DirectAccess 用戶端以及特定內部網路伺服器將執行端對端 IPsec 驗證,但不使用 IPsec 保護來對 DirectAccess 用戶端與內部網路伺服器之間傳送的封包提供資料完整性或私密性。

其他參考資料