Nasazení jednoho serveru DirectAccess s pokročilým nastavením

Platí pro: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Important

Microsoft důrazně doporučuje používat vpn AlwaysOn místo Technologie DirectAccess pro nová nasazení. Další informace naleznete v tématu AlwaysOn VPN.

Toto téma obsahuje úvod do scénáře DirectAccess, který používá jeden server DirectAccess a umožňuje nasadit DirectAccess s pokročilým nastavením.

Než začnete s nasazením, podívejte se na seznam nepodporovaných konfigurací, známých problémů a požadavků.

Následující témata můžete použít ke kontrole požadavků a dalších informací před nasazením technologie DirectAccess.

Technologie DirectAccess – nepodporované konfigurace
Požadavky pro nasazení DirectAccess

Popis scénáře

V tomto scénáři je jeden počítač s Windows Serverem 2016, Windows Serverem 2012 R2 nebo Windows Serverem 2012 nakonfigurovaný jako server DirectAccess s pokročilým nastavením.

Note

Pokud chcete nakonfigurovat základní nasazení pouze s jednoduchým nastavením, přečtěte si téma Nasazení jednoho serveru DirectAccess pomocí průvodce Začínáme. V jednoduchém scénáři je technologie DirectAccess nakonfigurovaná s výchozím nastavením pomocí průvodce, aniž by bylo nutné konfigurovat nastavení infrastruktury, jako je certifikační autorita (CA) nebo skupiny zabezpečení služby Active Directory.

V tomto scénáři

Pokud chcete nastavit jeden server DirectAccess s pokročilým nastavením, musíte provést několik kroků plánování a nasazení.

Prerequisites

Než začnete, můžete zkontrolovat následující požadavky.

Windows Firewall musí být povolen ve všech profilech.
Server DirectAccess je server síťového umístění.
Chcete, aby všechny bezdrátové počítače v doméně, ve které instalujete server DirectAccess, měly povolenou technologii DirectAccess. Když nasadíte DirectAccess, automaticky se povolí na všech mobilních počítačích v aktuální doméně.

Important

Některé technologie a konfigurace se při nasazování Technologie DirectAccess nepodporují.

Intra-Site protokol ISATAP (Automatic Tunnel Addressing Protocol) v podnikové síti se nepodporuje. Pokud používáte ISATAP, musíte ho odebrat a použít nativní protokol IPv6.

Kroky plánování

Plánování je rozděleno do dvou fází:

Plánování infrastruktury Technologie DirectAccess Tato fáze popisuje plánování potřebné k nastavení síťové infrastruktury před zahájením nasazení technologie DirectAccess. Zahrnuje plánování topologie sítě a serveru, plánování certifikátů, DNS, konfigurace objektů zásad skupiny (Active Directory) a objekt zásad skupiny (GPO) a server síťového umístění DirectAccess.
Plánování nasazení technologie DirectAccess Tato fáze popisuje kroky plánování potřebné k přípravě nasazení Technologie DirectAccess. Zahrnuje plánování klientských počítačů DirectAccess, požadavků na ověřování serveru a klientů, nastavení sítě VPN, serverů infrastruktury a správy a aplikačních serverů.

Postup nasazení

Nasazení je rozdělené do tří fází:

Konfigurace infrastruktury Technologie DirectAccess Tato fáze zahrnuje konfiguraci sítě a směrování, konfiguraci nastavení brány firewall v případě potřeby, konfiguraci certifikátů, serverů DNS, nastavení služby Active Directory a objektu zásad skupiny a serveru síťového umístění DirectAccess.
Konfigurace nastavení serveru DirectAccess Tato fáze zahrnuje kroky pro konfiguraci klientských počítačů DirectAccess, serveru DirectAccess, serverů infrastruktury, správy a aplikačních serverů.
Ověření nasazení Tato fáze zahrnuje kroky k ověření nasazení technologie DirectAccess.

Podrobné kroky nasazení najdete v tématu Instalace a konfigurace rozšířené technologie DirectAccess.

Praktické aplikace

Nasazení jednoho serveru DirectAccess poskytuje následující:

Usnadnění přístupu. Spravované klientské počítače se systémem Windows 10, Windows 8.1, Windows 8 a Windows 7 je možné nakonfigurovat jako klientské počítače DirectAccess. Tito klienti mají přístup k interním síťovým prostředkům prostřednictvím technologie DirectAccess, kdykoli se nacházejí na internetu, aniž by se museli přihlašovat k připojení VPN. Klientské počítače, na kterých není spuštěný některý z těchto operačních systémů, se můžou připojit k interní síti přes síť VPN.
Snadná správa. Klientské počítače DirectAccess umístěné na internetu můžou vzdáleně spravovat správci vzdáleného přístupu přes DirectAccess, i když se klientské počítače nenachází v interní podnikové síti. Klientské počítače, které nesplňují podnikové požadavky, je možné opravit automaticky servery pro správu. DirectAccess i VPN se spravují ve stejné konzole a se stejnou sadou průvodců. Kromě toho je možné jeden nebo více serverů DirectAccess spravovat z jedné konzoly pro správu vzdáleného přístupu.

Role a funkce vyžadované pro tento scénář

Následující tabulka uvádí role a funkce, které jsou pro tento scénář potřeba:

Role/feature	Jak to podporuje tento scénář
Role vzdáleného přístupu	Role se nainstaluje a odinstaluje pomocí konzoly Správce serveru nebo Windows PowerShellu. Tato role zahrnuje technologii DirectAccess i službu Směrování a vzdálený přístup (RRAS). Role vzdáleného přístupu se skládá ze dvou komponent: 1. DirectAccess a RRAS VPN. Technologie DirectAccess a VPN se spravují společně v konzole pro správu vzdáleného přístupu. 2. Směrování RRAS. Funkce směrování RRAS se spravují ve starší verzi konzoly směrování a vzdáleného přístupu. Role serveru vzdáleného přístupu závisí na následujících rolích nebo funkcích serveru: – Webový server Internetové informační služby (IIS) – Tato funkce je nutná ke konfiguraci serveru síťového umístění na serveru DirectAccess a výchozí webové sondy. – Interní databáze Windows. Používá se pro místní účtování na serveru DirectAccess.
Funkce Nástroje pro správu vzdáleného přístupu	Tato funkce je nainstalovaná takto: – Ve výchozím nastavení se instaluje na server DirectAccess při instalaci role Vzdálený přístup a podporuje uživatelské rozhraní konzoly pro vzdálenou správu a rutiny Prostředí Windows PowerShell. – Volitelně se dá nainstalovat na server, na kterém není spuštěná role serveru DirectAccess. V tomto případě se používá ke vzdálené správě počítače vzdáleného přístupu se systémem DirectAccess a VPN. Funkce Nástroje pro správu vzdáleného přístupu se skládá z následujících: - Grafický uživatelský rozhraní vzdáleného přístupu (GUI) – Modul vzdáleného přístupu pro Windows PowerShell Mezi závislosti patří: – Konzola pro správu zásad skupiny - Sada pro správu připojení RAS (CMAK) – Windows PowerShell 3.0 - Nástroje a infrastruktura pro správu grafického rozhraní

Role/feature

Jak to podporuje tento scénář

Role vzdáleného přístupu

Role se nainstaluje a odinstaluje pomocí konzoly Správce serveru nebo Windows PowerShellu. Tato role zahrnuje technologii DirectAccess i službu Směrování a vzdálený přístup (RRAS). Role vzdáleného přístupu se skládá ze dvou komponent:

1. DirectAccess a RRAS VPN. Technologie DirectAccess a VPN se spravují společně v konzole pro správu vzdáleného přístupu.
2. Směrování RRAS. Funkce směrování RRAS se spravují ve starší verzi konzoly směrování a vzdáleného přístupu.

Role serveru vzdáleného přístupu závisí na následujících rolích nebo funkcích serveru:

– Webový server Internetové informační služby (IIS) – Tato funkce je nutná ke konfiguraci serveru síťového umístění na serveru DirectAccess a výchozí webové sondy.
– Interní databáze Windows. Používá se pro místní účtování na serveru DirectAccess.

Funkce Nástroje pro správu vzdáleného přístupu

Tato funkce je nainstalovaná takto:

– Ve výchozím nastavení se instaluje na server DirectAccess při instalaci role Vzdálený přístup a podporuje uživatelské rozhraní konzoly pro vzdálenou správu a rutiny Prostředí Windows PowerShell.
– Volitelně se dá nainstalovat na server, na kterém není spuštěná role serveru DirectAccess. V tomto případě se používá ke vzdálené správě počítače vzdáleného přístupu se systémem DirectAccess a VPN.

Funkce Nástroje pro správu vzdáleného přístupu se skládá z následujících:

- Grafický uživatelský rozhraní vzdáleného přístupu (GUI)
– Modul vzdáleného přístupu pro Windows PowerShell

Mezi závislosti patří:

– Konzola pro správu zásad skupiny
- Sada pro správu připojení RAS (CMAK)
– Windows PowerShell 3.0
- Nástroje a infrastruktura pro správu grafického rozhraní

Požadavky na hardware

Požadavky na hardware pro tento scénář zahrnují následující:

Požadavky na server:
- Počítač, který splňuje hardwarové požadavky pro Windows Server 2016, Windows Server 2012 R2 nebo Windows Server 2012 .
- Server musí mít nainstalovaný, povolený a připojený alespoň jeden síťový adaptér a připojený k interní síti. Při použití dvou adaptérů by měl být jeden adaptér připojený k interní podnikové síti a jeden připojený k externí síti (internet nebo privátní síť).
- Pokud se jako přechodový protokol IPv4 na IPv6 vyžaduje Teredo, externí adaptér serveru vyžaduje dvě po sobě jdoucí veřejné IPv4 adresy. Pokud je k dispozici jedna IP adresa, můžete jako přechodový protokol použít pouze IP-HTTPS.
- Alespoň jeden řadič domény. Server DirectAccess a klienti DirectAccess musí být členy domény.
- Certifikační autorita (CA) se vyžaduje, pokud nechcete používat certifikáty podepsané svým držitelem pro IP-HTTPS nebo server síťového umístění nebo pokud chcete používat klientské certifikáty pro ověřování IPsec klienta. Případně můžete požádat o certifikáty od veřejné certifikační autority.
- Pokud server síťového umístění není umístěn na serveru DirectAccess, je k jeho spuštění nutný samostatný webový server.
Požadavky klienta:
- Na klientském počítači musí běžet Windows 10, Windows 8 nebo Windows 7.
  
  Note
  
  Následující operační systémy lze použít jako klienty DirectAccess: Windows 10, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows 7 Enterprise nebo Windows 7 Ultimate.
Požadavky na infrastrukturu a server pro správu:
- Během vzdálené správy klientských počítačů DirectAccess zahajují klienti komunikaci se servery pro správu, jako jsou řadiče domény, servery system Center Configuration Servers a servery autority pro registraci stavu (HRA) pro služby, které zahrnují aktualizace windows a antivirové ochrany a dodržování předpisů klienta NAP (Network Access Protection). Požadované servery by se měly nasadit před zahájením nasazení vzdáleného přístupu.
- Pokud vzdálený přístup vyžaduje dodržování předpisů architektury NAP klienta, servery NPS a HRS by se měly nasadit před zahájením nasazení vzdáleného přístupu.
- Pokud je povolená síť VPN, je server DHCP nutný k automatickému přidělování IP adres klientům VPN, pokud se nepoužívá fond statických adres.

Softwarové požadavky

Tento scénář má řadu požadavků:

Požadavky na server:
- Server DirectAccess musí být členem domény. Server je možné nasadit na hranici vnitřní sítě nebo za hraničním firewallem či jiným zařízením.
- Pokud se server DirectAccess nachází za hraničním firewallem nebo zařízením NAT, musí být zařízení nakonfigurované tak, aby povolovalo provoz na server DirectAccess a ze serveru DirectAccess.
- Osoba, která nasazuje vzdálený přístup na server, vyžaduje oprávnění místního správce na serveru a oprávnění uživatele domény. Kromě toho správce vyžaduje oprávnění pro GPO (objekty zásad skupiny) používané v nasazení DirectAccess. Pokud chcete využít výhod funkcí, které omezují nasazení Technologie DirectAccess jenom na mobilní počítače, vyžadují se oprávnění k vytvoření filtru rozhraní WMI na řadiči domény.
Požadavky na klienta vzdáleného přístupu:
- Klienti DirectAccess musí být členy domény. Domény obsahující klienty můžou patřit do stejné doménové struktury jako server DirectAccess nebo mají obousměrný vztah důvěryhodnosti s doménovou strukturou nebo doménou serveru DirectAccess.
- Skupina zabezpečení služby Active Directory musí obsahovat počítače, které budou nakonfigurovány jako klienti DirectAccess. Pokud není při konfiguraci nastavení klienta DirectAccess zadána skupina zabezpečení, ve výchozím nastavení se objekt zásad skupiny klienta použije na všech přenosných počítačích ve skupině zabezpečení Domain Computers.
  
  Note
  
  Doporučujeme vytvořit skupinu zabezpečení pro každou doménu, která obsahuje klientské počítače DirectAccess.
  
  Important
  
  Pokud jste v nasazení Technologie DirectAccess povolili Teredo a chcete klientům s Windows 7 poskytnout přístup, ujistěte se, že jsou klienti upgradovány na Windows 7 s aktualizací SP1. Klienti používající Windows 7 RTM se nebudou moct připojit přes Teredo. Tito klienti se ale budou moct připojit k podnikové síti přes PROTOKOL IP-HTTPS.

Viz také

Následující tabulka obsahuje odkazy na další zdroje informací.

Typ obsahu	References
Deployment	Cesty nasazení Technologie DirectAccess ve Windows Serveru Nasazení jediného serveru DirectAccess pomocí Průvodce Začínáme
Nástroje a nastavení	Cmdlety PowerShellu pro vzdálený přístup
Komunitní zdroje	Průvodce přežitím technologie DirectAccess Položky wikiwebu DirectAccess
Související technologie	jak funguje IPv6

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-05-03