在 [DirectAccess 安裝] 精靈的這個步驟 (步驟 3) 中,您要設定基礎結構伺服器的設定。如果要在 DirectAccess 嵌入式管理單元進行 DirectAccess 伺服器設定的初始設定,請展開 [DirectAccess] 節點,按一下 [設定] 節點,然後按一下步驟 3 的 [設定]。您必須先完成步驟 2 的設定,才能夠按一下步驟 3 的 [設定]。若要變更基礎結構伺服器設定,請按一下步驟 3 的 [編輯]。
執行步驟 3 之前,請先決定下列各項:
- 高可用性內部網路網頁伺服器是否可做為 DirectAccess 網路位置伺服器,以及該網頁伺服器上是否有 HTTPS 式統一資源定位器 (URL)。這是選用的項目,但建議使用。
- 對應至內部網路資源 (例如,contoso.com) 的網域名稱系統 (DNS) 命名空間的集合。
- 您要用來回應 DirectAccess 用戶端之名稱查詢的網際網路通訊協定第 4 版 (IPv4) 或網際網路通訊協定第 6 版 (IPv6) 之內部網路 DNS 伺服器的位址。
- 內部網路上您要用來初始與 DirectAccess 用戶端進行通訊之管理伺服器的主機名稱、IPv4 位址或 IPv6 位址。管理伺服器可以包括發佈更新或者執行軟體或硬體清查的伺服器。
當您在步驟 3 按一下 [設定] 或 [編輯] 時,精靈中將出現數個頁面以設定網路位置伺服器、DNS 與網域控制站以及管理伺服器。
位置
在 [位置] 頁面上,您要指定網路位置伺服器,這是 DirectAccess 用戶端用來判斷本身是否位於內部網路或網際網路的伺服器。如果 DirectAccess 用戶端可以連上網路位置伺服器並存取指定的網頁,則 DirectAccess 用戶端可以判斷本身是在內部網路上而且未使用 DirectAccess 功能。
您可以指定網路位置伺服器功能是在 DirectAccess 伺服器上或是內部網路的其他伺服器上。
- 如果網路位置伺服器功能不在 DirectAccess 伺服器上 (建議選項),您必須輸入該伺服器上網頁的 HTTPS 式 URL。
- 如果網路位置伺服器功能是在 DirectAccess 伺服器上,您必須指定用於 DirectAccess 用戶端與 DirectAccess 伺服器之間 HTTPS 式連線驗證的憑證。
在這兩種情況中,網路位置伺服器必須是高可用性並且是 DirectAccess 基礎結構的關鍵元素。如果在內部網路上無法連上網路位置伺服器,則此時位於內部網路上的 DirectAccess 用戶端將啟用 DirectAccess 功能,但這樣會削弱連上內部網路資源的能力。
DNS 與網域控制站
在 [DNS 與網域控制站] 頁面,您要設定名稱解析原則表格 (NRPT) 以及 DirectAccess 用戶端名稱解析行為。
NRPT
NRPT 是 DirectAccess 用戶端用來判斷傳送 DNS 名稱要求之目的地的表格。其中項目是由可代表特定電腦之完整網域名稱 (FQDN) 的 DNS 網域名稱 (例如,emailsrv21.europe.contoso.com) 或 DNS 命名空間的一部分 (例如,contoso.com) 以及一組對 FQDN 或命名空間提供服務之 DNS 伺服器的對應位址所組成。如果未指定 DNS 伺服器位址,則該項目為豁免項目。如果 DNS 名稱在 NRPT 中有相符且含有 DNS 伺服器位址的項目,DirectAccess 用戶端會將名稱查詢傳送至指定的內部網路 DNS 伺服器。如果 DNS 名稱在 NRPT 中有相符但不含有 DNS 伺服器位址的項目,或者在 NRPT 中沒有相符的項目時,DirectAccess 用戶端會將名稱查詢傳送至網際網路方向的 DNS 伺服器。
NRPT 可能有一個以 DirectAccess 伺服器的 DNS 尾碼及 DNS 伺服器設定為基礎的現有項目。NRPT 可能也有一個對應至網路位置伺服器的豁免項目。新增這個項目可讓網際網路上的 DirectAccess 用戶端永遠不會嘗試使用內部網路 DNS 伺服器來解析網路位置伺服器的名稱。
若要新增更多項目,請在空白列上按一下滑鼠右鍵,然後按一下 [新增]。另外,您也可以按兩下空白列。在 [命名空間存取資訊] 對話方塊,輸入 DNS 尾碼並指定解析以 DNS 尾碼結束之名稱的內部網路 DNS 伺服器 IPv4 或 IPv6 的位址集合。指定 IPv4 或 IPv6 位址後,按一下 [驗證],測試 DNS 伺服器是否為執行中以及是否可從 DirectAccess 伺服器連上。
若要編輯 NRPT 中的項目,請在項目上按一下滑鼠右鍵,然後按一下 [編輯]。另外,您可以按兩下現有的項目。若要從 NRPT 刪除項目,請在項目上按一下滑鼠右鍵,然後按一下 [刪除]。
名稱解析行為
在 [DNS 與網域控制站] 頁面,您還可以指定 DirectAccess 用戶端的本機名稱解析行為。「本機名稱解析」指使用名稱解析技術,其中不包括檢查 DNS 解析程式快取中的項目以及查詢內部網路 DNS 伺服器。這些技術包括使用網際網路方向的 DNS 伺服器以及查詢本機子網路。
您有三個選項:
- [只有在內部網路 DNS 伺服器判斷名稱不存在時,才使用本機名稱解析]
這是最安全的選項,因為 DirectAccess 用戶端只會將無法解析之伺服器名稱的 DNS 查詢傳送至網際網路方向的 DNS 伺服器。 - [如果內部網路 DNS 伺服器判斷名稱不存在時,或者內部網路 DNS 伺服器不可連上時以及 DirectAccess 用戶電腦是在私人網路上時,則使用本機名稱解析]
建議使用此選項,因為該選項允許在個別的內部網路上解析名稱。 - [如果嘗試使用內部網路 DNS 伺服器來解析名稱時發生任何類型的錯誤,則使用本機名稱解析]
這是最不安全的選項,因為 DirectAccess 用戶端嘗試解析的內部網路伺服器的名稱可以外送至網際網路方向的 DNS 伺服器,所以會在 DirectAccess 用戶端與網際網路方向的 DNS 伺服器之間發生竊聽,而判斷出內部網路伺服器的名稱。
管理
在 [管理] 頁面,您要設定您要初始與 DirectAccess 用戶端之間通訊的內部網路伺服器之 IPv4 或 IPv6 位址的清單。這些伺服器通常就是管理伺服器,負責連絡 DirectAccess 用戶端電腦以執行如軟體或硬體清查評定或是安裝更新的管理功能。只有屬於 [DirectAccess 安裝] 精靈步驟 1 指定之安全性群組成員的 DirectAccess 用戶端,才可以被 [管理] 頁面上指定的管理伺服器連絡。
若要新增管理伺服器,請在空白列上按一下滑鼠右鍵,然後按一下 [新增]。另外,您也可以按兩下空白列。在 [IPv4 位址] 或 [IPv6 位址/首碼] 的對話方塊,您可以從伺服器的主機名稱取得 IPv4 或 IPv6 的位址,也可以手動輸入:
- 若要從主機名稱取得 IPv4 或 IPv6 的位址,請選取 [特定電腦的主機名稱],然後輸入伺服器的名稱。按一下 [檢查名稱] 將名稱解析至其已登錄的位址。按一下其中一個位址,然後按一下 [確定]。
- 若要手動指定 IPv4 位址,請在 [IPv4 位址] 對話方塊選取 [IPv4 位址],然後輸入位址。完成後,按一下 [確定]。
- 若要手動指定 IPv6 位址或首碼,請在 [IPv6 位址/首碼] 對話方塊選取 [IPv6 位址或 IPv6 首碼],然後輸入位址或首碼。完成後,按一下 [確定]。
若要編輯清單中的 IPv4 位址或者 IPv6 位址或首碼項目,請在項目上按一下滑鼠右鍵,然後按一下 [編輯]。若要刪除項目,請在項目上按一下滑鼠右鍵,然後按一下 [刪除]。