步骤 2：配置远程访问服务器

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

本主题介绍了如何配置远程管理 DirectAccess 客户端所需的客户端和服务器设置。 在开始执行部署步骤之前，请确保已完成步骤 2：规划远程访问部署中所述的规划步骤。

注意

此主题将介绍一些 Windows PowerShell cmdlet 示例，你可以使用它们来自动执行所述的一些步骤。 有关详细信息，请参阅 使用 cmdlet。

必须将远程访问角色安装在组织中即将充当远程访问服务器的服务器上。

在 DirectAccess 服务器的“服务器管理器”控制台中，在“仪表板”中单击“添加角色和功能”。

单击“下一步”三次以打开服务器角色选择屏幕。

在“选择服务器角色”对话框中选择“远程访问”，然后单击“下一步”。

单击“下一步”三次。

在“选择角色服务”对话框中，选择“DirectAccess 和 VPN (RAS)”然后单击“添加功能”。

选择“路由”，选择“Web 应用程序代理”，单击“添加功能”，然后单击“下一步”。

单击“下一步”，然后单击“安装”。

在“安装进度”对话框中，验证安装是否成功，然后单击“关闭”。

Windows PowerShell 等效命令

下面一个或多个 Windows PowerShell cmdlet 执行的功能与前面的过程相同。 在同一行输入每个 cmdlet（即使此处可能因格式限制而出现多行换行）。

可以使用三个选项从远程访问管理控制台部署远程访问：

DirectAccess 和 VPN

仅 DirectAccess

仅 VPN

注意

本指南中的示例过程使用仅 DirectAccess 部署方法。

在远程访问服务器上，打开远程访问管理控制台：在“开始”屏幕上，键入“远程服务管理仪表板”，然后按 Enter 键。 如果出现了“用户帐户控制”对话框，请确认其所显示的操作是你要采取的操作，然后单击“是”。

在远程访问管理控制台的中间窗格内，单击“运行远程访问设置向导”。

在“配置远程访问”对话框中，选择“DirectAccess 和 VPN”、“仅 DirectAccess”或者“仅 VPN”。

对于要设置为使用 DirectAccess 的客户端计算机，它必须属于所选的安全组。 配置 DirectAccess 后，将安全组中的客户端计算机设置为接收 DirectAccess 组策略对象 (GPO) 以进行远程管理。

在远程访问管理控制台的中间窗格中，在“步骤 1 远程客户端”区域中单击“配置”。

在 DirectAccess 客户端安装向导的“部署方案”页上，单击“仅部署 DirectAccess 进行远程管理”，然后单击“下一步”。

在“选择组”页上，单击“添加”。

在“选择组”对话框中，选择包含 DirectAccess 客户端计算机的安全组，然后单击“下一步”。

在“网络连接助手”页上：

在表中，将用于确定连接性的资源添加到内部网络。 如果未配置任何其他资源，则将自动创建默认 Web 探测。 在配置用于确定到企业网络的连接性的 Web 探测位置时，请确保你已配置至少一个基于 HTTP 的探测。 仅配置 ping 探测是不够的，而且这可能导致无法准确确定连接状态。 这是因为 ping 已从 IPsec 中免除。 因此，ping 无法确保正确建立 IPsec 隧道。

添加技术支持电子邮件地址，以允许用户在遇到连接问题时发送信息。

提供 DirectAccess 连接的友好名称。

如有必要，选中“允许 DirectAccess 客户端使用本地名称解析”复选框。

注意

启用本地名称解析后，运行 NCA 的用户可以使用 DirectAccess 客户端计算机上配置的 DNS 服务器来解析名称。

单击“完成” 。

若要部署远程访问，需要使用以下内容配置将充当远程访问服务器的服务器：

正确的网络适配器

客户端计算机可以连接到的远程访问服务器的公共 URL（ConnectTo 地址）

具有与 ConnectTo 地址匹配的使用者的 IP-HTTPS 证书

IPv6 设置

客户端计算机身份验证

在远程访问管理控制台的中间窗格中，在“步骤 2 远程访问服务器”区域中单击“配置”。

在远程访问服务器安装向导的“网络拓扑”页上，单击将在你的组织中使用的部署拓扑。 在“键入客户端用于连接到远程访问服务器的公用名称或 IPv4 地址”中，输入部署的公用名称（此名称与 IP-HTTPS 证书的使用者名称相匹配，例如 edge1.contoso.com），然后单击“下一步”。

在“网络适配器”页上，向导会自动检测：

部署中网络的网络适配器。 如果向导没有检测到正确的网络适配器，则请手动选择正确的适配器。

IP-HTTPS 证书。 这基于在向导的上一步中设置的部署的公共名称。 如果向导没有检测到正确 IP-HTTPS 证书，请单击“浏览”以手动选择正确的证书。

单击“下一步”。

在“前缀配置”页上（仅当在内部网络中检测到 IPv6 时，才会看到此页面），向导将自动检测用于内部网络的 IPv6 设置。 如果你的部署需要其他前缀，请配置用于内部网络的 IPv6 前缀、要分配给 DirectAccess 客户端计算机的 IPv6 前缀，以及要分配给 VPN 客户端计算机的 IPv6 前缀。

在“身份验证”页上：

对于多站点和双重身份验证部署，必须使用计算机证书身份验证。 选择“使用计算机证书”复选框以使用计算机证书身份验证，然后选择 IPsec 根证书。

若要使运行 Windows 7 的客户端计算机能够通过 DirectAccess 进行连接，请选中“使 Windows 7 客户端计算机能够通过 DirectAccess 进行连接”复选框。 在这种类型的部署中，还必须使用计算机证书身份验证。

单击“完成”。

若要在远程访问部署中配置基础结构服务器，必须配置以下各项：

网络位置服务器

DNS 设置，包括 DNS 后缀搜索列表

远程访问未自动检测到的任何管理服务器

在远程访问管理控制台的中间窗格中，在“步骤 3 基础结构服务器”区域中单击“配置”。

在基础结构服务器设置向导的“网络位置服务器”页上，单击与你部署中网络位置服务器的位置相对应的选项。

如果网络位置服务器位于远程 Web 服务器上，请输入 URL，然后在继续之前单击“验证”。

如果网络位置服务器位于远程访问服务器上，则单击“浏览”以查找相关的证书，然后单击“下一步”。

在“DNS”页上的表中，输入将应用为名称解析策略表 (NRPT) 免除的其他名称后缀。 选择本地名称解析选项，然后单击“下一步”。

在“DNS 后缀搜索列表”页上，远程访问服务器会自动检测部署中的域后缀。 使用“添加”和“移除”按钮创建要使用的域后缀列表。 若要添加新的域后缀，请在“新后缀”中输入该后缀，然后单击“添加”。 单击“下一步”。

在“管理”页上，添加未自动检测到的管理服务器，然后单击“下一步”。 远程访问将自动添加域控制器和 Configuration Manager 服务器。

单击“完成”。

在完整的远程访问部署中，配置应用程序服务器是可选任务。 在此远程管理 DirectAccess 客户端的方案中，不会使用应用程序服务器，并且此步骤灰显以指示它未处于活动状态。 单击“完成”应用配置。

远程访问配置完成后，将显示“远程访问审阅”。 你可以审阅之前选择的所有设置，包括：

GPO 设置

将列出 DirectAccess 服务器 GPO 名称和客户端 GPO 名称。 可以单击“GPO 设置”标题旁边的“更改”链接以修改 GPO 设置。

远程客户端

将显示 DirectAccess 客户端配置，包括安全组、连接性验证程序和 DirectAccess 连接名称。

远程访问服务器

将显示 DirectAccess 配置，包括公用名称和地址、网络适配器配置和证书信息。

基础结构服务器

此列表包括网络位置服务器 URL、DirectAccess 客户端使用的 DNS 后缀和管理服务器信息。